Помогите разобрать с подключение OpenVPN по TCP

[alexbalkan]

Установил OpenVPN на VPS. Начал тестировать работоспособность. Вроде как работает нормально.
Из своей сети подключаюсь нормально. Но вот из другой сети подключение клиента не проходит.
Пока не выяснил почему. Посмотрев ошибку лога клиента из другой сети, и погуглив, описано что
данная проблема может исходить из за провайдера. Сеть клиента находится за прокси (цензура полная.
заблокировано практически все, и многие порты).
Это дело можно якобы поправить, запустив сервис по ТCP на протоколу, что я и сделал. У меня все прекрасно работает, но клиент из другой сети по прежнему не имеет возможности подключатся к моему серверу. В альтернативу проблеме использовал сторонний сервис, просмотрев настройки config.ovpn я ничего особого не увидел. Помогите разобраться, в чем проблема

# Это сторонний config

(Нажмите, чтобы показать/скрыть)

http-proxy xxx.xxx.xxx.xxx 443
setenv FORWARD_COMPATIBLE 1
client
server-poll-timeout 90
nobind
resolv-retry infinite
mute-replay-warnings
dev tun
dev-type tun
ns-cert-type server
reneg-sec 3600
sndbuf 100000
rcvbuf 100000
comp-lzo no
persist-key
persist-tun
verb 3
setenv PUSH_PEER_INFO
remote xxxxx.xxxxx.net 443 tcp
remote xx.xx.xx.xx 443 tcp
remote xxxxx.xxxxx.net 443 tcp
remote xx.xx.xx.xx 443 tcp
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key (Server Agent)
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>[/size]

# Этой мой server.conf

(Нажмите, чтобы показать/скрыть)

port 443
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-auth ta.key 0
crl-verify /etc/openvpn/crl.pem
serverer 10.48.9.0 255.255.255.0
daemon
writepid /etc/openvpn/pid/openvpn.pid
ifconfig-pool-persist /etc/openvpn/tmp/ipp.txt
push "route 10.48.0.0 255.255.255.0"
keepalive 10 120
comp-lzo
#user nobody
#group nobody
persist-key
persist-tun
status /etc/openvpn/tmp/openvpn-status.log
verb 3
script-security 3
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"

# Это мой config.ovpn

(Нажмите, чтобы показать/скрыть)

client
resolv-retry infinite
nobind
remote 111.222.333.444 443
proto tcp
dev tun
comp-lzo
ca ca.crt
cert client1.crt
key client1.key
dh dh2048.pem
remote-cert-tls server
tls-client
tls-auth ta.key 1
;auth-user-pass
float
keepalive 10 120
persist-key
persist-tun
verb 3

_______________________

1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла.

~Punko

[kalek]

Сеть клиента находится за прокси (цензура полная.
заблокировано практически все, и многие порты).

Вот эти настройки и стоит посмотреть, если есть такая возможность. Там могут быть прописаны какие-нибудь хитрые правила для https, если он там вообще открыт.
Тем более, если из другого места нормально подключается.

[alexbalkan]

Вот эти настройки и стоит посмотреть, если есть такая возможность. Там могут быть прописаны какие-нибудь хитрые правила для https, если он там вообще открыт.
Тем более, если из другого места нормально подключается.

Каким образом посмотреть настройки провайдера? это невозможно. Речь идет, что через стороннего поставщика, OpenVPN работает, а через мой сервис нет соединения!
Пользователь добавил сообщение 03 Октября 2016, 14:39:38:Вот такой LOG на стороне клиента при попытке подключения

(Нажмите, чтобы показать/скрыть)

Mon Oct 03 16:26:55 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 10 2016
Mon Oct 03 16:26:55 2016 Windows version 6.2 (Windows 8 or greater)
Mon Oct 03 16:26:55 2016 library versions: OpenSSL 1.0.1s  1 Mar 2016, LZO 2.09
Enter Management Password:
Mon Oct 03 16:26:55 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Oct 03 16:26:55 2016 Need hold release from management interface, waiting...
Mon Oct 03 16:26:55 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Oct 03 16:26:55 2016 MANAGEMENT: CMD 'state on'
Mon Oct 03 16:26:55 2016 MANAGEMENT: CMD 'log all on'
Mon Oct 03 16:26:55 2016 MANAGEMENT: CMD 'hold off'
Mon Oct 03 16:26:55 2016 MANAGEMENT: CMD 'hold release'
Mon Oct 03 16:26:55 2016 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Mon Oct 03 16:26:55 2016 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 03 16:26:55 2016 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 03 16:26:55 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Oct 03 16:26:55 2016 Attempting to establish TCP connection with [AF_INET]xx.xx.xx.xx:443 [nonblock]
Mon Oct 03 16:26:55 2016 MANAGEMENT: >STATE:1475494015,TCP_CONNECT,,,
Mon Oct 03 16:26:56 2016 TCP connection established with [AF_INET]xx.xx.xx.xx:443
Mon Oct 03 16:26:56 2016 TCPv4_CLIENT link local: [undef]
Mon Oct 03 16:26:56 2016 TCPv4_CLIENT link remote: [AF_INET]xx.xx.xx.xx:443
Mon Oct 03 16:26:56 2016 MANAGEMENT: >STATE:1475494016,WAIT,,,
Mon Oct 03 16:26:57 2016 Connection reset, restarting [-1]
Mon Oct 03 16:26:57 2016 SIGUSR1[soft,connection-reset] received, process restarting
Mon Oct 03 16:26:57 2016 MANAGEMENT: >STATE:1475494017,RECONNECTING,connection-reset,,
Mon Oct 03 16:26:57 2016 Restart pause, 5 second(s)
Mon Oct 03 16:27:02 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Oct 03 16:27:02 2016 Attempting to establish TCP connection with [AF_INET]xx.xx.xx.xx:443 [nonblock]
Mon Oct 03 16:27:02 2016 MANAGEMENT: >STATE:1475494022,TCP_CONNECT,,,
Mon Oct 03 16:27:03 2016 TCP connection established with [AF_INET]xx.xx.xx.xx:443
Mon Oct 03 16:27:03 2016 TCPv4_CLIENT link local: [undef]
Mon Oct 03 16:27:03 2016 TCPv4_CLIENT link remote: [AF_INET]xx.xx.xx.xx:443
Mon Oct 03 16:27:03 2016 MANAGEMENT: >STATE:1475494023,WAIT,,,
Mon Oct 03 16:27:03 2016 Connection reset, restarting [-1]
Mon Oct 03 16:27:03 2016 SIGUSR1[soft,connection-reset] received, process restarting
Mon Oct 03 16:27:03 2016 MANAGEMENT: >STATE:1475494023,RECONNECTING,connection-reset,,
Mon Oct 03 16:27:03 2016 Restart pause, 5 second(s)
Mon Oct 03 16:27:05 2016 SIGTERM[hard,init_instance] received, process exiting
Mon Oct 03 16:27:05 2016 MANAGEMENT: >STATE:1475494025,EXITING,init_instance,,

_____________________

1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла.

~Punko

[kalek]

Тогда стоит посмотреть доходят ли от клиента вообще хоть какие-то пакеты на 443 порт vpn-сервера, например tcpdump'ом.
Если ничего не приходит, то придется использовать другой порт.

[alexbalkan]

Сделал Damp 443 порт, получил вот это

(Нажмите, чтобы показать/скрыть)

20:58:03.409110 IP XX.XX.XX.XX.60565 > abcdef.com.https: Flags [.], ack 1, win 258, length 0
20:58:04.258201 IP XX.XX.XX.XX.60565 > abcdef.com.https: Flags [P.], seq 1:45, ack 1, win 258, length 44
20:58:04.258269 IP abcdef.com.https > XX.XX.XX.XX.60565: Flags [.], ack 45, win 229, length 0
20:58:04.258515 IP abcdef.com.https > XX.XX.XX.XX.60565: Flags [P.], seq 1:57, ack 45, win 229, length 56
20:58:04.396452 IP XX.XX.XX.XX.60565 > abcdef.com.https: Flags [R], seq 391430615, win 0, length 0
20:58:09.428970 IP XX.XX.XX.XX.12691 > abcdef.com.https: Flags , seq 2228411294, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
20:58:09.429051 IP abcdef.com.https > XX.XX.XX.XX.12691: Flags [S.], seq 4111846818, ack 2228411295, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0

20:58:09.582737 IP XX.XX.XX.XX.12691 > abcdef.com.https: Flags [.], ack 1, win 258, length 0
20:58:10.428800 IP XX.XX.XX.XX.12691 > abcdef.com.https: Flags [P.], seq 1:45, ack 1, win 258, length 44
20:58:10.428852 IP abcdef.com.https > XX.XX.XX.XX.12691: Flags [.], ack 45, win 229, length 0
20:58:10.429058 IP abcdef.com.https > XX.XX.XX.XX.12691: Flags [P.], seq 1:57, ack 45, win 229, length 56
20:58:10.555569 IP XX.XX.XX.XX.12691 > abcdef.com.https: Flags [R], seq 2228411339, win 0, length 0
20:58:15.588809 IP XX.XX.XX.XX.51619 > abcdef.com.https: Flags , seq 1657972852, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
20:58:15.588895 IP abcdef.com.https > XX.XX.XX.XX.51619: Flags [S.], seq 3018383893, ack 1657972853, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0

20:58:15.751761 IP XX.XX.XX.XX.51619 > abcdef.com.https: Flags [.], ack 1, win 258, length 0
20:58:16.589523 IP XX.XX.XX.XX.51619 > abcdef.com.https: Flags [P.], seq 1:45, ack 1, win 258, length 44
20:58:16.589594 IP abcdef.com.https > XX.XX.XX.XX.51619: Flags [.], ack 45, win 229, length 0
20:58:16.589814 IP abcdef.com.https > XX.XX.XX.XX.51619: Flags [P.], seq 1:57, ack 45, win 229, length 56
20:58:16.727704 IP XX.XX.XX.XX.51619 > abcdef.com.https: Flags [R], seq 1657972897, win 0, length 0
20:58:21.760805 IP XX.XX.XX.XX.14616 > abcdef.com.https: Flags , seq 4093836013, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
20:58:21.760886 IP abcdef.com.https > XX.XX.XX.XX.14616: Flags [S.], seq 128323291, ack 4093836014, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0

Но мне это не о чем не говорит

____________________

1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла.

~Punko

[fisher74]

Вы, подглядывая в сторонний конфиг, пропустили очень важный параметр (первая же строка).
Пользователь добавил сообщение 03 Октября 2016, 21:44:16:И научитесь уже применять тег

[alexbalkan]

Вы, подглядывая в сторонний конфиг, пропустили очень важный параметр (первая же строка).

Честно говоря и не заметил здесь. Нет этой строки в конфиге, она перешла из ремарка при копировании текста
# OVPN_ACCESS_SERVER_CLI_PREF_ENABLE_XD_PROXY=True http-proxy xx.xx.xx.xx 443 setenv FORWARD_COMPATIBLE 1
client
server-poll-timeout 90
nobind
......
.....

[fisher74]

И? Что мешает его добавить? Или Вы также как и приложения игнорите в конфигах строки за знаком комментария?

Варианты параметра:

Код: [Выделить]

# Без проверки подлинности
http-proxy 192.168.1.1 8080

# Обычная проверка подлинности
http-proxy 192.168.1.1 8080 stdin basic

# NTLM аутентификация
http-proxy 192.168.1.1 8080 stdin ntlm
http-proxy 192.168.1.1 8080 proxy-auth.txt ntlm
#Содержимое файла proxy-auth.txt:
#username
#password

[alexbalkan]

И? Что мешает его добавить? Или Вы также как и приложения игнорите в конфигах строки за знаком комментария?

Добрый день! Объясните пожалуста мне, что-то я вообще затупил. Я поднял OpenVPN сервис на VPS. У меня все работает на ура, все делал по стандарту как всюду описано (левая сторона server.conf правая сторона config.ovpn). Клиент находится в другой стране, где один провайдер и режет все, что только можно. Описано, что OpenVPN обходит защиту, по TCP 443.... Это я как бы сделал, но ничего не работает((, но пинги вроде доходят, но что из этого следует не понимаю. Клиент на своей стороне использует OpenVPN c выше приведенным конфигом.

Код: [Выделить]

# Note: this configuration is user-locked to the username below
# OVPN_ACCESS_SERVER_USERNAME=name1
# Define the profile name of this particular configuration file
# OVPN_ACCESS_SERVER_PROFILE=name1
# OVPN_ACCESS_SERVER_AUTOLOGIN=1
# OVPN_ACCESS_SERVER_CLI_PREF_ALLOW_WEB_IMPORT=True
# OVPN_ACCESS_SERVER_CLI_PREF_ENABLE_CONNECT=True
# OVPN_ACCESS_SERVER_CLI_PREF_ENABLE_XD_PROXY=True http-proxy xx.xx.xx.xx 443 setenv FORWARD_COMPATIBLE 1
client
....
....В чем проблема? У него все работает, а с моим конфигом нет.
Мне нужно на своем сервере установить http_proxy, я правильно понял?
Что это дает?
Ни в одной раскоментированной строчке чужого конфига я не увидел упоминания про http_proxy
Подскажите плиз, уже весь мозг вынес с решением задачки. 

[fisher74]

Давайте отделим мух от котлет.
Что есть "не работает"?
1. Подключение есть (туннель поднимается)?
2. Попытки подключения в логах сервера есть?
3. Пакеты от клиента при попытке подключения прилетают?

ЗЫ Могу показаться занудным, но уже пора применять теги . Будьте вежливы к собеседникам, пользователям ресурса и его гостям.

[alexbalkan]

Давайте отделим мух от котлет.
Что есть "не работает"?
1. Подключение есть (туннель поднимается)?
2. Попытки подключения в логах сервера есть?
3. Пакеты от клиента при попытке подключения прилетают?

Давайте отделим мух от котлет.
Что есть "не работает"?
1. Подключение есть (туннель поднимается)?
2. Попытки подключения в логах сервера есть?
3. Пакеты от клиента при попытке подключения прилетают?

Давайте отделим, мух от котлет!
1. Подключение есть, туннель работает, сам на нем сижу
2. Попытки подключениях в логах есть:

(Нажмите, чтобы показать/скрыть)

Wed Oct  5 07:42:06 2016 us=856082 MULTI: multi_create_instance called
Wed Oct  5 07:42:06 2016 us=856133 Re-using SSL/TLS context
Wed Oct  5 07:42:06 2016 us=856152 LZO compression initialized
Wed Oct  5 07:42:06 2016 us=856239 Control Channel MTU parms [ L:1544 D:1182 EF:68 EB:0 ET:0 EL:3 ]
Wed Oct  5 07:42:06 2016 us=856270 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:143 ET:0 EL:3 AF:3/1 ]
Wed Oct  5 07:42:06 2016 us=856303 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Wed Oct  5 07:42:06 2016 us=856340 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Wed Oct  5 07:42:06 2016 us=856363 Local Options hash (VER=V4): 'bd577cd1'
Wed Oct  5 07:42:06 2016 us=856379 Expected Remote Options hash (VER=V4): 'ee93268d'
Wed Oct  5 07:42:06 2016 us=856411 TCP connection established with [AF_INET]xxx.xxx.xxx.xxx:7625
Wed Oct  5 07:42:06 2016 us=856424 TCPv4_SERVER link local: [undef]
Wed Oct  5 07:42:06 2016 us=856435 TCPv4_SERVER link remote: [AF_INET]xxx.xxx.xxx.xxx:7625
RWed Oct  5 07:42:07 2016 us=645903 xxx.xxx.xxx.xxx:7625 TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:7625, sid=9b1cb6bb 6652683d
WWed Oct  5 07:42:07 2016 us=780966 xxx.xxx.xxx.xxx:7625 Connection reset, restarting [-1]
Wed Oct  5 07:42:07 2016 us=781036 xxx.xxx.xxx.xxx:7625 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Oct  5 07:42:07 2016 us=781102 TCP/UDP: Closing socket

3.Снял dump с порта на сервере при попытках подключения

(Нажмите, чтобы показать/скрыть)

20:58:03.409110 IP XX.XX.XX.XX.60565 > abcdef.com.https: Flags [.], ack 1, win 258, length 0
20:58:04.258201 IP XX.XX.XX.XX.60565 > abcdef.com.https: Flags [P.], seq 1:45, ack 1, win 258, length 44
20:58:04.258269 IP abcdef.com.https > XX.XX.XX.XX.60565: Flags [.], ack 45, win 229, length 0
20:58:04.258515 IP abcdef.com.https > XX.XX.XX.XX.60565: Flags [P.], seq 1:57, ack 45, win 229, length 56
20:58:04.396452 IP XX.XX.XX.XX.60565 > abcdef.com.https: Flags [R], seq 391430615, win 0, length 0
20:58:09.428970 IP XX.XX.XX.XX.12691 > abcdef.com.https: Flags , seq 2228411294, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
20:58:09.429051 IP abcdef.com.https > XX.XX.XX.XX.12691: Flags [S.], seq 4111846818, ack 2228411295, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length

Еще вопрос, может быть проблема из за разницы во времени?
По логам клиента видно время подключения 12:26:53, а на сервере лог подключения клиента 12:26:04

[alexbalkan]

В дополнение к своей проблеме прочитал статью https://ru-sf.ru/threads/lomaem-dpi.1546/
Но не знаю как это реализовать на деле, помогите разобраться на примерах, плиз!