Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: ubuntu server + openvpn server = при запуске Options error: --dh fails with 'dh.  (Прочитано 6483 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 606
    • Просмотр профиля
Здравствуйте.
Подскажите пожалуйста. Ubuntu server 20.04 (vps amazon). Устанавливаю openvpn server. Дошел до запуска самого сервера. Идет ругань на сертификаты.
Конфигурация:
port 1194
proto udp
dev tun
ca ca.crt
cert yyyy.crt
key yyyy.key
dh dh.pem
server 10.9.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth ta.key 1
auth SHA1
cipher AES-256-CBC
client-to-client
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1

Терминал:
sudo openvpn /etc/openvpn/server.conf
Options error: --dh fails with 'dh.pem': No such file or directory (errno=2)
Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)
Options error: --cert fails with 'yyyy.crt': No such file or directory (errno=2)
Mon Oct 18 15:42:50 2021 WARNING: cannot stat file 'yyyy.key': No such file or directory (errno=2)
Options error: --key fails with 'yyyy.key': No such file or directory (errno=2)
Mon Oct 18 15:42:50 2021 WARNING: cannot stat file 'ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with 'ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
В папке логов нет. Сами сертификаты в /etc/openvpn в наличии.
Где может быть ошибка?

благодарю

Оффлайн ALiEN175

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 5635
  • Сделай шаг и пройдешь милю
    • Просмотр профиля
ca ca.crt
cert yyyy.crt
key yyyy.key
dh dh.pem
No such file or directory
А если чуть-чуть подумать?
https://archlinux.com.ru
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 606
    • Просмотр профиля
ca ca.crt
cert yyyy.crt
key yyyy.key
dh dh.pem
No such file or directory
А если чуть-чуть подумать?
Права.
Когда копировал сертификаты по мануалу, прошло только через судо:
cp ./pki/ca.crt /etc/openvpn/ca.crt

Оффлайн ALiEN175

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 5635
  • Сделай шаг и пройдешь милю
    • Просмотр профиля
YDenis, неа) рабочая директория  :)
cd /etc/openvpn && sudo openvpn /etc/openvpn/server.conf
https://archlinux.com.ru
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 606
    • Просмотр профиля
YDenis, неа) рабочая директория  :)
cd /etc/openvpn && sudo openvpn /etc/openvpn/server.conf
благодарю

Пользователь добавил сообщение 18 Октября 2021, 19:24:57:
И еще ребята плиз.
Мне tcp нужно (микротик будет клиентом).
Ставлю proto tcp
Options error: --explicit-exit-notify can only be used with --proto udp


« Последнее редактирование: 18 Октября 2021, 19:24:57 от YDenis »

Оффлайн ALiEN175

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 5635
  • Сделай шаг и пройдешь милю
    • Просмотр профиля
Пара советов:
- ключи и сертификаты можно хранить непосредственно в конфиг-файле.

- OpenVPN сильно режет скорость. Если это критично, лучше посмотреть на Wireguard
https://archlinux.com.ru
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 606
    • Просмотр профиля
Пара советов:
- ключи и сертификаты можно хранить непосредственно в конфиг-файле.

- OpenVPN сильно режет скорость. Если это критично, лучше посмотреть на Wireguard
Микрот в 7 версии операционки будет работать с Wireguard. Сейчас нет.

сенк

Оффлайн ALiEN175

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 5635
  • Сделай шаг и пройдешь милю
    • Просмотр профиля
Ставлю proto tcp
Options error: --explicit-exit-notify can only be used with --proto udp

Всё написано же. Уберите explicit-exit-notify
https://archlinux.com.ru
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 606
    • Просмотр профиля
Добрый.
Чтоб не плодить темы и на правах ТС спрошу.
server.conf:
port 1194
proto tcp
dev tun
ca ca.crt
cert yyyy.crt
key yyyy.key
dh dh.pem
server 10.9.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth ta.key 1
auth SHA1
cipher AES-256-CBC
client-to-client
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3

Запускаю:
ubuntu@ip-172-31-41-114:~$ cd /etc/openvpn && sudo openvpn /etc/openvpn/server.conf
Wed Oct 27 14:42:36 2021 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021
Wed Oct 27 14:42:36 2021 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Wed Oct 27 14:42:36 2021 Diffie-Hellman initialized with 2048 bit key
Wed Oct 27 14:42:36 2021 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 27 14:42:36 2021 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 27 14:42:36 2021 ROUTE_GATEWAY 172.31.32.1/255.255.240.0 IFACE=eth0 HWADDR=06:65:5c:42:3d:e6
Wed Oct 27 14:42:36 2021 TUN/TAP device tun2 opened
Wed Oct 27 14:42:36 2021 TUN/TAP TX queue length set to 100
Wed Oct 27 14:42:36 2021 /sbin/ip link set dev tun2 up mtu 1500
Wed Oct 27 14:42:37 2021 /sbin/ip addr add dev tun2 local 10.9.0.1 peer 10.9.0.2
Wed Oct 27 14:42:37 2021 /sbin/ip route add 10.9.0.0/24 via 10.9.0.2
RTNETLINK answers: File exists
Wed Oct 27 14:42:37 2021 ERROR: Linux route add command failed: external program exited with error status: 2
Wed Oct 27 14:42:37 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed Oct 27 14:42:37 2021 Socket Buffers: R=[131072->131072] S=[16384->16384]
Wed Oct 27 14:42:37 2021 TCP/UDP: Socket bind failed on local address [AF_INET][undef]:1194: Address already in use (errno=98)
Wed Oct 27 14:42:37 2021 Exiting due to fatal error
Wed Oct 27 14:42:37 2021 Closing TUN/TAP interface
Wed Oct 27 14:42:37 2021 /sbin/ip addr del dev tun2 local 10.9.0.1 peer 10.9.0.2
Куда нужно посмотреть чтобы найти ошибку?

благодарю

Оффлайн ALiEN175

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 5635
  • Сделай шаг и пройдешь милю
    • Просмотр профиля
ip a; echo; ip r

systemctl list-units | grep vpn
https://archlinux.com.ru
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 606
    • Просмотр профиля
ip a; echo; ip r

systemctl list-units | grep vpn

ubuntu@ip-172-31-1-60:/etc/openvpn$ ip a; echo; ip r
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc fq_codel state UP group default qlen 1000
    link/ether 0a:d5:d7:1b:b0:08 brd ff:ff:ff:ff:ff:ff
    inet 172.31.1.60/20 brd 172.31.15.255 scope global dynamic eth0
       valid_lft 2132sec preferred_lft 2132sec
    inet6 fe80::8d5:d7ff:fe1b:b008/64 scope link
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/none
    inet 172.21.55.1 peer 172.21.55.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::7e09:68a3:1403:5e8a/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

default via 172.31.0.1 dev eth0 proto dhcp src 172.31.1.60 metric 100
172.21.55.0/24 via 172.21.55.2 dev tun0
172.21.55.2 dev tun0 proto kernel scope link src 172.21.55.1
172.31.0.0/20 dev eth0 proto kernel scope link src 172.31.1.60
172.31.0.1 dev eth0 proto dhcp scope link src 172.31.1.60 metric 100

ubuntu@ip-172-31-1-60:/etc/openvpn$ systemctl list-units | grep vpn
  openvpn@server.service                           loaded activating auto-restart OpenVPN connection to server
  system-openvpn.slice                             loaded active     active       system-openvpn.slice

Оффлайн ALiEN175

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 5635
  • Сделай шаг и пройдешь милю
    • Просмотр профиля
Если вручную запускаете, останавливайте либо убирайте автозагрузку.
sudo systemctl stop openvpn@server
https://archlinux.com.ru
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

shamanhuev

  • Гость
inet 172.21.55.1 peer 172.21.55.2/32
Странная какая то строчка , как по мне. Маска 32 это вроде один единственный адрес ?

Оффлайн YDenis

  • Автор темы
  • Активист
  • *
  • Сообщений: 606
    • Просмотр профиля
Если вручную запускаете, останавливайте либо убирайте автозагрузку.
sudo systemctl stop openvpn@server
Остановил, запускаю, но все равно:
ubuntu@ip-172-31-1-60:/etc/openvpn$ sudo systemctl stop openvpn@server
ubuntu@ip-172-31-1-60:/etc/openvpn$ cd /etc/openvpn && sudo openvpn /etc/openvpn/server.conf
Thu Oct 28 12:38:30 2021 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021
Thu Oct 28 12:38:30 2021 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Thu Oct 28 12:38:30 2021 Diffie-Hellman initialized with 2048 bit key
Thu Oct 28 12:38:30 2021 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 28 12:38:30 2021 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 28 12:38:30 2021 ROUTE_GATEWAY 172.31.0.1/255.255.240.0 IFACE=eth0 HWADDR=0a:d5:d7:1b:b0:08
Thu Oct 28 12:38:30 2021 TUN/TAP device tun1 opened
Thu Oct 28 12:38:30 2021 TUN/TAP TX queue length set to 100
Thu Oct 28 12:38:30 2021 /sbin/ip link set dev tun1 up mtu 1500
Thu Oct 28 12:38:30 2021 /sbin/ip addr add dev tun1 local 172.21.55.1 peer 172.21.55.2
Thu Oct 28 12:38:30 2021 /sbin/ip route add 172.21.55.0/24 via 172.21.55.2
RTNETLINK answers: File exists
Thu Oct 28 12:38:30 2021 ERROR: Linux route add command failed: external program exited with error status: 2
Thu Oct 28 12:38:30 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET
Thu Oct 28 12:38:30 2021 Socket Buffers: R=[131072->131072] S=[16384->16384]
Thu Oct 28 12:38:30 2021 TCP/UDP: Socket bind failed on local address [AF_INET][undef]:1194: Address already in use (errno=98)
Thu Oct 28 12:38:30 2021 Exiting due to fatal error
Thu Oct 28 12:38:30 2021 Closing TUN/TAP interface
Thu Oct 28 12:38:30 2021 /sbin/ip addr del dev tun1 local 172.21.55.1 peer 172.21.55.2

ubuntu@ip-172-31-1-60:/etc/openvpn$ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 9001
        inet 172.31.1.60  netmask 255.255.240.0  broadcast 172.31.15.255
        inet6 fe80::8d5:d7ff:fe1b:b008  prefixlen 64  scopeid 0x20<link>
        ether 0a:d5:d7:1b:b0:08  txqueuelen 1000  (Ethernet)
        RX packets 265505  bytes 369905067 (369.9 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 26284  bytes 3605037 (3.6 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 610  bytes 61250 (61.2 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 610  bytes 61250 (61.2 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 172.21.55.1  netmask 255.255.255.255  destination 172.21.55.2
        inet6 fe80::7e09:68a3:1403:5e8a  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 28  bytes 1344 (1.3 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

« Последнее редактирование: 28 Октября 2021, 16:02:12 от YDenis »

Оффлайн ALiEN175

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 5635
  • Сделай шаг и пройдешь милю
    • Просмотр профиля
ss -tulpn
https://archlinux.com.ru
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

 

Страница сгенерирована за 0.046 секунд. Запросов: 25.