Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Не работает OpenVPN подлключение  (Прочитано 1258 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kozlone

  • Автор темы
  • Участник
  • *
  • Сообщений: 125
    • Просмотр профиля
Не работает OpenVPN подлключение
« : 05 Октябрь 2016, 14:44:22 »
Озадачился настройкой OpenVPN клиента. NetworkManager не хочет импортить конфиг файл. Поэтому пробую запустить из терминала:
kozlone@akpc:~/ovpn$ sudo openvpn --config client.ovpn
[sudo] password for kozlone:
Wed Oct  5 11:43:24 2016 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Feb  2 2016
Wed Oct  5 11:43:24 2016 library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
Wed Oct  5 11:43:24 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Oct  5 11:43:24 2016 WARNING: file '<filename>.pem' is group or others accessible
Wed Oct  5 11:43:24 2016 Socket Buffers: R=[212992->212992] S=[212992->212992]
Wed Oct  5 11:43:24 2016 UDPv4 link local: [undef]
Wed Oct  5 11:43:24 2016 UDPv4 link remote: [AF_INET]<ip_adress>:1195
Wed Oct  5 11:43:24 2016 TLS: Initial packet from [AF_INET]<ip_adress>:1195, sid=1fcad08d bce8eda3
Wed Oct  5 11:43:24 2016 VERIFY OK: depth=1, C=RU, L=Saint-Petersburg, O=Sigma Ltd, CN=Sigma Ltd VPN
Wed Oct  5 11:43:24 2016 VERIFY OK: depth=0, C=RU, L=Saint-Petersburg, O=Sigma Ltd, CN=sr7
Wed Oct  5 11:43:24 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Oct  5 11:43:24 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct  5 11:43:24 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Oct  5 11:43:24 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct  5 11:43:24 2016 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Wed Oct  5 11:43:24 2016 [sr7] Peer Connection Initiated with [AF_INET]<ip_address>:1195
Wed Oct  5 11:43:26 2016 SENT CONTROL [sr7]: 'PUSH_REQUEST' (status=1)
Wed Oct  5 11:43:27 2016 PUSH: Received control message: 'PUSH_REPLY,route 10.196.0.0 255.255.224.0,route 10.195.192.0 255.255.192.0,dhcp-option DNS 10.196.16.18,dhcp-option DNS 10.196.4.1,dhcp-option WINS 10.196.16.18,dhcp-option DOMAIN <domain_name>,dhcp-option DOMAIN <domain_name>.local,route-gateway 10.196.21.225,topology subnet,ping 10,ping-restart 240,ifconfig <route> 255.255.255.224'
Wed Oct  5 11:43:27 2016 OPTIONS IMPORT: timers and/or timeouts modified
Wed Oct  5 11:43:27 2016 OPTIONS IMPORT: --ifconfig/up options modified
Wed Oct  5 11:43:27 2016 OPTIONS IMPORT: route options modified
Wed Oct  5 11:43:27 2016 OPTIONS IMPORT: route-related options modified
Wed Oct  5 11:43:27 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Oct  5 11:43:27 2016 ROUTE_GATEWAY 192.168.88.1/255.255.255.0 IFACE=wlp9s0 HWADDR=00:c2:c6:75:d9:4c
Wed Oct  5 11:43:27 2016 TUN/TAP device tun0 opened
Wed Oct  5 11:43:27 2016 TUN/TAP TX queue length set to 100
Wed Oct  5 11:43:27 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Oct  5 11:43:27 2016 /sbin/ip link set dev tun0 up mtu 1500
Wed Oct  5 11:43:27 2016 /sbin/ip addr add dev tun0 <route>/27 broadcast 10.196.21.255
Wed Oct  5 11:43:27 2016 /sbin/ip route add 10.196.0.0/19 via 10.196.21.225
Wed Oct  5 11:43:27 2016 /sbin/ip route add 10.195.192.0/18 via 10.196.21.225
Wed Oct  5 11:43:27 2016 Initialization Sequence Completed
Пробую зайти на нужную вебстраницу - безуспешно. В Win все работает без проблем.
Меня в аутпуте смущает две строки:
Wed Oct  5 11:43:24 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Oct  5 11:43:24 2016 WARNING: file '<filename>.pem' is group or others accessible
Где проблема может быть?

Оффлайн Ilya С

  • Новичок
  • *
  • Сообщений: 33
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #1 : 05 Октябрь 2016, 23:30:53 »
а больше логов нет? Вроде пишет, что все
Wed Oct  5 11:43:27 2016 Initialization Sequence CompletedМожет все же есть подключается?

#ifconfig


Оффлайн kozlone

  • Автор темы
  • Участник
  • *
  • Сообщений: 125
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #2 : 06 Октябрь 2016, 00:14:34 »
Ilya С, ну я сам не могу понять почему ошибок никаких нет, однако попасть на нужную страницу не могу.
Вот выхлоп ifconfig:
kozlone@akpc:~$ sudo ifconfig
[sudo] password for kozlone:
enp8s0    Link encap:Ethernet  HWaddr 28:d2:44:78:5e:ab 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:19

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:1308 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1308 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:119525 (119.5 KB)  TX bytes:119525 (119.5 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.196.21.228  P-t-P:10.196.21.228  Mask:255.255.255.224
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:1288 (1.2 KB)

wlp9s0    Link encap:Ethernet  HWaddr 00:c2:c6:75:d9:4c 
          inet addr:192.168.1.6  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::84e6:ab63:e8da:42f9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:343594 errors:0 dropped:0 overruns:0 frame:0
          TX packets:197846 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:387133651 (387.1 MB)  TX bytes:59023570 (59.0 MB)


Valan

  • Гость
Re: Не работает OpenVPN подлключение
« Ответ #3 : 06 Октябрь 2016, 13:46:14 »
Пинги до куда идут после подключения? Дефоллтный маршрут на клиенте поднимается ?
На сервере  разрешенно хождение транзитного траффика?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #4 : 06 Октябрь 2016, 20:51:34 »
На кофеной гуще ещё не пробовали?

Показываем выхлопы:
С сервера:
ip a; ip r
sysctl net.ipv4.ip_forward
sudo iptables-save

К клиента:
ip a; ip r
nslookup неоктрывающийся-сайт
ping -c2 неоктрывающийся-сайт
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн kozlone

  • Автор темы
  • Участник
  • *
  • Сообщений: 125
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #5 : 07 Октябрь 2016, 16:35:18 »
У меня кроме настроек килента нет ничего. Я пользователь VPN. Мне лишь дали конфиг файлы, с которыми ломиться на сервак.
Единственное, что могу дать - вывод из лога OpenVPN на винде.
« Последнее редактирование: 07 Октябрь 2016, 16:39:04 от kozlone »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26090
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #6 : 07 Октябрь 2016, 16:48:39 »
Вот и показывайте, что можете.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kozlone

  • Автор темы
  • Участник
  • *
  • Сообщений: 125
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #7 : 07 Октябрь 2016, 16:53:15 »
kozlone@akpc:~$ nslookup nsd.***.ru
Server: 127.0.1.1
Address: 127.0.1.1#53

Non-authoritative answer:
nsd.***.ru canonical name = sr7.***.ru.
Name: sr7.***.ru
Address: 212.*.87.*

kozlone@akpc:~$ ping -c2 nsd.***.ru
PING sr7.***.ru (212.*.87.*) 56(84) bytes of data.
64 bytes from 212.*.87.*: icmp_seq=1 ttl=53 time=60.3 ms
64 bytes from 212.*.87.*: icmp_seq=2 ttl=53 time=59.7 ms

--- sr7.***.ru ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 59.789/60.081/60.373/0.292 ms

Пользователь добавил сообщение 07 Октябрь 2016, 17:07:16:
При подлючении на винде:
Fri Oct 07 16:56:40 2016 OpenVPN 2.3.12 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 23 2016
Fri Oct 07 16:56:40 2016 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Oct 07 16:56:40 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Enter Management Password:
Fri Oct 07 16:56:40 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Oct 07 16:56:40 2016 Need hold release from management interface, waiting...
Fri Oct 07 16:56:40 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Oct 07 16:56:40 2016 MANAGEMENT: CMD 'state on'
Fri Oct 07 16:56:40 2016 MANAGEMENT: CMD 'log all on'
Fri Oct 07 16:56:41 2016 MANAGEMENT: CMD 'hold off'
Fri Oct 07 16:56:41 2016 MANAGEMENT: CMD 'hold release'
Fri Oct 07 16:56:41 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Oct 07 16:56:41 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Oct 07 16:56:41 2016 UDPv4 link local: [undef]
Fri Oct 07 16:56:41 2016 UDPv4 link remote: [AF_INET]212.*.87.*:1195
Fri Oct 07 16:56:41 2016 MANAGEMENT: >STATE:1475848601,WAIT,,,
Fri Oct 07 16:56:41 2016 MANAGEMENT: >STATE:1475848601,AUTH,,,
Fri Oct 07 16:56:41 2016 TLS: Initial packet from [AF_INET]212.*.87.*:1195, sid=a3c46a3c 30eb182c
Fri Oct 07 16:56:41 2016 VERIFY OK: depth=1, C=RU, L=Saint-Petersburg, O=*** Ltd, CN=*** Ltd VPN
Fri Oct 07 16:56:41 2016 VERIFY OK: depth=0, C=RU, L=Saint-Petersburg, O=*** Ltd, CN=sr7
Fri Oct 07 16:56:41 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Oct 07 16:56:41 2016 WARNING: this cipher's block size is less than 128 bit (64 bit).  Consider using a --cipher with a larger block size.
Fri Oct 07 16:56:41 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 07 16:56:41 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Oct 07 16:56:41 2016 WARNING: this cipher's block size is less than 128 bit (64 bit).  Consider using a --cipher with a larger block size.
Fri Oct 07 16:56:41 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 07 16:56:41 2016 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Fri Oct 07 16:56:41 2016 [sr7] Peer Connection Initiated with [AF_INET]212.*.87.*:1195
Fri Oct 07 16:56:43 2016 MANAGEMENT: >STATE:1475848603,GET_CONFIG,,,
Fri Oct 07 16:56:44 2016 SENT CONTROL [sr7]: 'PUSH_REQUEST' (status=1)
Fri Oct 07 16:56:44 2016 PUSH: Received control message: 'PUSH_REPLY,route 10.196.0.0 255.255.224.0,route 10.195.192.0 255.255.192.0,dhcp-option DNS 10.196.16.18,dhcp-option DNS 10.196.4.1,dhcp-option WINS 10.196.16.18,dhcp-option DOMAIN ***-it.ru,dhcp-option DOMAIN ***-it.local,route-gateway 10.196.*.*,topology subnet,ping 10,ping-restart 240,ifconfig 10.196.21.228 255.255.255.224'
Fri Oct 07 16:56:44 2016 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 07 16:56:44 2016 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 07 16:56:44 2016 OPTIONS IMPORT: route options modified
Fri Oct 07 16:56:44 2016 OPTIONS IMPORT: route-related options modified
Fri Oct 07 16:56:44 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Oct 07 16:56:44 2016 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=19 HWADDR=00:c2:c6:75:d9:4c
Fri Oct 07 16:56:44 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Oct 07 16:56:44 2016 MANAGEMENT: >STATE:1475848604,ASSIGN_IP,,10.196.*.228,
Fri Oct 07 16:56:44 2016 open_tun, tt->ipv6=0
Fri Oct 07 16:56:44 2016 TAP-WIN32 device [Ethernet 3] opened: \\.\Global\{AC64862F-9C9A-4D44-8577-6AD629FBD2AE}.tap
Fri Oct 07 16:56:44 2016 TAP-Windows Driver Version 9.21
Fri Oct 07 16:56:44 2016 Set TAP-Windows TUN subnet mode network/local/netmask = 10.196.*.224/10.196.21.228/255.255.255.224 [SUCCEEDED]
Fri Oct 07 16:56:44 2016 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.196.*.228/255.255.255.224 on interface {AC64862F-9C9A-4D44-8577-6AD629FBD2AE} [DHCP-serv: 10.196.21.254, lease-time: 31536000]
Fri Oct 07 16:56:44 2016 Successful ARP Flush on interface [22] {AC64862F-9C9A-4D44-8577-6AD629FBD2AE}
Fri Oct 07 16:56:49 2016 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Oct 07 16:56:49 2016 MANAGEMENT: >STATE:1475848609,ADD_ROUTES,,,
Fri Oct 07 16:56:49 2016 C:\WINDOWS\system32\route.exe ADD 10.196.0.0 MASK 255.255.224.0 10.196.*.*
Fri Oct 07 16:56:49 2016 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Fri Oct 07 16:56:49 2016 Route addition via IPAPI succeeded [adaptive]
Fri Oct 07 16:56:49 2016 C:\WINDOWS\system32\route.exe ADD 10.195.192.0 MASK 255.255.192.0 10.196.*.*
Fri Oct 07 16:56:49 2016 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Fri Oct 07 16:56:49 2016 Route addition via IPAPI succeeded [adaptive]
Fri Oct 07 16:56:49 2016 Initialization Sequence Completed
Fri Oct 07 16:56:49 2016 MANAGEMENT: >STATE:1475848609,CONNECTED,SUCCESS,10.196.21.228,212.*.87.*

Microsoft Windows [Version 10.0.14393]
(c) Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены.

C:\WINDOWS\system32>ping nsd.***.ru

Обмен пакетами с nsd.***.ru [10.*.17.*] с 32 байтами данных:
Ответ от 10.*.21.*: Заданный узел недоступен.
Ответ от 10.*.21.*: Заданный узел недоступен.
Ответ от 10.*.21.*: Заданный узел недоступен.
Ответ от 10.*.21.*: Заданный узел недоступен.

Статистика Ping для 10.*.17.*:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)

C:\WINDOWS\system32>nslookup nsd.***.ru
╤хЁтхЁ:  fs1***.***.local
Address:  10.*.16.*

╚ь :     nsd.***.ru
Address:  10.*.17.*


C:\WINDOWS\system32>

Пользователь добавил сообщение 07 Октябрь 2016, 17:37:10:
На сервера могу зайти, но только если указать ip-шник, имя хоста не резолвит:
kozlone@akpc:~$ ssh ***@10.*.244.*
***@10.*.244.*'s password:
Permission denied, please try again.
***@10.*.244.*'s password:
[***@*** ~]$ logout

Connection to 10.*.244.* closed.
kozlone@akpc:~$ ssh ***@***.fast.***.ru
ssh: Could not resolve hostname : Name or service not known
« Последнее редактирование: 07 Октябрь 2016, 17:38:14 от kozlone »

Оффлайн kozlone

  • Автор темы
  • Участник
  • *
  • Сообщений: 125
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #8 : 11 Октябрь 2016, 00:06:34 »
На рабочих станциях столкнулись с такой же проблемой.
Будем с сисадмином вместе разбираться. В случае успеха запулю решение сюда.

Оффлайн kozlone

  • Автор темы
  • Участник
  • *
  • Сообщений: 125
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #9 : 14 Октябрь 2016, 23:23:48 »
Решено:
Прописали адреса серверов в /etc/hosts и все заработало.
 ;)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26090
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #10 : 15 Октябрь 2016, 15:50:38 »
Бред же ж.
libresolvconf недолечили?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kozlone

  • Автор темы
  • Участник
  • *
  • Сообщений: 125
    • Просмотр профиля
Re: Не работает OpenVPN подлключение
« Ответ #11 : 19 Октябрь 2016, 09:04:57 »
Бред же ж.
libresolvconf недолечили?
Ну после того как на своем ноут добавил сервера в /etc/hosts тоже заработала тикетка.

 

Страница сгенерирована за 0.067 секунд. Запросов: 24.