Не удается подключиться к серверу openvpn

0

1

Всем привет!

ОС Debian 11 stable.

Не удается подключиться к серверу с openvpn. Раньше все работало но то ли после apt upgrade, то ли по каким-то другим причинам сервер при подключении начал возвращать ошибку:

2022-09-27 15:27:25 147.236.176.238:60331 TLS: Initial packet from [AF_INET]147.236.176.238:60331, sid=e756e487 d97a2ebd
2022-09-27 15:28:25 147.236.176.238:60331 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-27 15:28:25 147.236.176.238:60331 TLS Error: TLS handshake failed
2022-09-27 15:28:25 147.236.176.238:60331 SIGUSR1[soft,tls-error] received, client-instance restarting

Конфиг сервера:

port 1194
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpnserver.crt
key /etc/openvpn/server/vpnserver.key
dh /etc/openvpn/server/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"


push "dhcp-option DNS 10.8.0.1"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
duplicate-cn
cipher AES-256-CBC
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
auth SHA512
auth-nocache
keepalive 20 60
persist-key
persist-tun
compress lz4
daemon
user nobody
group nogroup
log-append /var/log/openvpn.log
verb 3
client-to-client
client-config-dir ccd

Конфиг клиента

client
dev tun
proto udp
remote *.*.*.* 1194
cipher AES-256-CBC
auth SHA512
auth-nocache
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
resolv-retry infinite
compress lz4
nobind
persist-key
persist-tun
mute-replay-warnings
verb 3

<ca>
-----BEGIN CERTIFICATE-----
////
-----END CERTIFICATE-----
</ca>

<key>
-----BEGIN PRIVATE KEY-----
////
-----END PRIVATE KEY-----
</key>

<cert>
-----BEGIN CERTIFICATE-----
////
-----END CERTIFICATE-----
</cert>

Настройки iptables -t filter:

Chain INPUT (policy DROP 70679 packets, 3807K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       16  1344 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
3     2898  111K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
4    22525 1348K ACCEPT     tcp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW
5     5486  287K ACCEPT     tcp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW
6    14917  877K ACCEPT     tcp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 state NEW
7       79  4964 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 state NEW
8     6867  288K ACCEPT     udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194 state NEW
9     957K 1133M ACCEPT     all  --  ens3   *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     all  --  tun0   ens3    0.0.0.0/0            0.0.0.0/0           
2        0     0 ACCEPT     all  --  ens3   tun0    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy DROP 2954 packets, 223K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       16  1344 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
2     2895  111K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
3        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
4        0     0 ACCEPT     tcp  --  *      ens3    0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW
5       10   600 ACCEPT     tcp  --  *      ens3    0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW
6    24126 1448K ACCEPT     tcp  --  *      ens3    0.0.0.0/0            0.0.0.0/0            tcp dpt:443 state NEW
7    73515 4386K ACCEPT     udp  --  *      ens3    0.0.0.0/0            0.0.0.0/0            udp dpt:53 state NEW
8        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53
9     943K  171M ACCEPT     all  --  *      ens3    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

iptables -t nat

Chain PREROUTING (policy ACCEPT 121K packets, 6161K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 52678 packets, 2910K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 75648 packets, 4577K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 72832 packets, 4363K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 MASQUERADE  all  --  *      ens3    10.8.0.0/24          0.0.0.0/0

В интернете пишут что проблема связана с файерволом, но даже если я выставляю ACCEPT на всех таблицах, то ошибка не пропадает. Использую этот vpn чтобы заходить на mos.ru и другие сервисы, которые доступны только из России. Не может быть такого что они спалили что мой апишник это vpn и блочат каким-то образом?

Ссылка

Настройки iptables

Это откуда? С клиента или сервера ?

anc ★★★★★
(27.09.22 16:29:45 MSK)

Ответ на: комментарий от anc 27.09.22 16:29:45 MSK

C сервера

ribas160
(27.09.22 16:50:55 MSK) автор топика

Ответ на: комментарий от ribas160 27.09.22 16:50:55 MSK

Имена интерфейсов не поменялись ли?
Лучше конечно покажите выхлопы

ip a s; iptables-save

anc ★★★★★
(27.09.22 21:05:20 MSK)

Срок действия сертификатов не вышел?

karasic ★
(27.09.22 22:54:27 MSK)

100% проблема в сети.

Попробуй поменяй порт.

~~AVL2~~ ★★★★★
(28.09.22 02:20:03 MSK)

Ответ на: комментарий от karasic 27.09.22 22:54:27 MSK

Вышел срок действия сертификата сервера, спасибо!

ribas160
(06.10.22 09:53:04 MSK) автор топика

Похожие темы