Перестал подключаться к OpenVPN

[N1mr0d]

Система Ubuntu Server 12.04 TLS, виртуализация Windows Azure. Установил и настроил OpenVPN по этому руководству http://habrahabr.ru/post/153855/ Все работало нормально, подключался, IP внешн. выдавался от сервера. И на свою голову решил убедиться, что удачность подключения не зависит от строк в конфигурационном файле OpenVPN (server.conf). Там есть 2 строчки: push "dhcp-option DNS 8.8.8.8" и push "dhcp-option DNS 8.8.4.4", я их закомментил, сохранил файл и перезагрузил openvpn и саму машину(reboot), после чего не смогу подключиться к серверу, после возвращения этих 2 строк в первобытное состояние и перезагрузку ничего не изменилось. Не могу подключиться к серверу. Подскажите советом в чем может быть дело?

Конечно, вот содержимое /etc/openvpn/server.conf

(Нажмите, чтобы показать/скрыть)

local ip_сервера
port 1194
proto udp
dev tun
ca ca.crt
cert servervpn_azure.crt
key servervpn_azure.key
dh 1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth ta.key 0
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 5 - была 3
mute 20

~$ sudo service openvpn restart

(Нажмите, чтобы показать/скрыть)

* Stopping virtual private network daemon(s)...
* No VPN is running.
* Starting virtual private network daemon(s)...
* Autostarting VPN 'server'

:~$ sudo iptables -L

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:bootpc

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 10.8.0.0/24 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

:~$ sudo cat /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# Source interfaces
# Please check /etc/network/interfaces.d before changing this file
# as interfaces may have been defined in /etc/network/interfaces.d
# NOTE: the primary ethernet device is defined in
# /etc/network/interfaces.d/eth0
# See LP: #1262951
source /etc/network/interfaces.d/*.cfg

(прочел в статьях, что при включенном VPN сервере должен создаться еще один интерфейс tun0, который отсутствует отсутствует)
:~$ ifconfig -a 

(Нажмите, чтобы показать/скрыть)

eth0 Link encap:Ethernet HWaddr 00:15:5d:57:15:2c
inet addr:100.88.148.73 Bcast:100.88.149.255 Mask:255.255.254.0
inet6 addr: fe80::215:5dff:fe57:152c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:359 errors:0 dropped:0 overruns:0 frame:0
TX packets:520 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:46756 (46.7 KB) TX bytes:79815 (79.8 KB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

:~$ route -n

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 100.88.148.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 100.88.148.1 0.0.0.0 UG 100 0 0 eth0
100.88.148.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0

cat /proc/sys/net/ipv4/ip_forward =1 стоит

:~$ arp -n -i eth0

(Нажмите, чтобы показать/скрыть)

Address HWtype HWaddress Flags Mask Iface
100.88.148.1 ether 54:7f:ee:86:79:7c C eth0
100.88.148.120 ether 00:8c:fa:11:74:a6 C eth0

Далее log-и:
1. клиента

(Нажмите, чтобы показать/скрыть)

Thu Feb 27 02:07:01 2014 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Thu Feb 27 02:07:01 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Feb 27 02:07:01 2014 Need hold release from management interface, waiting...
Thu Feb 27 02:07:01 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Feb 27 02:07:01 2014 MANAGEMENT: CMD 'state on'
Thu Feb 27 02:07:01 2014 MANAGEMENT: CMD 'log all on'
Thu Feb 27 02:07:01 2014 MANAGEMENT: CMD 'hold off'
Thu Feb 27 02:07:01 2014 MANAGEMENT: CMD 'hold release'
Thu Feb 27 02:07:05 2014 MANAGEMENT: CMD 'password [...]'
Thu Feb 27 02:07:05 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Feb 27 02:07:05 2014 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Feb 27 02:07:05 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 27 02:07:05 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 27 02:07:05 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Feb 27 02:07:05 2014 UDPv4 link local (bound): [undef]
Thu Feb 27 02:07:05 2014 UDPv4 link remote: [AF_INET]*.*.*.*:1194 <-(*.*.*.* это внешний_ip_сервера)
Thu Feb 27 02:07:05 2014 MANAGEMENT: >STATE:1393452425,WAIT,,,
Thu Feb 27 02:08:05 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb 27 02:08:05 2014 TLS Error: TLS handshake failed
Thu Feb 27 02:08:05 2014 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb 27 02:08:05 2014 MANAGEMENT: >STATE:1393452485,RECONNECTING,tls-error,,
Thu Feb 27 02:08:05 2014 Restart pause, 2 second(s)

[fisher74]

Хе, клиента лог показали, а сервера нет. Ясно же, что не стартует демон

и дабы исключить ошибки за занавесом паранои закомменитруйте пока строчку
local ip_сервера

Предпологаю, что загрузилось новое ведро без поддержки tun-интерфейса

source /etc/network/interfaces.d/*.cfg

эт что-то новенькое в ubuntu...

[N1mr0d]

Да проверил, набираю команду ~$ sudo service openvpn status, в ответ: * VPN 'server' is not running. Такое же сообщение при проверки статуса появляется и после команды ~$ sudo service openvpn start или restart.

В конфиге закомментировал строку local с ip сервера. Посоветуйте, чем дальше "лечить"?

[fisher74]

Вы в логи сервера смотрели? Решение проблемы всегда начинают с анализа логов.

[N1mr0d]

Последние записи дотированы 28 числом.
:~$ sudo more /etc/openvpn/openvpn.log

(Нажмите, чтобы показать/скрыть)

Fri Feb 28 21:39:25 2014 us=226743 Current Parameter Settings:
Fri Feb 28 21:39:25 2014 us=226810   config = '/etc/openvpn/server.conf'
Fri Feb 28 21:39:25 2014 us=226822   mode = 1
Fri Feb 28 21:39:25 2014 us=226832   persist_config = DISABLED
Fri Feb 28 21:39:25 2014 us=226841   persist_mode = 1
Fri Feb 28 21:39:25 2014 us=226851   show_ciphers = DISABLED
Fri Feb 28 21:39:25 2014 us=226859   show_digests = DISABLED
Fri Feb 28 21:39:25 2014 us=226868   show_engines = DISABLED
Fri Feb 28 21:39:25 2014 us=226877   genkey = DISABLED
Fri Feb 28 21:39:25 2014 us=226886   key_pass_file = '[UNDEF]'
Fri Feb 28 21:39:25 2014 us=226894   show_tls_ciphers = DISABLED
Fri Feb 28 21:39:25 2014 us=226905 Connection profiles [default]:
Fri Feb 28 21:39:25 2014 us=226915   proto = udp
Fri Feb 28 21:39:25 2014 us=226924   local = 'ип сервера'
Fri Feb 28 21:39:25 2014 us=226933   local_port = 1194
Fri Feb 28 21:39:25 2014 us=226942   remote = '[UNDEF]'
Fri Feb 28 21:39:25 2014 us=226951   remote_port = 1194
Fri Feb 28 21:39:25 2014 us=226960   remote_float = DISABLED
Fri Feb 28 21:39:25 2014 us=226968   bind_defined = DISABLED
Fri Feb 28 21:39:25 2014 us=226977   bind_local = ENABLED
Fri Feb 28 21:39:25 2014 us=226986 NOTE: --mute triggered...
Fri Feb 28 21:39:25 2014 us=227005 259 variation(s) on previous 20 message(s) suppressed by --mute
Fri Feb 28 21:39:25 2014 us=227015 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 27 2013
Fri Feb 28 21:39:25 2014 us=227208 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Feb 28 21:39:25 2014 us=229807 Diffie-Hellman initialized with 1024 bit key
Fri Feb 28 21:39:25 2014 us=232733 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Feb 28 21:39:25 2014 us=232763 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb 28 21:39:25 2014 us=232776 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb 28 21:39:25 2014 us=232797 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Feb 28 21:39:25 2014 us=232824 Socket Buffers: R=[229376->131072] S=[229376->131072]
Fri Feb 28 21:39:25 2014 us=232847 TCP/UDP: Socket bind failed on local address [AF_INET]137.117.135.166:1194: Cannot assign requested address
Fri Feb 28 21:39:25 2014 us=232861 Exiting

[fisher74]

Socket bind failed on local address ...

Вот я же предлагал....

и дабы исключить ошибки за занавесом паранои закомменитруйте пока строчку
local ip_сервера

Уберите пока эту строчку из конфига и перезапустите openvpn

Пользователь решил продолжить мысль 01 Марта 2014, 17:53:09:и уберите простыни под спойлер

[N1mr0d]

По поводу

Предпологаю, что загрузилось новое ведро без поддержки tun-интерфейса

ls /dev/net показывает наличие tun интерфейса, команда lsmod
~$ sudo lsmod

(Нажмите, чтобы показать/скрыть)

Module                  Size  Used by
ipt_MASQUERADE         12759  1
iptable_nat            13229  1
nf_nat                 25891  2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      19716  4 iptable_nat,nf_nat
nf_defrag_ipv4         12729  1 nf_conntrack_ipv4
xt_state               12578  1
nf_conntrack           81926  5 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state
xt_tcpudp              12603  2
iptable_filter         12810  1
ip_tables              27473  2 iptable_nat,iptable_filter
x_tables               29891  6 ipt_MASQUERADE,iptable_nat,xt_state,xt_tcpudp,iptable_filter,ip_tables
udf                    94613  0
crc_itu_t              12707  1 udf
joydev                 17693  0
hid_hyperv             13016  0
mac_hid                13253  0
hid                    99883  1 hid_hyperv
i2c_piix4              13301  0
psmouse                97519  0
serio_raw              13211  0
hv_netvsc              22655  0
hv_storvsc             17524  2
hv_utils               13610  0
floppy                 70207  0
hv_vmbus               30318  4 hid_hyperv,hv_netvsc,hv_storvsc,hv_utils

sudo nano boot/config-3.2.0-58-vrtual, нашел там CONFIG_TUN=y в группе # IEEE 1394 (FireWire) support, подгруппа # CONFIG_NETPOLL_TRAP is not set

Пользователь решил продолжить мысль 01 Марта 2014, 18:28:52:

Вот я же предлагал....

и дабы исключить ошибки за занавесом паранои закомменитруйте пока строчку
local ip_сервера

Уберите пока эту строчку из конфига и перезапустите openvpn

Все работает. Удалил из конфига упоминание о ip сервера и смог подключиться. Не могу понять почему не работало когда явно айпишник был прописан.

[fisher74]

видимо прописанная строка
local 137.117.135.166
не соответсвует

~$ ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:15:5d:57:15:2c
inet addr:100.88.148.73 Bcast:100.88.149.255 Mask:255.255.254.0

Пользователь решил продолжить мысль 01 Марта 2014, 18:52:20:Ещё раз рекомендую убрать листинги под тег спойлер
Пользователь решил продолжить мысль 01 Марта 2014, 19:09:56:Зачем Вы вообще указывали local?
Он нужен только в тех случаях, когда openvpn должен быть доступен только с одного адреса.

Один из примеров: использование шлюза для различных уровней доступа из локальной сети и из внешней сети. Запускается два демона с разными настройками (к примеру разные подсети vpn, с разными секторами доступа) биндящихся на одни порт, но разные интерфейсы.
У клиентов в конфиге указано доменное имя сервера, а вот к на какой адрес указывает DNS... Потому когда они цепляются из фуллнета - одни возможности, из локалки - другие.
Может пример и не из лучших, но думаю понятно зачем можно указывать local

[N1mr0d]

inet addr:100.88.148.73 - это внутренний айпишник сервера, а другой 137.117.135.166 внешний статический, поэтому и указал его ибо не поменяется, чтобы наверняка.

Ещё раз рекомендую убрать листинги под тег спойлер

Вы про: status openvpn-status.log и log openvpn.log ?

[fisher74]

и про lsmod и про остальное

[peregrine]

N1mr0d, если не спрячете простыни под спойлер, я выдам проценты.
Прочитайте правила, пункт 1.4.

(Нажмите, чтобы показать/скрыть)

Это такая кнопка, под которую прячут длинный текст.

[N1mr0d]

N1mr0d, если не спрячете простыни под спойлер, я выдам проценты.
Прочитайте правила, пункт 1.4.

(Нажмите, чтобы показать/скрыть)

Это такая кнопка, под которую прячут длинный текст.

Готово командир)