Linux Openvpn client не запускается.

[alexbalkan]

Приветствую всех форумчан, а так же поздравляю, всех с Днем Победы 9 мая!!!
Имею настроенный сервис Openvpn. Вроде как все работает нормально.
И вот настал для меня тот самый день, когда на win-s X забил!
Поставил Ubuntu 16.04. И вот у меня возникла проблема с подключением к серверу Openvpn.
Установил openvpn, в /etc/openvpn положил рабочий client.ovpn
А так же сделал

Код: [Выделить]

nano /etc/sysctl.conf

Код: (html5) [Выделить]

net.ipv4.ip_forward=1далее

Код: [Выделить]

sysctl -pи

Код: [Выделить]

service openvpn restartЗапускается без каких либо ошибок. Но и туннель не поднимается.
такой вот вывод в /var/log/syslog:

Код: [Выделить]

May  9 14:03:29 stu51 systemd[1]: Starting OpenVPN service...
May  9 14:03:29 stu51 systemd[1]: Started OpenVPN service.
May  9 14:09:15 stu51 wpa_supplicant[1033]: nl80211: send_and_recv->nl_recvmsgs failed: -33
May  9 14:13:15 stu51 wpa_supplicant[1033]: nl80211: send_and_recv->nl_recvmsgs failed: -33
May  9 14:17:01 stu51 CRON[5603]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
May  9 14:21:15 stu51 wpa_supplicant[1033]: nl80211: send_and_recv->nl_recvmsgs failed: -33
May  9 14:25:47 stu51 kernel: [ 9602.297327] perf interrupt took too long (2524 > 2500), lowering kernel.perf_event_max_sample_rate to 50000Помогите разобраться кто разбирается.

[fisher74]

Вы прямо *.ovpn и положили? В Ubuntu по дефолту подхватывается только /etc/openvpn/*.conf

[alexbalkan]

В Ubuntu по дефолту подхватывается только /etc/openvpn/*.conf

Я исправил "ошибку", переименовал расширение на .conf Но по прежнему безрезультатно, не понимаю в чем может быть проблема. Вообще туннель не поднимается. Никаких ошибок. И самое интересное не создается openvpn.log хотя в конфиге прописан.

[fisher74]

посмотреть бы его разрешения..

Код: [Выделить]

ls -l  /etc/openvpn/*.conf а заодно содержимое.

А точно не запускается?

Код: [Выделить]

ps aux | grep openvpn

[alexbalkan]

посмотреть бы его разрешения..

Не совсем понял, какие разрешения....

(Нажмите, чтобы показать/скрыть)

client
dev tun
proto tcp
tls-client
remote ip-server 1194
resolv-retry infinite
nobind
block-outside-dns
remote-cert-tls server
tls-client
cipher AES-256-CBC
comp-lzo
keepalive 5 30
persist-key
persist-tun

status openvpn-stutus.log
log /var/log/openvpn/openvpn.log


sndbuf 393216
rcvbuf 393216
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>

Код: [Выделить]

root@stu51:/etc/openvpn# ls -l /etc/openvpn/*.conf
-rw-r--r-- 1 root root 6591 май 10 13:53 /etc/openvpn/client.conf

root@stu51:/etc/openvpn# ps aux | grep openvpn
root      3938  0.0  0.0  15472  1028 pts/1    S+   13:56   0:00 grep --color=auto openvpn

[fisher74]

действительно не пускается.
А вручную?

Код: [Выделить]

sudo /usr/sbin/openvpn --cd /etc/openvpn --config /etc/openvpn/server.conf
Лог может может не создаться по не хватке правов на создание директории

Код: [Выделить]

ls -ld /var/log/openvpn/

[alexbalkan]

Лог может может не создаться по не хватке правов на создание директории

По этому поводу создал вручную /var/log/openvpn/

Сделал запуск вручную, наконец-то вышла ошибочка долгожданная
Написал что ему не нравится block-outside-dns. Видимо установилась по умолчанию версия openvpn которая не поддерживает данную команду. Ща буду исправлять. Временно закоментировал чтобы продолжить запуск. Далее вручную не запускается - висит, и получаю log

(Нажмите, чтобы показать/скрыть)

Wed May 10 14:26:03 2017 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Feb  2 2016
Wed May 10 14:26:03 2017 library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
Wed May 10 14:26:03 2017 Control Channel Authentication: tls-auth using INLINE static key file
Wed May 10 14:26:03 2017 Attempting to establish TCP connection with [AF_INET]185.14.28.203:1194 [nonblock]
Wed May 10 14:26:04 2017 TCP connection established with [AF_INET]ip-server:1194
Wed May 10 14:26:04 2017 TCPv4_CLIENT link local: [undef]
Wed May 10 14:26:04 2017 TCPv4_CLIENT link remote: [AF_INET]ip-server:1194
Wed May 10 14:26:04 2017 [server] Peer Connection Initiated with [AF_INET]ip-server:1194
Wed May 10 14:26:06 2017 TUN/TAP device tun0 opened
Wed May 10 14:26:06 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed May 10 14:26:06 2017 /sbin/ip link set dev tun0 up mtu 1500
Wed May 10 14:26:06 2017 /sbin/ip addr add dev tun0 local 10.102.0.13 peer 10.102.0.14
RTNETLINK answers: File exists
Wed May 10 14:26:07 2017 ERROR: Linux route add command failed: external program exited with error status: 2
Wed May 10 14:26:07 2017 Initialization Sequence Completed
Wed May 10 14:26:37 2017 event_wait : Interrupted system call (code=4)
Wed May 10 14:26:37 2017 /sbin/ip addr del dev tun0 local 10.102.0.13 peer 10.102.0.14
Wed May 10 14:26:37 2017 SIGINT[hard,] received, process exiting

Теперь что может не нравится?

[fisher74]

Можно посомтреть ip a; ip r (только  шпоиньте без фанатизму)

Сервер Ваш? Его конфиг можно глянуть?

[alexbalkan]

server.conf

(Нажмите, чтобы показать/скрыть)

mode server
port 1194
proto tcp-server
tls-server
dev tun0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-256-CBC

server 10.102.0.0 255.255.255.0
daemon

client-config-dir /etc/openvpn/ccd

client-to-client

push "route 10.101.0.0 255.255.255.0"
push "route 10.102.0.0 255.255.255.0"

keepalive 5 30
comp-lzo

persist-key
persist-tun

crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
script-security 3
sndbuf 0
rcvbuf 0
tcp-nodelay
mssfix 0
fast-io

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.102.0.1"
push "dhcp-option DNS 10.101.0.1"

/etc/openvpn/ccd/client

Код: (html5) [Выделить]

ifconfig-push 10.102.0.13 10.102.0.14
ip a

Код: [Выделить]

root@srv2:/etc/openvpn/ccd$ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:c0:3b:c5 brd ff:ff:ff:ff:ff:ff
    inet 185.14.xxx.xxx/22 brd 185.14.31.255 scope global ens3
       valid_lft forever preferred_lft forever
9: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.102.0.1 peer 10.102.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
10: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.65.0.9 peer 10.65.0.10/32 scope global tun1
       valid_lft forever preferred_lft foreverip r

Код: [Выделить]

default via 185.14.xxx.1 dev ens3 onlink
10.65.0.1 via 10.65.0.10 dev tun1
10.65.0.10 dev tun1  proto kernel  scope link  src 10.65.0.9
10.101.0.0/24 via 10.102.0.2 dev tun0
10.102.0.0/24 via 10.102.0.2 dev tun0
10.102.0.2 dev tun0  proto kernel  scope link  src 10.102.0.1
185.14.xxx.0/22 dev ens3  proto kernel  scope link  src 185.14.xxx.xxxВроде как бы так
на клиенте

Код: [Выделить]

root@stu51:/var/log/openvpn# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s0f0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000
    link/ether dc:0e:a1:95:68:b8 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 64:27:37:76:7e:0f brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.5/24 brd 192.168.1.255 scope global dynamic wlp3s0
       valid_lft 72506sec preferred_lft 72506sec
    inet6 fe80::3895:91b6:2619:bc98/64 scope link
       valid_lft forever preferred_lft forever

Код: [Выделить]

root@stu51:/var/log/openvpn# ip r
default via 192.168.1.1 dev wlp3s0  proto static  metric 600
169.254.0.0/16 dev wlp3s0  scope link  metric 1000
192.168.1.0/24 dev wlp3s0  proto kernel  scope link  src 192.168.1.5  metric 600проблема скорее всего связана с route. Отчего, как решить то?

Код: [Выделить]

Wed May 10 19:21:21 2017 us=830415 /sbin/ip addr add dev tun0 local 10.102.0.6 peer 10.102.0.5
Wed May 10 19:21:21 2017 us=837207 /sbin/ip route add 185.14.xxx.xxx/32 via 192.168.1.1
Wed May 10 19:21:21 2017 us=844584 /sbin/ip route add 0.0.0.0/1 via 10.102.0.5
Wed May 10 19:21:21 2017 us=847245 /sbin/ip route add 128.0.0.0/1 via 10.102.0.5
Wed May 10 19:21:21 2017 us=849826 /sbin/ip route add 10.101.0.0/24 via 10.102.0.5
Wed May 10 19:21:21 2017 us=851535 /sbin/ip route add 10.102.0.0/24 via 10.102.0.5
Wed May 10 19:21:21 2017 us=853569 /sbin/ip route add 10.102.0.0/24 via 10.102.0.5
RTNETLINK answers: File exists
Wed May 10 19:21:21 2017 us=855627 ERROR: Linux route add command failed: external program exited with error status: 2

[fisher74]

закомментируйте

Код: [Выделить]

push "route 10.102.0.0 255.255.255.0"

[alexbalkan]

Вы как всегда правы Fisher74 )!!!
В запустилось нормально, все четко! Но вот новая проблема возникла, не использует DNS которые прописаны в конфиге openvpn. Кое что нашел, нужно скрипт вписать. Буду пробовать. Я ведь откуда пришел, на мелкософте поставил точку. И для меня пока многие вещи не знакомы как и что организовано в Linux. Но то что производительность заметна не вооруженным глазом это супер превосходство. Установил Ubuntu 16.04 Gnome на Acer Aspire 5750G SSD-250GB Ram-16Gb !!! Супер!. И очень хорошо понимаю, что все мои затраты по времени в настройке системы linux, это окупится - производительность и надежность!!!
Пользователь добавил сообщение 11 Мая 2017, 17:50:13:После запуска openvpn, использует публичные DNS Google 173.194.98.13, 74.125.74.11, 74.125.74.9. Как заставить использовать мои DNS?

[AnrDaemon]

использует публичные DNS Google

Что их использует? Если Хром - хром может такое вытворять без ведома пользователя.

[alexbalkan]

Их использует не chrome. Я использую Firefox. Но проблема не только в этом, я не могу получить доступ к своим сервисам которые доступны только при подключении к сети. На мелкософте эта проблема была была решена --block-outside-dns, и никакой хром не мог использовать свои dns. А здесь не знаю как решить. Получается push "dhcp-option DNS 10.102.0.1" здесь не имеет никакого значения? Может что-то с маршрутами не так? Я думаю начать проверить какие dns использует сама система а не Firefox. Как правильно это сделать?

[fisher74]

начните с

Код: [Выделить]

nslookup bla.bla 10.102.0.1
nslookup bla.bla 10.101.0.1
так же посмотрите в лог клиента - а получает ли он эти опции?

[alexbalkan]

так же посмотрите в лог клиента - а получает ли он эти опции?

Вот кусок из лога, вроде получает:

Код: [Выделить]

Thu May 11 19:38:54 2017 us=92048 [server] Peer Connection Initiated with [AF_INET]185.14.xxx.xxx:1194
Thu May 11 19:38:55 2017 us=259418 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
WRRThu May 11 19:38:55 2017 us=302316 PUSH: Received control message: 'PUSH_REPLY,route 10.101.0.0 255.255.255.0,
redirect-gateway def1 bypass-dhcp,dhcp-option DNS 10.102.0.1,dhcp-option DNS 10.101.0.1,route 10.102.0.0 255.255.255.0,topology net30,
ping 5,ping-restart 30,socket-flags TCP_NODELAY,ifconfig 10.102.0.13 10.102.0.14,peer-id 0,cipher AES-256-GCM'
Thu May 11 19:38:55 2017 us=302582 OPTIONS IMPORT: timers and/or timeouts modified
Thu May 11 19:38:55 2017 us=302612 OPTIONS IMPORT: --socket-flags option modified
Thu May 11 19:38:55 2017 us=302638 Socket flags: TCP_NODELAY=1 succeeded
Thu May 11 19:38:55 2017 us=302657 OPTIONS IMPORT: --ifconfig/up options modified
Thu May 11 19:38:55 2017 us=302676 OPTIONS IMPORT: route options modified
Thu May 11 19:38:55 2017 us=302695 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu May 11 19:38:55 2017 us=302714 OPTIONS IMPORT: peer-id set
Thu May 11 19:38:55 2017 us=302734 OPTIONS IMPORT: adjusting link_mtu to 1627Открыл две консоли на удаленных серверах, чтоб проверить выхлоп на 53 порт, все нормально если делаю резолв непосредственно через них т.е.

Код: [Выделить]

nslookup mail.ru 10.101.0.1 и nslookup mail.ru 10.102.0.1 (резолвится нормально), а вот если делаю nslookup mail.ru, то используется localhost 127.0.0.1#53 ну и итог известен, далее запрос через google public DNS. Вроде как-то так.