OpenVPN сервер

[Kazaf]

Доброго дня.

Захотел я на своем домашнем сервере поднять VPN, чтоб с рабочей машины лазить в родную локалку.
Конфиг openVPN на домашнем сервере:

Код: [Выделить]

port 2025

proto udp

dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/homeSRV.crt
key /etc/openvpn/keys/homeSRV.key  # This file should be kept secret

dh /etc/openvpn/keys/dh2048.pem

server 10.8.0.0 255.255.255.0

client-config-dir ccd

ifconfig-pool-persist ipp.txt

route 192.168.1.0 255.255.255.0

tls-server
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
auth SHA1
cipher BF-CBC

client-to-client

keepalive 10 120

comp-lzo

max-clients 10

user nobody
group nogroup

persist-key
persist-tun

status /home/kemechedzhiev/openvpn-status.log
log /home/kemechedzhiev/openvpn.log

verb 3
mute 20

Сгенерировал ключи, отправил себе на рабочую машину (Debian), на ней такой конфиг:

Код: [Выделить]

client
dev tun
proto udp

remote myIP 2025

ca /configs/homeVPN/ca.crt
cert /configs/homeVPN/donaptWorkstation.crt
key /configs/homeVPN/donaptWorkstation.key
tls-client
tls-auth /configs/homeVPN/ta.key 1
auth SHA1
cipher BF-CBC
remote-cert-tls server
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log

verb 3
mute 20

На сервере интерфейс tun0 подымается. На клиенте в логах вижу:

Код: [Выделить]

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)Не пойму, в чем дело. У меня статический IP-адрес, порт на роутере до сервера проброшен. Кто может подсказать?

[fisher74]

Переведите временно на tcp и проверяйте проброс порта например telnet-ом (хотя есть мнение, что udp для OVPN не намного лучше, чем tcp)
Либо проверяйте tcpdump-ом или шаркайте (wireshark).. короче ищите где теряется  открытый порт

ЗЫ надеюсь с iptables не игрались
ЗЗЫ на форуме сталкивались, что на роутере вместо udp пробрасывали tcp. Было и роутер показывал, что пробросил, а по факту "бублик"

[Kazaf]

Проверю роутер, конечно, но дело в том, что до этого настраивал VPN на windows (по работе), и он работал на том же порту.

C iptables игрался так, как было написано тут: https://help.ubuntu.ru/wiki/openvpn

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o p5p1 -j MASQUERADE
sudo iptables-save


[fisher74]

sudo iptables-save делает не совсем то, что Вы подумали (скорее всего).
На всякий случай покажите, что эта команда выдаёт.

и он работал

Совершенно ни о чём не говорит. Ваш лог косвенно показывает, что клиент не видит сервер. Чтобы убедиться в этом достаточно перевести сервер в tcp и про телнетить егоЮ, либо другими, в том числе озвученными средствами.
Для простоты  настройки, я бы проверил работоспособность сервера VPN внутри локалки, у Вас же дома есть ещё компьютер кроме этого сервера.

[Kazaf]

Прошу прощения за долгое молчание. Обстоятельства.

Проверяю прямо сейчас дома, в локальной сети. Результат тот же, TLS Error. Соответственно, в конфиге клиента указан локальный адрес.

По поводу iptables-save: сейчас уже ничего не выдает, что выдавало тогда, побуквенно не помню, но если бы были Error'ы и Warning'и, я бы насторожился.
Пользователь решил продолжить мысль [time]09 Февраль 2016, 23:09:37[/time]:Проклятая невнимательность.
iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Tue Feb  9 22:08:46 2016
*filter
:INPUT DROP [145:10090]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [15:708]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 22 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 9091 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 9091 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8080 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8080 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 9777 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 9777 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Tue Feb  9 22:08:46 2016

Пользователь решил продолжить мысль 09 Февраля 2016, 22:41:21:Хм... Сейчас вот сделал из локалки nmap на свой сервер, получил

Код: [Выделить]

Not shown: 997 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
8080/tcp open   http-proxy
9091/tcp closed xmltec-xmlmail
А 2025 и нет... Это я своими кривыми руками в iptables что-то намутил?

[AnrDaemon]

У вас совершенно откровенно стоит ufw. Либо настраивайте через него, либо сносите.

[fisher74]

+1 к предыдущему оратору

[Kazaf]

Я делаю:

Код: [Выделить]

sudo ufw allow 2025В ответ получаю сообщение "Skipping adding existing rule", потому что такое правило я уже добавлял.
Когда я уже с работы nmap'ом сканирую свой ip-адрес, порта 2025 я не вижу. Роутер ZyXel Keenetic 4g, порт проброшен по udp.
Пробовал по tcp - то же самое.

[fisher74]

извините, мы ufw не пользуем и тем более не являемся его разработчиками, потому что там не так работает - не разумеем.
В правилах этот порт точно блочится.
Пробуйте удалить это правило и снова добавить

[Kazaf]

Сделал

Код: [Выделить]

sudo ufw allow openvpn,
и смог подключиться.

Теперь буду разбираться, как подключить к VPN смартфон и как пропускать его трафик через домашнюю сеть ))

Спасибо!