OpenVPN и Network Manager

[Kalessind]

Добрый день!

Есть проблема с запуском openvpn. Буду благодарен за помощь.

Конфиг /etc/openvpn/openvpn.conf
##################################

dev tap
# dev tun
tun-mtu 1500 # если есть проблемы со скоростью работы VPN, то может помочь уменьшение mtu
# link-mtu 1400
tun-ipv6

# proto tcp-client
proto udp
auth-nocache

remote openvpn1.domain1.ru 1191
remote openvpn2.domain2.ru 1191
remote-random

resolv-retry infinite

# client
# pull # принимать команды push от сервера.то есть позволять переконфигурировать клиента
nobind

ca /etc/openvpn/certs/allcas.pem #путь до файла allcas.pem
cert /etc/openvpn/certs/certnew.cer #путь до личного сертификаtls-remote vpn-unix
key /etc/openvpn/certs/privkey.pem #путь до приватного ключа
cipher AES-128-CBC

tls-auth /etc/openvpn/certs/tls.key
tls-client # работа в режиме клиента с TLS-аутентифкацией

log /var/log/openvpn.log
verb 4

#comp-lzo # использовать сжатие

persist-tun
persist-key

daemon
#####################################

Далее запускаем команду
sudo /etc/init.d/openvpn start
Вводим пароль от ключа.
В журнале /var/log/openvpn.log видим следующее

#######################
....
Fri Feb  1 22:10:52 2013 us=933457 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Feb  1 22:10:52 2013 us=933493 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  1 22:10:52 2013 us=933519 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Feb  1 22:10:52 2013 us=933543 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  1 22:10:52 2013 us=933665 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Feb  1 22:10:52 2013 us=933739 [vpn-unix-drifter.domain.ru] Peer Connection Initiated with [AF_INET]76.98.6.10:1191
Fri Feb  1 22:10:54 2013 us=156068 Initialization Sequence Completed
######################

Т.е. авторизацию прошёл и ошибок вроде как нет.
Далее смотрим в /var/log/syslog

##################################
Feb  1 22:10:39 cdn avahi-daemon[483]: Withdrawing workstation service for tap0.
Feb  1 22:10:39 cdn NetworkManager[874]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/tap0, iface: tap0)
Feb  1 22:10:50 cdn NetworkManager[874]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/tap0, iface: tap0)
Feb  1 22:10:50 cdn NetworkManager[874]:    SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/tap0, iface: tap0): no ifupdown configuration found.
Feb  1 22:10:50 cdn NetworkManager[874]: <warn> /sys/devices/virtual/net/tap0: couldn't determine device driver; ignoring...
##################################

Т.е. Network Manager не смог определить драйвер для устройства tap0, которое было создано openvpn.

При этом Network Manager у меня ставился так
sudo apt-get install network-manager-openvpn
sudo /etc/init.d/network-manager restart

Рестарты компа так же не помогают.

Пробовал настраивать openvpn через сам Network Manager - там вообще не проходит проверку сертификата (по опыту настройки самого конфига openvpn и записям из лога это происходит видимо из-за команды pull). Конфиг VPN соединения в Network Manager крайне скудный (/etc/NetworkManager/system-connections/). Я так и не понял как в нём включить IP V6 и добавить недостающе команды из рабочего конфига openvpn.

Буду благодарен за помощь и советы. Заранее спасибо.

P.S.
На всякий случай хочу опередить советы проверить права доступа к сертификатам. С ними всё в порядке - ни сам openvpn, ни Network Manager на них не ругаются.

[fisher74]

Что-то я не вкурил. При чём тут NM, если Вы конфиг-файлами openvpn поднимаете?
Вы уж выберите - либо сапоги, либо тапочки.

[kruasan]

Ну да, я тоже не понял - зачем NW?
OpenVPN ставил вот по этому руководству: http://www.ashep.org/2010/ustanovka-i-nastrojka-openvpn-klienta/#.UQzWwWez58E:

 - всё получилось.
Для работы с OpenVPN стоит поставить какой нибудь дополнительный менеджер (не NW)
У меня установлен Kvpnc (есть в репах)

[Kalessind]

Добрый день. Спасибо за ответы.
Поясню, NM - программа по умолчанию в убунте, и меня она устраивает. и проблема в неподнятии OpenVPN, а в том, что системе не удается найти драйвер виртуального устройства при запуске опенвпн. В частности нетворк менеджер пишет в лог
####
Feb  1 22:10:50 cdn NetworkManager[874]: <warn> /sys/devices/virtual/net/tap0: couldn't determine device driver; ignoring
####

при этом если настраивать нм в GUI, то тот вообще имеет мало настроек и не хочет проходить авторизацию.

[absent]

при этом если настраивать нм в GUI, то тот вообще имеет мало настроек и не хосет проходить аавторизацию.

на сколько помню, в гуе NM настройки openvpn просты и незамысловаты: указать шлюз, выбрать пользовательский сертификат, ввести пароль от него. и можно подключаться. может еще понадобится указать необходимость сжатий LZO.
какова причина редактировать что-то на клиенте в дебрях  /etc/openvpn, если в NM из под прав пользователя все настраивается и работает?

upd. почему выбрали tap, а не tun?

[Kalessind]

Потому что NM не имеет и половины необходимых настроек.
Вроде разобрался. Нужен был NM с поддерждой IPv6. Взял последний из гита гнома (http://git.gnome.org/browse/network-manager-openvpn/commit/?id=cb81bdcea8b043ee8890cf930d88c9e30fc28612) + нашёл патч к нему.

Выбрал TAP по той причине, что мой работодатель рекомендует именно его. Возможно у него проверяется где-то, что пакеты приходят с VPN канального уровня (TAP), а не с сетевого уровня (TUN). По-крайней мере во время моих экспериментов в режиме TUN я не смог пройти авторизацию.

[Незнашка]

Чего ему надо? Разрывает подключение Сертификат с ключами на месте.Все по инструкции.Кто знает тыкните пальчиком.Может,что я не усмотрела!? Спасибо

[Qwentor]

Та же хрень.. Ответ кто знает?