openvpn перестал работать на заграничном сервере

0

1

Привет, народ. Перестал подключаться openvpn румынский. Как поднял, больше на сервер не лазил. Логи в /var/log/openvpn.log почему-то не пишутся.

service status openvpn говорит что активен. Пробовал переустанавливать, не помогло. Пробовал заходить с разных сетей и устройств. Такое ощущение что блочит на той стороне. По ssh всё доступно

/etc/openvpn/server/server.conf:

local 5.181.25.133
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "block-outside-dns"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
crl-verify crl.pem
explicit-exit-notify

verb 9
log-append /var/log/openvpn.log
status /var/log/openvpn-status.log

ss -tulpn | grep LISTEN | grep :1194 выводит пустую строку.

netstat -tulpn | grep 1194
udp        0      0 5.181.25.133:1194       0.0.0.0:*                           38678/openvpn

Но оно вроде так и было.

telnet 5.181.25.133 1194
Trying 5.181.25.133...
telnet: Unable to connect to remote host: Connection refused

←	Способы переименования сетевого интерфейса через udev

В чём хранить разнородную струкутрированную информацию?

→

telnet 5.181.25.133 1194

telnet – он про tcp, а у тебя openvpn на udp

futurama ★★★★★
(28.03.23 07:12:08 MSK)

Да вроде норм, отвечает.

Anoxemian ★★★★★
(28.03.23 08:02:41 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 08:02:41 MSK

Как вы это проверили? Есть мысли почему логи не показываются?

stratohamster
(28.03.23 08:06:04 MSK) автор топика
Последнее исправление: stratohamster 28.03.23 08:07:04 MSK (всего исправлений: 1)

Ответ на: комментарий от stratohamster 28.03.23 08:06:04 MSK

Starting Nmap 7.80 ( https://nmap.org ) at 2023-03-28 08:02 MSK
Nmap scan report for tannerman.example.com (5.181.25.133)
Host is up (0.082s latency).

PORT     STATE         SERVICE
1194/udp open|filtered openvpn

Nmap done: 1 IP address (1 host up) scanned in 1.01 seconds

Anoxemian ★★★★★
(28.03.23 08:07:50 MSK)

Ответ на: комментарий от stratohamster 28.03.23 08:06:04 MSK

Ну запусти вручную и посмотри что пишет.

Anoxemian ★★★★★
(28.03.23 08:09:15 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 08:09:15 MSK

Как? там же надо что-то писать в параметрах. Я в первый раз с таким сталкиваюсь

stratohamster
(28.03.23 08:15:09 MSK) автор топика

Ответ на: комментарий от stratohamster 28.03.23 08:15:09 MSK

openvpn --config=/path/to/config

Anoxemian ★★★★★
(28.03.23 08:15:37 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 08:15:37 MSK

Он ничего так не выдает. Просто запустился

openvpn --config server.conf

stratohamster
(28.03.23 08:21:22 MSK) автор топика
Последнее исправление: stratohamster 28.03.23 08:21:55 MSK (всего исправлений: 1)

Ответ на: комментарий от stratohamster 28.03.23 08:21:22 MSK

Ну тогда непонятно, что тебя не устраивает. Скинь лог подключения что ли.

Anoxemian ★★★★★
(28.03.23 08:22:14 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 08:22:14 MSK

Логи сервера появились

tail -f /var/log/openvpn.log
Tue Mar 28 08:26:23 2023 us=585148 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 28 08:26:23 2023 us=585172 /sbin/ip link set dev tun1 up mtu 1500
Tue Mar 28 08:26:23 2023 us=589257 /sbin/ip addr add dev tun1 10.8.0.1/24 broadcast 10.8.0.255
Tue Mar 28 08:26:23 2023 us=591976 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ]
Tue Mar 28 08:26:23 2023 us=592293 Could not determine IPv4/IPv6 protocol. Using AF_INET
Tue Mar 28 08:26:23 2023 us=592341 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Mar 28 08:26:23 2023 us=592372 TCP/UDP: Socket bind failed on local address [AF_INET]5.181.25.133:1194: Address already in use (errno=98)
Tue Mar 28 08:26:23 2023 us=592391 Exiting due to fatal error
Tue Mar 28 08:26:23 2023 us=592414 Closing TUN/TAP interface
Tue Mar 28 08:26:23 2023 us=592429 /sbin/ip addr del dev tun1 10.8.0.1/24

ps -ax | grep openvpn:

  39884 ?        Ss     0:00 /usr/sbin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --config server.conf

stratohamster
(28.03.23 08:27:05 MSK) автор топика
Последнее исправление: stratohamster 28.03.23 08:28:17 MSK (всего исправлений: 1)

Ответ на: комментарий от stratohamster 28.03.23 08:27:05 MSK

Ну ты предыдущий инстанс-то погаси, потом запускай руками.

Anoxemian ★★★★★
(28.03.23 08:28:44 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 08:28:44 MSK

Я сделал service openvpn stop.

ps -ax | grep openvpn ничего не выдавал. Ещё раз запустил kill -9 по ps -ax | grep openvpn, перезапустил, в логах - то же - занято

Сделал update-rc.d openvpn disable. Перезапустил сервер. Ошибки нет, сервис запущен. Файл лога /var/log/openvpn.log

На попытку подключения реакции в логе нет. event_wait returned 0 пишется каждые секунды 2 так что не оно

stratohamster
(28.03.23 08:36:20 MSK) автор топика
Последнее исправление: stratohamster 28.03.23 08:55:07 MSK (всего исправлений: 2)

Ответ на: комментарий от stratohamster 28.03.23 08:36:20 MSK

Теперь лог клиента выкладывай.

Anoxemian ★★★★★
(28.03.23 08:56:26 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 08:56:26 MSK

Там тоже ничего не изменилось

лог

stratohamster
(28.03.23 09:01:04 MSK) автор топика

Ответ на: комментарий от stratohamster 28.03.23 08:27:05 MSK

netstat -nab надо глянуть, кто на этом порту слушает

nebularia ★★★
(28.03.23 09:01:11 MSK)

Ответ на: комментарий от nebularia 28.03.23 09:01:11 MSK

netstat -nap | grep 1194
udp        0      0 5.181.25.133:1194       0.0.0.0:*                           453/openvpn

stratohamster
(28.03.23 09:02:53 MSK) автор топика

Ответ на: комментарий от stratohamster 28.03.23 09:01:04 MSK

Если не фаервол, то проблема не у тебя, выходит.

Anoxemian ★★★★★
(28.03.23 09:04:20 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 09:04:20 MSK

Вы про клиента? Пробовал с разных. И с разных устройств. Ни с телефона, ни с винды ни с гномовского менеджера тоже не заходит

stratohamster
(28.03.23 09:05:30 MSK) автор топика

Ответ на: комментарий от Anoxemian 28.03.23 09:04:20 MSK

Чсх пинг проходит

sudo nping --udp --traceroute -c 10 -p 1194 5.181.25.133
...
Max rtt: 107.057ms | Min rtt: 0.463ms | Avg rtt: 42.600ms
Raw packets sent: 10 (280B) | Rcvd: 10 (1.016KB) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 9.21 seconds

nmap

sudo nmap -sUV -T4 192.168.8.11     
Starting Nmap 7.80 ( https://nmap.org ) at 2023-03-28 13:12 +07
Nmap scan report for t4nner-work (192.168.8.11)
Host is up (0.000014s latency).
Not shown: 998 closed ports
PORT     STATE         SERVICE  VERSION
631/udp  open|filtered ipp
5353/udp open|filtered zeroconf

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 100.25 seconds

stratohamster
(28.03.23 09:13:22 MSK) автор топика
Последнее исправление: stratohamster 28.03.23 09:15:08 MSK (всего исправлений: 1)

Ответ на: комментарий от stratohamster 28.03.23 09:13:22 MSK

Смени tls-crypt на tls-auth или вообще выкинь эту фичу. Может, как-то dpi реагирует, попробуй.

Anoxemian ★★★★★
(28.03.23 09:18:05 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 09:18:05 MSK

Можете подсказать как? Там надо какие-то настройки прописывать или просто пакет удалить?

stratohamster
(28.03.23 09:20:04 MSK) автор топика

Ответ на: комментарий от stratohamster 28.03.23 09:20:04 MSK

Да, надо настройки поменять. Кури докумкнтацию. Эта tls фича неотличима от обычного https трафика. Может, провайдер режет это дело в каких то своих целях, кроме, допустим tcp/443. Борьба с этими вашими даркнетами)

Anoxemian ★★★★★
(28.03.23 09:22:37 MSK)

Ответ на: комментарий от stratohamster 28.03.23 09:20:04 MSK

На сервере:

-tls-crypt tc.key
+tls-auth ta.key 0

На клиенте:

-tls-crypt tc.key
+tls-auth ta.key 1

На 0 и единичку обрати внимание. Ну или вообще удали, чтобы наверняка.

Anoxemian ★★★★★
(28.03.23 09:32:46 MSK)

Ответ на: комментарий от Anoxemian 28.03.23 09:32:46 MSK

Вроде заработало. А с tls-auth получается видно что я использую vpn а с tls-crypt нет?

Если кто это читает и хочет добавить в client.ovpn tls-auth вместо tls-crypt там я добавил

key-direction 1
# из ta.key
<tls-auth>
...
</tls-auth>

и закоментил <tls-crypt>

edgecenter мои лучи поноса

Anoxemian мегамозг, спасибо тебе огромное

stratohamster
(28.03.23 09:47:25 MSK) автор топика
Последнее исправление: stratohamster 28.03.23 09:57:46 MSK (всего исправлений: 5)

Ответ на: комментарий от stratohamster 28.03.23 09:47:25 MSK

Там какая-то шляпа с шифрованием заголовков и много умных слов. Они уже даже tls-crypt-v2 запилили, поизучай, раз тебе актуально.

Anoxemian ★★★★★
(28.03.23 10:07:07 MSK)

←	Способы переименования сетевого интерфейса через udev

Admin

В чём хранить разнородную струкутрированную информацию?

→

Похожие темы