OpenVPN проблемы с настройкой

[kon-dv]

На сервере

Код: [Выделить]

root@ubuntu:/etc/openvpn/easy-rsa/2.0# sudo ss -lnptu | grep vpn
root@ubuntu:/etc/openvpn/easy-rsa/2.0# ss -lnptu | grep vpn
root@ubuntu:/etc/openvpn/easy-rsa/2.0# iptables-save
# Generated by iptables-save v1.4.12 on Mon Sep  9 12:02:20 2013
*nat
:PREROUTING ACCEPT [119990:6597159]
:INPUT ACCEPT [4548:533207]
:OUTPUT ACCEPT [953:70723]
:POSTROUTING ACCEPT [73:5622]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Sep  9 12:02:20 2013
root@ubuntu:/etc/openvpn/easy-rsa/2.0#
На клиенте:

Код: [Выделить]

root@dmitriy-noutbook:/etc/openvpn# nmap -sU -p1194 SERVER_IP

Starting Nmap 6.00 ( http://nmap.org ) at 2013-09-09 15:03 NOVT
Nmap scan report for SERVER_IP
Host is up (0.012s latency).
PORT     STATE  SERVICE
1194/udp closed openvpn

Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds
root@dmitriy-noutbook:/etc/openvpn#
Конфиг клиента:

Код: [Выделить]

root@dmitriy-noutbook:/etc/openvpn# cat client.conf
client
dev tun
proto udp

# Внеший IP, за которым находится ваш сервер
remote SERVER_IP
# Внешний порт, который роутер на стороне сервера направит на сервер OpenVPN.
port 1194

# необходимо для DynDNS
resolv-retry infinite

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

[ArcFi]

А должно быть примерно вот так:

Код: [Выделить]

# ss -lnptu | grep vpn
udp    UNCONN     0      0                      *:1194                  *:*      users:(("openvpn",781,4))
Короче, надо смотреть лог сервера.

[kon-dv]

На сервере:

Код: [Выделить]

root@ubuntu:/etc/openvpn/easy-rsa/2.0# tail -f /var/log/openvpn.log -n 100
Mon Sep  9 10:25:39 2013 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 27 2013
Mon Sep  9 10:25:39 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Sep  9 10:25:39 2013 Diffie-Hellman initialized with 1024 bit key
Mon Sep  9 10:25:39 2013 Control Channel Authentication: using 'keys/ta.key' as a OpenVPN static key file
Mon Sep  9 10:25:39 2013 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Sep  9 10:25:39 2013 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Sep  9 10:25:39 2013 TLS-Auth MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Mon Sep  9 10:25:39 2013 Socket Buffers: R=[163840->131072] S=[163840->131072]
Mon Sep  9 10:25:39 2013 ROUTE default_gateway=93.170.128.1
Mon Sep  9 10:25:39 2013 TUN/TAP device tun0 opened
Mon Sep  9 10:25:39 2013 TUN/TAP TX queue length set to 100
Mon Sep  9 10:25:39 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Sep  9 10:25:39 2013 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Mon Sep  9 10:25:39 2013 /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.8.0.2
Mon Sep  9 10:25:39 2013 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Mon Sep  9 10:25:39 2013 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep  9 10:25:39 2013 GID set to nogroup
Mon Sep  9 10:25:39 2013 UID set to nobody
Mon Sep  9 10:25:39 2013 UDPv4 link local (bound): [undef]
Mon Sep  9 10:25:39 2013 UDPv4 link remote: [undef]
Mon Sep  9 10:25:39 2013 MULTI: multi_init called, r=256 v=256
Mon Sep  9 10:25:39 2013 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Mon Sep  9 10:25:39 2013 Initialization Sequence Completed
Mon Sep  9 11:16:17 2013 MULTI: multi_create_instance called
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 Re-using SSL/TLS context
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 LZO compression initialized
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 Local Options hash (VER=V4): '1056bce3'
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 Expected Remote Options hash (VER=V4): '03fa487d'
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 TLS: Initial packet from [AF_INET]109.195.34.14:1194, sid=2c402884 ab43f4ae
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 CRL: cannot read: /etc/openvpn/crl.pem: No such file or directory (errno=2)
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 Exiting
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 /sbin/route del -net 10.8.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 ERROR: Linux route delete command failed: external program exited with error status: 7
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 /sbin/route del -net 192.168.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 ERROR: Linux route delete command failed: external program exited with error status: 7
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 Closing TUN/TAP interface
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 /sbin/ifconfig tun0 0.0.0.0
SIOCSIFADDR: Permission denied
SIOCSIFFLAGS: Permission denied
Mon Sep  9 11:16:17 2013 109.195.34.14:1194 Linux ip addr del failed: external program exited with error status: 255


[ArcFi]

Исправляйте:

Mon Sep  9 11:16:17 2013 109.195.34.14:1194 CRL: cannot read: /etc/openvpn/crl.pem: No such file or directory (errno=2)

[kon-dv]

Исправляйте:

Mon Sep  9 11:16:17 2013 109.195.34.14:1194 CRL: cannot read: /etc/openvpn/crl.pem: No such file or directory (errno=2)

Он не может его найти на стороне клиента или сервера?
Ни там, ни там его нет. В это директории ни в keys.

[fisher74]

У меня кстати, по Вашей, ArcFi, команде тоже не кажет, хотя прекрасно работает
Вот так можно попробовать увидеть

Код: [Выделить]

ss -au | grep 1194
А так-то да... надо смотреть лог сервера (уже выложили)
Кстати, ТС, зачем маскарадите eth1 - он же вроде у Вас в локалку смотрит?

P.S. И можете переставать играть в шпионов, IP вашего сервера Вы уже логом клиента рассекретили.
Пользователь решил продолжить мысль 09 Сентября 2013, 13:01:23:Закомментируйте пока строку
crl-verify /etc/openvpn/crl.pem
Это файл отозванных сертификатов.

[kon-dv]

Закоментил  /etc/openvpn/crl.pem
Подключение прошло. Большое спасибо.
Для client2 как нужно сгенерировать сертификат?

  Сдаюсь, просто запарился немного ))

P.S. И можете переставать играть в шпионов, IP вашего сервера Вы уже логом клиента рассекретили.

[fisher74]

Код: [Выделить]

. ./vars
./build-key client2
или

Код: [Выделить]

. ./vars
./build-key-pass client2

[ArcFi]

У меня кстати, по Вашей, ArcFi, команде тоже не кажет, хотя прекрасно работает

Привилегии суперюзера нужны для работы ключа "-p" для чужих процессов.

[kon-dv]

Еще один вопрос: Будет ли сервис автоматом запускаться на стороне клиента и сервера?

[fisher74]

Если укажете, то будет.

Привилегии суперюзера нужны для работы ключа "-p" для чужих процессов.

Ага. Спасибо. Что-то не допетрил

[kon-dv]

Всем спасибо за помощь. Продолжаю разбираться.
Для клиента 2, назовем его info3 как будет выглядеть конфиг клиента?
Я сделал так:

Код: [Выделить]

root@info3:/etc/openvpn# cat info3.conf
clent
dev tun
proto udp

# Внеший IP, за которым находится ваш сервер
remote 93.170.130.63
# Внешний порт, который роутер на стороне сервера направит на сервер OpenVPN.
port 1194

# необходимо для DynDNS
resolv-retry infinite

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/info3.crt
key /etc/openvpn/keys/info3.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

[fisher74]

у клиентов конфиги фактически одинаковы, кроме, конечно, описания личных сертификатов.
Я бы ещё порекомендовал добавить опцию pull, бывает очень полезно.

Уверен, что Вам будет интересно узнать, что сертификаты можно инкрустировать в конфиг, что весьма упрощает автоматизировать настройку клиента OpenVPN. Правда я не могу найти, как именно это делается.

[ArcFi]

Я бы ещё порекомендовал добавить опцию pull

client == pull + tls-client

сертификаты можно инкрустировать в конфиг, что весьма упрощает автоматизировать настройку клиента OpenVPN. Правда я не могу найти, как именно это делается.

Примеры есть тут: http://www.vpngate.net/
Но NM не умеет импортировать сертификаты из конфига, приходится кормить с рук.

[fisher74]

Точно. Именно там и видел. Спасибо.

client == pull + tls-client

Хотите сказать, что параметр client "негласно" добавляет эти два параметра?
Не буду врать, но вроде на каком-то linux-овом клиенте пришлось добавлять pull. Хотя вполне вероятно, что память меня в очередной раз подводит.