LINUX.ORG.RU
ФорумAdmin

Как приконнектить openvpn на Whonix?

 , , , ,


0

2

Здравствуйте! Сразу говорю, я в этих ваших опенвпнах не разбираюсь, но насколько я понял, в ситуации, где нужно поставить vpn на выход тор траффика на системе whonix (чтобы скрыть тор от боящихся его сайтов и приложений) никакой рабочей альтернативы ему нет (если я ошибаюсь – предлагайте, пожалуйста, альтернативы, интересно о них узнать). В моих целях впн на выходе необходим, и хотел бы поднять свой собственный сервер, но прежде решил посмотреть как оно подключается и работает на общедоступных конфигах. Зашёл на vpngate, скачал и перепробовал кучу конфигураций. На айфоне работают все, на хуниксе не могу подключиться ни к одному серверу. Значит проблема на моей стороне

Подключаться пытался командой sudo openvpn --config <имя-файла-конфигурации> находясь в папке с конфигурацией с машины Whonix Workstation. Вот вывод:

[workstation user ~/Folder]% sudo openvpn --config vpngate_public-vpn-187.opengw.net_tcp_443.ovpn

[sudo] password for user:         
2023-10-29 13:50:04 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations. 
2023-10-29 13:50:04 Note: Kernel support for ovpn-dco missing, disabling data channel offload.
2023-10-29 13:50:04 OpenVPN 2.6.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]
2023-10-29 13:50:04 library versions: OpenSSL 3.0.11 19 Sep             
2023, LZO 2.10
2023-10-29 13:50:04 DCO version: N/A
2023-10-29 13:50:04 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-10-29 13:50:05 TCP/UDP: Preserving recently used remote address: [AF_INET]219.100.37.179:443
2023-10-29 13:50:05 Socket Buffers: R=[131072->131072] S=[16384->16384]
2023-10-29 13:50:05 Attempting to establish TCP connection with [AF_INET]219.100.37.179:443
2023-10-29 13:50:05 TCP connection established with [AF_INET]219.100.37.179:443
2023-10-29 13:50:05 TCPv4_CLIENT link local: (not bound)
2023-10-29 13:50:05 TCPv4_CLIENT link remote: [AF_INET]219.100.37.179:443
2023-10-29 13:50:06 TLS: Initial packet from [AF_INET]219.100.37.179:443, sid=f11c07e7 7116a7de
2023-10-29 13:50:07 VERIFY OK: depth=2, C=US, O=Internet Security Research Group, CN=ISRG Root X1
2023-10-29 13:50:07 VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=R3
2023-10-29 13:50:07 VERIFY OK: depth=0, CN=opengw.net
2023-10-29 13:50:08 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2023-10-29 13:50:08 [opengw.net] Peer Connection Initiated with [AF_INET]219.100.37.179:443
2023-10-29 13:50:08 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
2023-10-29 13:50:08 TLS: tls_multi_process: initial untrusted session promoted to trusted
2023-10-29 13:50:09 SENT CONTROL [opengw.net]: 'PUSH_REQUEST' (status=1)
2023-10-29 13:50:14 SENT CONTROL [opengw.net]: 'PUSH_REQUEST' (status=1)
2023-10-29 13:50:16 PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 10.244.136.225 10.244.136.226,dhcp-option DNS 10.244.254.254,dhcp-option DNS 8.8.8.8,route-gateway 10.244.136.226,redirect-gateway def1'
2023-10-29 13:50:16 OPTIONS IMPORT: --ifconfig/up options modified
2023-10-29 13:50:16 OPTIONS IMPORT: route options modified
2023-10-29 13:50:16 OPTIONS IMPORT: route-related options modified
2023-10-29 13:50:16 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2023-10-29 13:50:16 OPTIONS ERROR: failed to negotiate cipher with server.  Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305') if you want to connect to this server.
2023-10-29 13:50:16 ERROR: Failed to apply push options
2023-10-29 13:50:16 Failed to open tun/tap interface
2023-10-29 13:50:16 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2023-10-29 13:50:16 Restart pause, 1 second(s)

Может нужно конфиг в другую директорию запихнуть?

Встречал темы по данному вопросу на форуме, но разобраться они мне не помогли. Вот пример совета, которому я последовал, но он не сработал.

Также, если ввести команду openvpn, то вывод у неё нормальный, но в самом конце стоит поле zsh: exit 1 openvpn

Обяснитти пожалуйста что я делаю не так.

P.S. Вижу в логе варнинг про сертификаты со ссылкой, я полазил там но совершенно не вкурил что нужно делать.

P.P.S. Подчеркну, что задача именно подрубить vpn на выход моего траффика, и спрятать тор от всех приложений и сайтов, а не добиться большей анонимности или чего-то ещё.



Последнее исправление: Tomohyeah (всего исправлений: 1)
OpenVPN клиент и доступ по сети.
Перенаправление torrent-трафика через VPN
Ответ на: комментарий от wncpw

А, йомайо… Вы правы, я случайно скопипастил не тот лог. Отредактировал лог в топике. Пробовал я уйму этих конфигов. На винде у меня тоже не коннектится ничего.

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 1)
Ответ на: комментарий от wncpw

Поменял. Выхлоп теперь такой:

[workstation user ~/Folder]% sudo openvpn --config vpngate_219.100.37.51_tcp_443.ovpn
2023-10-30 12:18:45 Note: --cipher is not set. OpenVPN versions before 2.5 defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
2023-10-30 12:18:45 Note: cipher 'AES-128-CBC' in --data-ciphers is not supported by ovpn-dco, disabling data channel offload.
2023-10-30 12:18:45 OpenVPN 2.6.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]
2023-10-30 12:18:45 library versions: OpenSSL 3.0.11 19 Sep 2023, LZO 2.10
2023-10-30 12:18:45 DCO version: N/A
2023-10-30 12:18:45 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-10-30 12:18:45 TCP/UDP: Preserving recently used remote address: [AF_INET]219.100.37.51:443
2023-10-30 12:18:45 Socket Buffers: R=[131072->131072] S=[16384->16384]
2023-10-30 12:18:45 Attempting to establish TCP connection with [AF_INET]219.100.37.51:443
2023-10-30 12:18:45 TCP connection established with [AF_INET]219.100.37.51:443
2023-10-30 12:18:45 TCPv4_CLIENT link local: (not bound)
2023-10-30 12:18:45 TCPv4_CLIENT link remote: [AF_INET]219.100.37.51:443
2023-10-30 12:18:45 TLS: Initial packet from [AF_INET]219.100.37.51:443, sid=1e35108c ca1811ef
2023-10-30 12:18:46 VERIFY OK: depth=2, C=US, O=Internet Security Research Group, CN=ISRG Root X1
2023-10-30 12:18:46 VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=R3
2023-10-30 12:18:46 VERIFY OK: depth=0, CN=opengw.net
2023-10-30 12:18:46 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2023-10-30 12:18:46 [opengw.net] Peer Connection Initiated with [AF_INET]219.100.37.51:443
2023-10-30 12:18:46 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
2023-10-30 12:18:46 TLS: tls_multi_process: initial untrusted session promoted to trusted
2023-10-30 12:18:47 SENT CONTROL [opengw.net]: 'PUSH_REQUEST' (status=1)
2023-10-30 12:18:51 PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 10.236.7.9 10.236.7.10,dhcp-option DNS 10.236.254.254,dhcp-option DNS 8.8.8.8,route-gateway 10.236.7.10,redirect-gateway def1'
2023-10-30 12:18:51 OPTIONS IMPORT: --ifconfig/up options modified
2023-10-30 12:18:51 OPTIONS IMPORT: route options modified
2023-10-30 12:18:51 OPTIONS IMPORT: route-related options modified
2023-10-30 12:18:51 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2023-10-30 12:18:51 Using peer cipher 'AES-128-CBC'
2023-10-30 12:18:51 net_route_v4_best_gw query: dst 0.0.0.0
2023-10-30 12:18:51 net_route_v4_best_gw result: via 10.152.152.10 dev eth0
2023-10-30 12:18:51 ROUTE_GATEWAY 10.152.152.10/255.255.192.0 IFACE=eth0 HWADDR=08:00:27:56:c7:2b
2023-10-30 12:18:51 TUN/TAP device tun0 opened
2023-10-30 12:18:51 net_iface_mtu_set: mtu 1500 for tun0
2023-10-30 12:18:51 net_iface_up: set tun0 up
2023-10-30 12:18:51 net_addr_ptp_v4_add: 10.236.7.9 peer 10.236.7.10 dev tun0
2023-10-30 12:18:51 net_route_v4_add: 219.100.37.51/32 via 10.152.152.10 dev [NULL] table 0 metric -1
2023-10-30 12:18:51 net_route_v4_add: 0.0.0.0/1 via 10.236.7.10 dev [NULL] table 0 metric -1
2023-10-30 12:18:51 net_route_v4_add: 128.0.0.0/1 via 10.236.7.10 dev [NULL] table 0 metric -1
2023-10-30 12:18:51 Initialization Sequence Completed
2023-10-30 12:18:51 Data Channel: cipher 'AES-128-CBC', auth 'SHA1'
2023-10-30 12:18:51 Timers: ping 3, ping-restart 10

А через раз в конце ещё это выдаёт:

2023-10-30 12:20:48 PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 10.236.7.9 10.236.7.10,dhcp-option DNS 10.236.254.254,dhcp-option DNS 8.8.8.8,route-gateway 10.236.7.10,redirect-gateway def'
2023-10-30 12:20:48 WARNING: You have specified redirect-gateway and redirect-private at the same time (or the same option multiple times). This is not well supported and may lead to unexpected results
2023-10-30 12:20:48 Options error: unknown --redirect-gateway flag: def
Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 2)
Ответ на: комментарий от Tomohyeah

Initialization Sequence Completed

Это говорит о том, что соединение установлено. Если оно рвется, может быть конфиг не работающий или разбирайся почему обрывается.

wncpw
()
Последнее исправление: wncpw (всего исправлений: 1)
Ответ на: комментарий от Tomohyeah

не работает интернет совсем после подключения.

а как ты это проверяешь? Соединение само держится или отваливается стабильно по таймауту? Если отваливается одинакого на всех конфигах, тогда скорее всего блокировка трафика. Пробуй тогда менять цепочки нод в сети тор.

wncpw
()
Ответ на: комментарий от wncpw

Коннект с сервером vpn держится, но при запуске любых страниц в браузере всё просто стоит на месте. сurl ifconfig.me тоже ничего не говорит.

На винде и машинах без tor та же история. Так и не понял в чём проблема: перепробовал кучу конфигов с разных сайтов – пашут только с айфона.

Данный вопрос больше неактуален, т.к. нашёл конфиг, который всё-таки заработал…

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 1)
OpenVPN клиент и доступ по сети.
Admin
Перенаправление torrent-трафика через VPN