Почему не работает броузер через VPN?

0

1

На VPS поднял OpenVPN сервер

root@vps48680:~# uname -a

Linux vps48680.hyperhost.name 3.10.0-1160.21.1.vz7.174.13 #1 SMP Thu Apr 22 16:18:59 MSK 2021 x86_64 x86_64 x86_64 GNU/Linux

root@vps48680:~# iptables -L -n -v

Chain INPUT (policy ACCEPT 39453 packets, 2689K bytes) pkts bytes target prot opt in out source destination 1563 198K ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1194 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 9 756 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 1207 88644 ACCEPT all – * * 10.8.0.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 42753 packets, 3636K bytes) pkts bytes target prot opt in out source destination

Цепанул к нему клиента:

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: TCP connection established with [AF_INET]XX.XX.XX.XX:49775

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:49775, sid=a>

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 VERIFY OK: depth=1, CN=ChangeMe

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 VERIFY OK: depth=0, CN=roman

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_VER=2.5.3

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_PLAT=linux

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_PROTO=6

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_NCP=2

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM:AES-256-CBC

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_LZ4=1

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_LZ4v2=1

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_LZO=1

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_COMP_STUB=1

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_COMP_STUBv2=1

Dec 23 13:41:18 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 peer info: IV_TCPNL=1

Dec 23 13:41:19 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_S>

Dec 23 13:41:19 vps48680.hyperhost.name openvpn[81017]: XX.XX.XX.XX:49775 [roman] Peer Connection Initiated with [AF_INET]XX.XX.XX.XX>

Dec 23 13:41:19 vps48680.hyperhost.name openvpn[81017]: roman/XX.XX.XX.XX:49775 MULTI_sva: pool returned IPv4=10.8.0.2, IPv6=(Not en>

Dec 23 13:41:19 vps48680.hyperhost.name openvpn[81017]: roman/XX.XX.XX.XX:49775 MULTI: Learn: 10.8.0.2 -> roman/XX.XX.XX.XX:49775

Dec 23 13:41:19 vps48680.hyperhost.name openvpn[81017]: roman/XX.XX.XX.XX:49775 MULTI: primary virtual IP for roman/XX.XX.XX.XX:4977>

Dec 23 13:41:20 vps48680.hyperhost.name openvpn[81017]: roman/XX.XX.XX.XX:49775 PUSH: Received control message: ‘PUSH_REQUEST’

Dec 23 13:41:20 vps48680.hyperhost.name openvpn[81017]: roman/XX.XX.XX.XX:49775 SENT CONTROL [roman]: ’PUSH_REPLY,redirect-gateway d>

Dec 23 13:41:20 vps48680.hyperhost.name openvpn[81017]: roman/XX.XX.XX.XX:49775 Data Channel: using negotiated cipher ‘AES-256-GCM’

Dec 23 13:41:20 vps48680.hyperhost.name openvpn[81017]: roman/XX.XX.XX.XX:49775 Outgoing Data Channel: Cipher ‘AES-256-GCM’ initiali>

Dec 23 13:41:20 vps48680.hyperhost.name openvpn[81017]: roman/XX.XX.XX.XX:49775 Incoming Data Channel: Cipher ‘AES-256-GCM’ initiali>

Вот что при этом виднно на клиенте:

root@porteus:~/Documents# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

inet 10.0.2.15 netmask 255.255.255.0 broadcast 10.0.2.255

inet6 fe80::6ac5:89ba:a123:be13 prefixlen 64 scopeid 0x20

ether 08:00:27:1c:37:4c txqueuelen 1000 (Ethernet)

RX packets 136718 bytes 129329649 (123.3 MiB)

RX errors 29 dropped 0 overruns 0 frame 0

TX packets 84435 bytes 8689573 (8.2 MiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

device interrupt 19 base 0xd020

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536

inet 127.0.0.1 netmask 255.0.0.0

inet6 ::1 prefixlen 128 scopeid 0x10

loop txqueuelen 1000 (Local Loopback)

RX packets 2 bytes 100 (100.0 B)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 2 bytes 100 (100.0 B)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500

inet 10.8.0.2 netmask 255.255.255.0 destination 10.8.0.2

inet6 fe80::43d2:8a51:9ba4:1ea prefixlen 64 scopeid 0x20

unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 500 (UNSPEC)

RX packets 0 bytes 0 (0.0 B)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 1976 bytes 145413 (142.0 KiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

root@porteus:~# ip route

0.0.0.0/1 via 10.8.0.1 dev tun0

default via 10.0.2.2 dev eth0 proto dhcp metric 100

10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100

10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.2

127.0.0.0/8 dev lo scope link

128.0.0.0/1 via 10.8.0.1 dev tun0

185.237.204.130 via 10.0.2.2 dev eth0

root@porteus:~# iptables -L -n -v

Chain INPUT (policy ACCEPT 286 packets, 36744 bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 479 packets, 64102 bytes) pkts bytes target prot opt in out source destination

root@porteus:~# traceroute 8.8.8.8

traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets

1 10.8.0.1 (10.8.0.1) 23.929 ms 45.992 ms 45.985 ms

2 82.118.19.13 (82.118.19.13) 45.973 ms 45.138 ms 45.102 ms

3 185.1.63.152 (185.1.63.152) 45.089 ms 44.972 ms 44.923 ms

4 108.170.248.155 (108.170.248.155) 44.881 ms 44.865 ms 44.681 ms

5 72.14.239.111 (72.14.239.111) 44.629 ms 142.251.67.218 (142.251.67.218) 66.488 ms 66.410 ms

6 74.125.242.241 (74.125.242.241) 44.522 ms 46.172 ms 44.439 ms

7 142.251.65.223 (142.251.65.223) 65.300 ms 142.251.228.27 (142.251.228.27) 65.276 ms 216.239.35.183 (216.239.35.183) 65.344 ms

8 8.8.8.8 (8.8.8.8) 65.287 ms 142.251.65.217 (142.251.65.217) 65.286 ms 142.251.65.219 (142.251.65.219) 65.324 ms

Как видно, гугловый ДНС доступен. Но если я в броузере попробую пойти на любой сайт, то долго висит и обламывается с ненаходом сайта. Без VPN сайты открываются мухой. Что я делаю неправильно?

Ссылка

←	Не могу разобраться с настройкой postfix

Как попасть в подсеть

→

Проблема mtu в тунеле. Надо MTU 1450 + Clap mss to pmtu в фаервол

CeMKa ★
(24.12.21 15:31:01 MSK)

У тебя сервер пушит DNS клиенту? У тебя пингуется по ip,но пингуется ли что-нибудь по имени?

anonymous
(24.12.21 15:31:35 MSK)

Ответ на: комментарий от anonymous 24.12.21 15:31:35 MSK

Неа, пинг по имени не проходит.

senglory
(24.12.21 15:36:31 MSK) автор топика

Ответ на: комментарий от CeMKa 24.12.21 15:31:01 MSK

Вот фрагмент моего OVPN файла

client

dev tun

proto tcp

remote 185.237.204.130 1194

resolv-retry infinite

nobind

persist-key

persist-tun

remote-cert-tls server

auth SHA512

cipher AES-256-CBC

ignore-unknown-option block-outside-dns

block-outside-dns

verb 3

В него надо что-то добавить?

senglory
(24.12.21 15:39:32 MSK) автор топика

Ссылка

Ответ на: комментарий от senglory 24.12.21 15:36:31 MSK

Значит днс сервера у клиента не пушатся. Надо либо на сервере в конфиге дать команду назначения днс серверов (тех же 8.8.8.8), либо в конфиге со стороны клиента.

CeMKa ★
(24.12.21 15:42:11 MSK)

Ответ на: комментарий от CeMKa 24.12.21 15:42:11 MSK

Т.е. в OVPN файле прописать гугловый ДНС?

senglory
(24.12.21 15:43:52 MSK) автор топика

Ответ на: комментарий от senglory 24.12.21 15:43:52 MSK

Пропиши : push «dhcp-option DNS 8.8.8.8»

anonymous
(24.12.21 15:45:46 MSK)

Ответ на: комментарий от anonymous 24.12.21 15:45:46 MSK

Возможно,что тебе еще понадобиться опция: push «redirect-gateway def1» Она меняет маршрут по умолчанию и направляет весь твой трафик через openvpn

anonymous
(24.12.21 15:51:06 MSK)

Ссылка

Ответ на: комментарий от CeMKa 24.12.21 15:42:11 MSK

Итак, на сервере в /etc/openvpn/server/server.conf уже прописано изначально было

local 185.237.204.130

port 1194

proto tcp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh.pem

auth SHA512

tls-crypt tc.key

topology subnet

server 10.8.0.0 255.255.255.0

push «redirect-gateway def1 bypass-dhcp»

ifconfig-pool-persist ipp.txt

push «dhcp-option DNS 8.8.8.8»

push «dhcp-option DNS 8.8.4.4»

keepalive 10 120

cipher AES-256-CBC

user nobody

group nogroup

persist-key

persist-tun

verb 3

crl-verify crl.pem

В client.conf:

client

dev tun

proto tcp

remote 185.237.204.130 1194

resolv-retry infinite

nobind

persist-key

persist-tun

remote-cert-tls server

push «dhcp-option DNS 8.8.8.8»

push «redirect-gateway def1»

auth SHA512

cipher AES-256-CBC

ignore-unknown-option block-outside-dns

block-outside-dns

verb 3

Через

sudo systemctl stop openvpn-server@server.service

стопил, потом стартовал сервер, потом коннектил клиента - пофигу, как не шло распознавание ДНС имен, так и не идет. Что там (на клиенте, на сервере, на них обоих) еще стоит поменять?

senglory
(24.12.21 16:14:33 MSK) автор топика

Ссылка

Но если я в броузере попробую пойти на любой сайт

curl -I -v 'www.linux.org.ru/'

anonymous
(24.12.21 16:20:08 MSK)

Ответ на: комментарий от anonymous 24.12.21 16:20:08 MSK

Натравил curl:

root@porteus:~/Downloads# curl -I -v ‘www.linux.org.ru/’

Could not resolve host: www.linux.org.ru
Closing connection 0 curl: (6) Could not resolve host: www.linux.org.ru

senglory
(24.12.21 16:28:31 MSK) автор топика

Ответ на: комментарий от senglory 24.12.21 16:28:31 MSK

Лог openvpn клиента ты не дал, информацию о системе тоже. Понятно ведь, куда копать, в чем проблема?

anonymous
(24.12.21 16:31:23 MSK)

Ответ на: комментарий от anonymous 24.12.21 16:31:23 MSK

Инфа о клиенте и сервере в самом первом посте была, кусок лога сервера тоже. Вот сервер:

root@vps48680:~# uname -a

Linux vps48680.hyperhost.name 3.10.0-1160.21.1.vz7.174.13 #1 SMP Thu Apr 22 16:18:59 MSK 2021 x86_64 x86_64 x86_64 GNU/Linux

Вот клиент:

root@porteus:~# uname -a Linux porteus.example.net 5.12.14-porteus #1 SMP Sat Jul 3 13:15:49 MSK 2021 i686 Intel(R) Core(TM) i9-9900K CPU @ 3.60GHz GenuineIntel GNU/Linux

Вот полный лог OpenVPN с сервера OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021

library versions: OpenSSL 1.1.1f 31 Mar 2020, LZO 2.10

Diffie-Hellman initialized with 2048 bit key

Outgoing Control Channel Encryption: Cipher ‘AES-256-CTR’ initialized with 256 bit key

Outgoing Control Channel Encryption: Using 256 bit message hash ‘SHA256’ for HMAC authentication

Incoming Control Channel Encryption: Cipher ‘AES-256-CTR’ initialized with 256 bit key

Incoming Control Channel Encryption: Using 256 bit message hash ‘SHA256’ for HMAC authentication

TUN/TAP device tun0 opened

Note: Cannot set tx queue length on tun0: Operation not permitted (errno=1)

/sbin/ip link set dev tun0 up mtu 1500

/sbin/ip addr add dev tun0 10.8.0.1/24 broadcast 10.8.0.255

Could not determine IPv4/IPv6 protocol. Using AF_INET

Socket Buffers: R=[87380->87380] S=[16384->16384]

Listening for incoming TCP connection on [AF_INET]185.237.204.130:1194

TCPv4_SERVER link local (bound): [AF_INET]185.237.204.130:1194

TCPv4_SERVER link remote: [AF_UNSPEC]

GID set to nogroup

UID set to nobody

MULTI: multi_init called, r=256 v=256

IFCONFIG POOL: base=10.8.0.2 size=252, ipv6=0

ifconfig_pool_read(), in=‘roman,10.8.0.2’, TODO: IPv6

succeeded -> ifconfig_pool_set()

IFCONFIG POOL LIST

roman,10.8.0.2

MULTI: TCP INIT maxclients=1024 maxevents=1028

Initialization Sequence Completed

TCP connection established with [AF_INET]XX.XX.XX.XX:53010

XX.XX.XX.XX:53010 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:53010, sid=e8dd2d1b d6320b96

XX.XX.XX.XX:53010 VERIFY OK: depth=1, CN=ChangeMe

XX.XX.XX.XX:53010 VERIFY OK: depth=0, CN=roman

XX.XX.XX.XX:53010 peer info: IV_VER=2.5.3

XX.XX.XX.XX:53010 peer info: IV_PLAT=linux

XX.XX.XX.XX:53010 peer info: IV_PROTO=6

XX.XX.XX.XX:53010 peer info: IV_NCP=2

XX.XX.XX.XX:53010 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM:AES-256-CBC

XX.XX.XX.XX:53010 peer info: IV_LZ4=1

XX.XX.XX.XX:53010 peer info: IV_LZ4v2=1

XX.XX.XX.XX:53010 peer info: IV_LZO=1

XX.XX.XX.XX:53010 peer info: IV_COMP_STUB=1

XX.XX.XX.XX:53010 peer info: IV_COMP_STUBv2=1

XX.XX.XX.XX:53010 peer info: IV_TCPNL=1

XX.XX.XX.XX:53010 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA

XX.XX.XX.XX:53010 [roman] Peer Connection Initiated with [AF_INET]XX.XX.XX.XX:53010

roman/XX.XX.XX.XX:53010 MULTI_sva: pool returned IPv4=10.8.0.2, IPv6=(Not enabled)

roman/XX.XX.XX.XX:53010 MULTI: Learn: 10.8.0.2 -> roman/XX.XX.XX.XX:53010

roman/XX.XX.XX.XX:53010 MULTI: primary virtual IP for roman/XX.XX.XX.XX:53010: 10.8.0.2

roman/XX.XX.XX.XX:53010 PUSH: Received control message: ‘PUSH_REQUEST’

roman/XX.XX.XX.XX:53010 SENT CONTROL [roman]: ‘PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM’ (status=1)

roman/XX.XX.XX.XX:53010 Data Channel: using negotiated cipher ‘AES-256-GCM’

roman/XX.XX.XX.XX:53010 Outgoing Data Channel: Cipher ‘AES-256-GCM’ initialized with 256 bit key

roman/XX.XX.XX.XX:53010 Incoming Data Channel: Cipher ‘AES-256-GCM’ initialized with 256 bit key

senglory
(24.12.21 16:51:42 MSK) автор топика

Ссылка

Пропиши в /etc/resolv.conf на клиенте гугловый DNS.

~~Legioner~~ ★★★★★
(24.12.21 16:55:05 MSK)

Ответ на: комментарий от Legioner 24.12.21 16:55:05 MSK

Так вдруг у него на клиенте systemd-resolved какой-нибудь мешает.

Вот полный лог OpenVPN с сервера

Просишь лог клиента, он лог сервера кидает.. Пусть сам разбирается.

anonymous
(24.12.21 16:57:16 MSK)

Ответ на: комментарий от anonymous 24.12.21 16:57:16 MSK

Так вдруг у него на клиенте systemd-resolved какой-нибудь мешает.

Ну если ты руками перепишешь resolv.conf, он вроде не должен сразу его перезаписать.

~~Legioner~~ ★★★★★
(24.12.21 16:58:30 MSK)

Ссылка

И используй для разметки логов и прочего тег код (три бэктика в начале и в конце)

```
тут код
```

~~Legioner~~ ★★★★★
(24.12.21 17:01:13 MSK)

Ссылка

Ответ на: комментарий от anonymous 24.12.21 16:57:16 MSK

Сорри, клиент запускался без команды сбора логов. Перезапустил с логгированием:

2021-12-24 14:11:10 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2021-12-24 14:11:10 OpenVPN 2.5.3 i586-slackware-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Jun 18 2021
2021-12-24 14:11:10 library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
2021-12-24 14:11:10 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2021-12-24 14:11:10 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-12-24 14:11:10 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2021-12-24 14:11:10 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-12-24 14:11:10 TCP/UDP: Preserving recently used remote address: [AF_INET]185.237.204.130:1194
2021-12-24 14:11:10 Socket Buffers: R=[131072->131072] S=[16384->16384]
2021-12-24 14:11:10 Attempting to establish TCP connection with [AF_INET]185.237.204.130:1194 [nonblock]
2021-12-24 14:11:10 TCP connection established with [AF_INET]185.237.204.130:1194
2021-12-24 14:11:10 TCP_CLIENT link local: (not bound)
2021-12-24 14:11:10 TCP_CLIENT link remote: [AF_INET]185.237.204.130:1194
2021-12-24 14:11:10 TLS: Initial packet from [AF_INET]185.237.204.130:1194, sid=917bcbf9 c65ef665
2021-12-24 14:11:10 VERIFY OK: depth=1, CN=ChangeMe
2021-12-24 14:11:10 VERIFY KU OK
2021-12-24 14:11:10 Validating certificate extended key usage
2021-12-24 14:11:10 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2021-12-24 14:11:10 VERIFY EKU OK
2021-12-24 14:11:10 VERIFY OK: depth=0, CN=server
2021-12-24 14:11:10 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2021-12-24 14:11:10 [server] Peer Connection Initiated with [AF_INET]185.237.204.130:1194
2021-12-24 14:11:12 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
2021-12-24 14:11:12 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
2021-12-24 14:11:12 OPTIONS IMPORT: timers and/or timeouts modified
2021-12-24 14:11:12 OPTIONS IMPORT: --ifconfig/up options modified
2021-12-24 14:11:12 OPTIONS IMPORT: route options modified
2021-12-24 14:11:12 OPTIONS IMPORT: route-related options modified
2021-12-24 14:11:12 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2021-12-24 14:11:12 OPTIONS IMPORT: peer-id set
2021-12-24 14:11:12 OPTIONS IMPORT: adjusting link_mtu to 1626
2021-12-24 14:11:12 OPTIONS IMPORT: data channel crypto options modified
2021-12-24 14:11:12 Data Channel: using negotiated cipher 'AES-256-GCM'
2021-12-24 14:11:12 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2021-12-24 14:11:12 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2021-12-24 14:11:12 ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=eth0 HWADDR=08:01:37:1c:87:4c
2021-12-24 14:11:12 TUN/TAP device tun0 opened
2021-12-24 14:11:12 /usr/sbin/ip link set dev tun0 up mtu 1500
2021-12-24 14:11:12 /usr/sbin/ip link set dev tun0 up
2021-12-24 14:11:12 /usr/sbin/ip addr add dev tun0 10.8.0.2/24
2021-12-24 14:11:12 /usr/sbin/ip route add 185.237.204.130/32 via 10.0.2.2
2021-12-24 14:11:12 /usr/sbin/ip route add 0.0.0.0/1 via 10.8.0.1
2021-12-24 14:11:12 /usr/sbin/ip route add 128.0.0.0/1 via 10.8.0.1
2021-12-24 14:11:12 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2021-12-24 14:11:12 Initialization Sequence Completed

senglory
(24.12.21 17:23:13 MSK) автор топика

Ссылка

Блокировки обходишь, внучок?

anonymous
(24.12.21 17:26:14 MSK)

Ссылка

ОС клиента озвучьте.

anc ★★★★★
(24.12.21 17:30:15 MSK)

Ответ на: комментарий от anc 24.12.21 17:30:15 MSK

root@porteus:~# uname -a

Linux porteus.example.net 5.12.14-porteus #1 SMP Sat Jul 3 13:15:49 MSK 2021 i686 Intel(R) Core(TM) i9-9900K CPU @ 3.60GHz GenuineIntel GNU/Linux

Клон Slackware, если не в курсе за Porteus

senglory
(24.12.21 17:33:47 MSK) автор топика

Ответ на: комментарий от senglory 24.12.21 17:33:47 MSK

Про дистр первый раз слышу. Посмотрите есть ли openresolv.

anc ★★★★★
(24.12.21 20:05:14 MSK)

Ответ на: комментарий от anc 24.12.21 20:05:14 MSK

Неа, openresolv для меня существует, но сейчас не установлен. А что с ним сделать?

senglory
(24.12.21 21:39:35 MSK) автор топика

Ответ на: комментарий от senglory 24.12.21 21:39:35 MSK

Так может ты уже посмотришь днс, используемые в системе клиента ДО подключения и ПОСЛЕ, и сравнишь их? Начни с resolv.conf, мне твой дистрибутив тоже незнаком.

anonymous
(24.12.21 22:10:13 MSK)

Ответ на: комментарий от anonymous 24.12.21 22:10:13 MSK

В resolve.conf на клиенте был прописан

nameserver 192.168.1.1

Да, явное прописывание гуглового ДНСа проблему убрало. Но, как по мне, это как-то костыльно. Как заставить моего клиента юзать ДНС из конфига OpenVPN?

senglory
(24.12.21 22:14:51 MSK) автор топика
Последнее исправление: senglory 24.12.21 22:21:38 MSK (всего исправлений: 1)

Ответ на: комментарий от senglory 24.12.21 22:14:51 MSK

Идем в документацию, читаем Using DNS servers pushed to a Linux client

https://community.openvpn.net/openvpn/wiki/Pushing-DNS-to-clients

anonymous
(24.12.21 22:29:04 MSK)

Ответ на: комментарий от anonymous 24.12.21 22:29:04 MSK

Это я видел, а нужно ли сносить уже имеющуюся запись nameserver 192.168.1.1 в resolve.conf?

senglory
(24.12.21 22:52:06 MSK) автор топика

Ответ на: комментарий от senglory 24.12.21 22:52:06 MSK

Зачем ее сносить?

anonymous
(24.12.21 22:52:55 MSK)

Ссылка

Ответ на: комментарий от senglory 24.12.21 21:39:35 MSK

А что с ним сделать?

Установить, прописать к конфиг клиента на параметры up и down путь до, скорее всего, update-resolv-conf (посмотрите в /etc/openvpn). Поправить если нужно /etc/resolvconf.conf.

anc ★★★★★
(24.12.21 22:58:56 MSK)

Ответ на: комментарий от Legioner 24.12.21 16:55:05 MSK

Они банятся Роскомнадзором. Сервера Амазона тоже. Провайдер «Билайн» если что.

LongLiveUbuntu ★★★★★
(24.12.21 23:57:28 MSK)

Ответ на: комментарий от LongLiveUbuntu 24.12.21 23:57:28 MSK

Каким роскомнадзором, если ОП днс трафик пускает через туннель?

anonymous
(25.12.21 00:00:22 MSK)

Ссылка

Ответ на: комментарий от LongLiveUbuntu 24.12.21 23:57:28 MSK

Пинг идёт же, значит не банятся.

~~Legioner~~ ★★★★★
(25.12.21 00:02:04 MSK)

Ссылка

Ответ на: комментарий от senglory 24.12.21 22:52:06 MSK

Зачем тебе вообще 192.168.1.1? Пропиши 1.1.1.1 и забудь про этот вопрос.

~~Legioner~~ ★★★★★
(25.12.21 00:03:03 MSK)

Ссылка

Ответ на: комментарий от anc 24.12.21 22:58:56 MSK

Сорри, тупанул. Добавил в OVPN эти самые up/down по мануалу - коннект с клиента стартует, но в клиентском логе вижу это:

2021-12-24 20:11:23 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2021-12-24 20:11:23 OpenVPN 2.5.3 i586-slackware-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Jun 18 2021
2021-12-24 20:11:23 library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
2021-12-24 20:11:23 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2021-12-24 20:11:23 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2021-12-24 20:11:23 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-12-24 20:11:23 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2021-12-24 20:11:23 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-12-24 20:11:23 TCP/UDP: Preserving recently used remote address: [AF_INET]185.237.204.130:1194
2021-12-24 20:11:23 Socket Buffers: R=[131072->131072] S=[16384->16384]
2021-12-24 20:11:23 Attempting to establish TCP connection with [AF_INET]185.237.204.130:1194 [nonblock]
2021-12-24 20:11:23 TCP connection established with [AF_INET]185.237.204.130:1194
2021-12-24 20:11:23 TCP_CLIENT link local: (not bound)
2021-12-24 20:11:23 TCP_CLIENT link remote: [AF_INET]185.237.204.130:1194
2021-12-24 20:11:23 TLS: Initial packet from [AF_INET]185.237.204.130:1194, sid=85496e92 00d73b92
2021-12-24 20:11:23 VERIFY OK: depth=1, CN=ChangeMe
2021-12-24 20:11:23 VERIFY KU OK
2021-12-24 20:11:23 Validating certificate extended key usage
2021-12-24 20:11:23 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2021-12-24 20:11:23 VERIFY EKU OK
2021-12-24 20:11:23 VERIFY OK: depth=0, CN=server
2021-12-24 20:11:23 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2021-12-24 20:11:23 [server] Peer Connection Initiated with [AF_INET]185.237.204.130:1194
2021-12-24 20:11:24 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
2021-12-24 20:11:24 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
2021-12-24 20:11:24 OPTIONS IMPORT: timers and/or timeouts modified
2021-12-24 20:11:24 OPTIONS IMPORT: --ifconfig/up options modified
2021-12-24 20:11:24 OPTIONS IMPORT: route options modified
2021-12-24 20:11:24 OPTIONS IMPORT: route-related options modified
2021-12-24 20:11:24 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2021-12-24 20:11:24 OPTIONS IMPORT: peer-id set
2021-12-24 20:11:24 OPTIONS IMPORT: adjusting link_mtu to 1626
2021-12-24 20:11:24 OPTIONS IMPORT: data channel crypto options modified
2021-12-24 20:11:24 Data Channel: using negotiated cipher 'AES-256-GCM'
2021-12-24 20:11:24 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2021-12-24 20:11:24 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2021-12-24 20:11:24 ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=eth0 HWADDR=08:00:27:1c:37:4c
2021-12-24 20:11:24 TUN/TAP device tun0 opened
2021-12-24 20:11:24 /usr/sbin/ip link set dev tun0 up mtu 1500
2021-12-24 20:11:24 /usr/sbin/ip link set dev tun0 up
2021-12-24 20:11:24 /usr/sbin/ip addr add dev tun0 10.8.0.2/24
2021-12-24 20:11:24 /etc/openvpn/update-resolv-conf.sh tun0 1500 1554 10.8.0.2 255.255.255.0 init
dhcp-option DNS 8.8.8.8
dhcp-option DNS 8.8.4.4
/etc/openvpn/update-resolv-conf.sh: line 60: -x: command not found
2021-12-24 20:11:25 /usr/sbin/ip route add 185.237.204.130/32 via 10.0.2.2
2021-12-24 20:11:25 /usr/sbin/ip route add 0.0.0.0/1 via 10.8.0.1
2021-12-24 20:11:25 /usr/sbin/ip route add 128.0.0.0/1 via 10.8.0.1
2021-12-24 20:11:25 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2021-12-24 20:11:25 Initialization Sequence Completed

update-resolv-conf.sh брал с гитхаба, как в мануале указано. Строка 60 там вот какая:

echo -n "$R" | $RESOLVCONF -x -a "${dev}.inet"

Мне там что, получается, надо вручную в update-resolv-conf.sh еще

RESOLVCONF=/etc/resolv.conf

прописать?

senglory
(25.12.21 00:11:12 MSK) автор топика

Ответ на: комментарий от senglory 25.12.21 00:11:12 MSK

Ты скрипт то почитай

## The 'type' builtins will look for file in $PATH variable, so we set the
## PATH below. You might need to directly set the path to 'resolvconf'
## manually if it still doesn't work, i.e.
## RESOLVCONF=/usr/sbin/resolvconf

anonymous
(25.12.21 00:17:53 MSK)

Ответ на: комментарий от anonymous 25.12.21 00:17:53 MSK

Скорее всего просто пакет resolvconf не установлен.

anonymous
(25.12.21 00:19:50 MSK)

Ответ на: комментарий от anonymous 25.12.21 00:19:50 MSK

А для Slackware, судя по https://pkgs.org/download/resolvconf, такого пакета и нет. Что его заменить должно?

senglory
(25.12.21 00:56:45 MSK) автор топика
Последнее исправление: senglory 25.12.21 00:57:23 MSK (всего исправлений: 1)

Ответ на: комментарий от senglory 25.12.21 00:56:45 MSK

Можно было почитать описание на https://github.com/alfredopalhares/openvpn-update-resolv-conf

Install openresolv

anonymous
(25.12.21 01:23:55 MSK)

Ссылка

Ответ на: комментарий от senglory 25.12.21 00:56:45 MSK

Для slackware есть. https://slackbuilds.org

anc ★★★★★
(25.12.21 03:38:35 MSK)

Ответ на: комментарий от anc 25.12.21 03:38:35 MSK

Знаю. Там только 64bit, а у меня клиент 32bit. Как быть?

senglory
(27.12.21 23:39:41 MSK) автор топика

Ответ на: комментарий от senglory 27.12.21 23:39:41 MSK

Вы уверены, что действительно «знаете»? Это не бинарщина.

anc ★★★★★
(28.12.21 00:01:53 MSK)

Ответ на: комментарий от anc 28.12.21 00:01:53 MSK

Я имел в виду, что про https://slackbuilds.org в курсе. Да, за наводлку на resolvconf спасибо - его версия с https://roy.marples.name/projects/openresolv/downloads/ оказалась работоспособной на моем 32битном линуксе, и с ним необходимость руками менять свой resolv.conf отпала

senglory
(30.12.21 22:44:07 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не могу разобраться с настройкой postfix

Admin

Как попасть в подсеть

→

Похожие темы