Проблема с OpenVPN

[alexbalkan]

Приветствую всех форумчан!
Такая вод ошибочка
Enter Management Password:
Sun Feb 19 19:31:56 2017 SIGUSR1[soft,private-key-password-failure] received, process restarting
Sun Feb 19 19:32:01 2017 Error: private key password verification failed
Sun Feb 19 19:32:01 2017 Exiting due to fatal error
Все работало как часы. Нужно было пересоздать сертификаты.
Решил сделать с помощью pkitool. Cначала как бы все получилось, после недолгих танцев с бубном (выдавал ошибку после pkitool -server server. Но проблема была в другом, не обновлялся на клиенте статический адрес. Нужно было отключить клиент, сделать ipconfig /flushdns после чего статический адрес назначался. Следом пошла еще проблема, перестал проходить пинг с сервера до клиента в одной подсети.
Мои действия таковы:
1. source vars
build-dh
pkitool --initca
pkitool --server server
openvpn --genkey --secret ta.key
openssl ca -config openvpn.cnf -gencrl -out keys/crl.pem
естественно копирую (ca.crt server.key server.crt dh2048.pem ta.key crl.pem) в /etc/openvpn
/etc/init.d/openvpn restart - нормально запускается
source vars
pkitool admin
соответственно файлы клиента (ca.crt admin.crt admin.key ta.key)

содержимое VARS

(Нажмите, чтобы показать/скрыть)

export EASY_RSA="`pwd`"

export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

export KEY_SIZE=2048
export CA_EXPIRE=3650
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="NL"
export KEY_PROVINCE="UT"
export KEY_CITY="Utrecht"
export KEY_ORG="Private"
export KEY_EMAIL="admin@mydomain.ru"

export KEY_OU="SecureNetwork"

вывод переменных env

(Нажмите, чтобы показать/скрыть)

GREP=grep
PKCS11TOOL=pkcs11-tool
KEY_EXPIRE=3650
TERM=xterm
SHELL=/bin/bash
PKCS11_PIN=dummy
OLDPWD=/home/alexbalkan/KEYS/problema
USER=root
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:
SUDO_USER=alex
PKCS11_MODULE_PATH=dummy
SUDO_UID=1000
KEY_CN=
KEY_EMAIL=admin@mydomain.ru
USERNAME=root
MC_TMPDIR=/tmp/mc-root
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin
MAIL=/var/mail/root
PWD=/etc/openvpn/easy-rsa
LANG=en_US
CA_EXPIRE=3650
KEY_OU=SecureNetwork
KEY_SIZE=2048
HISTCONTROL=ignoredups:ignorespace
KEY_DIR=/etc/openvpn/easy-rsa/keys
HOME=/root
SUDO_COMMAND=/bin/bash
SHLVL=2
LANGUAGE=en_US:
KEY_NAME=VPNNetwork
MC_SID=1173
KEY_ALTNAMES=
LOGNAME=root
KEY_CITY=Utrecht
LESSOPEN=| /usr/bin/lesspipe %s
KEY_PROVINCE=UT
EASY_RSA=/etc/openvpn/easy-rsa
KEY_ORG=Private
KEY_CONFIG=/etc/openvpn/easy-rsa/openssl-1.0.0.cnf
OPENSSL=openssl
SUDO_GID=1000
LESSCLOSE=/usr/bin/lesspipe %s %s
KEY_COUNTRY=NL
_=/usr/bin/env

вывод лога openvpn

(Нажмите, чтобы показать/скрыть)

Sun Feb 19 18:12:54 2017 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Dec 27 2016
Sun Feb 19 18:12:54 2017 library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
Sun Feb 19 18:12:54 2017 Diffie-Hellman initialized with 2048 bit key
Sun Feb 19 18:12:54 2017 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Feb 19 18:12:54 2017 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Feb 19 18:12:54 2017 ROUTE_GATEWAY 185.xxx.xxx.xxx/255.255.252.0 IFACE=ens3 HWADDR=52:54:00:c0:3b:c5
Sun Feb 19 18:12:54 2017 TUN/TAP device tun0 opened
Sun Feb 19 18:12:54 2017 TUN/TAP TX queue length set to 100
Sun Feb 19 18:12:54 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun Feb 19 18:12:54 2017 /sbin/ip link set dev tun0 up mtu 1500
Sun Feb 19 18:12:54 2017 /sbin/ip addr add dev tun0 local 10.102.0.1 peer 10.102.0.2
Sun Feb 19 18:12:54 2017 /sbin/ip route add 10.102.0.0/24 via 10.102.0.2
Sun Feb 19 18:12:54 2017 Could not determine IPv4/IPv6 protocol. Using AF_INET
Sun Feb 19 18:12:54 2017 Socket Buffers: R=[87380->87380] S=[16384->16384]
Sun Feb 19 18:12:54 2017 Listening for incoming TCP connection on [AF_INET][undef]:1194
Sun Feb 19 18:12:54 2017 TCPv4_SERVER link local (bound): [AF_INET][undef]:1194
Sun Feb 19 18:12:54 2017 TCPv4_SERVER link remote: [AF_UNSPEC]
Sun Feb 19 18:12:54 2017 MULTI: multi_init called, r=256 v=256
Sun Feb 19 18:12:54 2017 IFCONFIG POOL: base=10.102.0.4 size=62, ipv6=0
Sun Feb 19 18:12:54 2017 MULTI: TCP INIT maxclients=1024 maxevents=1028
Sun Feb 19 18:12:54 2017 Initialization Sequence Completed

[StrangerSerg]

Не уверен что поможет но, по крайней мере в оф. документации указаны что опции на сервере должны соответсвовать на клиентах:

--proto tcp-client [matched with --proto tcp-server on the other end of the connection]
--proto tcp-server [matched with --proto tcp-client on the other end of the connection]
--dev tun | tap

тут у Вас разбежности.

И вот тут не понятно у клиента:

Код: (javascript) [Выделить]

<ca>
</ca>
<cert>
</cert>
<key>
</key>
key-direction 1
<tls-auth>
</tls-auth>
Укажите прямые пути к нужным сертификатам и ключам, либо же покладите их в соответсвующий каталог.

У меня в конфиге клиента:

Код: (javascript) [Выделить]

ca CA.crt
cert user.crt
key user.key
tls-auth CA-tls.key 1

[fisher74]

И вот тут не понятно у клиента:

Всё там понятно. Это отлична яфишка передавать клиенту не ведро файлов, а только один, в котором заложены и ключи и сертификаты.

[alexbalkan]

Не уверен что поможет

Да, я читал про ваше решение. Пробовал и этот вариант. Проблема в силе. Откуда взялся этот пароль, я его не задавал! Много перелопатил в гугле. Раньше у меня так и было сделано файлы с полным путем, избавился от мешка файлов. Я тут вроде как писал, что все работало отлично. В конфигах вообще ничего не менял. Надо было сменить все ключи. Решил это сделать с помощью pkitool. Вроде как бы все прошло нормально. Но после пошло все не так. После создания ключа для сервера, создание ключей для клиента, и они почему-то стали создаваться с 0 байт. Решил и эту проблему. Но потом пошла последняя описанная проблема. Дошло до того что менял версию и переустановил openvpn. Никаких серьезных изменений не делал. Уже не знаю что делать. Я столько раз пересоздал эти ключи в разных вариантах. Никаких секретов нет, и не прет.
P.S. Забыл добавить, что конфиг здесь вообще не причем, все рабочее. Потому как пробую подключится со старыми ключами, все отлично проходит, сервер откликается и сообщает что ключи не действительны. Здесь проблема с самим ключом - пароль! Пробовал tcpdump-ом порт мониторить, до него даже пинги не идут. Проблема только с ключом.

[alexbalkan]

Ответ на свой вопрос как бы нашел. Теперь надо решать. Нужно править vars, openssl-1.0.0.cnf, pkitool. Может кому-то пригодится ссылочка, почитать: https://habrahabr.ru/sandbox/84233/