LINUX.ORG.RU
решено ФорумAdmin

Нужна помощь по OpenVPN 2.3.2 (CentOS 6.5)

 , ,


0

2

Установил OpenVPN. Настраивал по различным инструкциям. Но ни раз не получилось поднять VPN канал. Все тесты проводил в локальной сети.

Помогите пожалуйста настроить VPN.

Конфиг с сервера /etc/openvpn/server.conf :

local 192.168.21.30
port 1194
proto udp
dev tun0
tun-mtu 1500
ca /etc/openvpn/.key/ca.crt
cert /etc/openvpn/.key/server.crt
key /etc/openvpn/.key/server.key
dh /etc/openvpn/.key/dh2048.pem
server 10.10.20.0 255.255.255.0
daemon
mode server
tls-server
ifconfig-pool-persist /etc/openvpn/ip.sv
push "route 192.168.21.0 255.255.255.0"
push "dhcp-option DNS 192.168.21.3"
keepalive 10 120
tls-auth /etc/openvpn/.tls/ta.key 0
cipher AES-256-CBC
auth SHA512
comp-lzo
max-clients 20
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 5
mute 20

Конфиг с клиента:

client 
tls-client 
dev tun 
proto udp
remote 192.168.21.30 1194

resolv-retry infinite 

nobind 

persist-key 
persist-tun 

<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<dh>
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEA8aIDQ9dps8FArISZ7C3xYwCBnijiqZNtuJOjHRcUZEZ/r/Ytrq9B
sGEEKEZWbj2J+p4ivqfkoe3ydmAx0E6KQmIHUg9JyOi9sZ/QX5cQpp7VScyYeDDw
1cXE0UXzXQnmVMK6fpfnJ8/ckelNoqvjvYPyx2iXDH9JKpFJKd+KQR/vLQ2gTIJh
DtaoKXX8UVI0h8C9uu2EOErFtZ9uO2c9eTN8i6XbLushyQDnN5oW5q1qDxHm5rFT
Wa4VKV0lW5Q4xMSYDshXivh83VS4Yf8Ytt1No5jSBDZRfABAFOVmKgFrtzbJKPGC
6Zy0gRQS3LuxB2JH35JRTMwC3Dwbzu7jUwIBAg==
-----END DH PARAMETERS-----
</dh>
<cert>
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=KG, ST=BI, L=Bishkek, O=Mobi, OU=IT, CN=server/name=server/emailAddress=ilias@ilianapro.ru
        Validity
            Not Before: Dec 23 18:39:04 2013 GMT
            Not After : Dec 21 18:39:04 2023 GMT
        Subject: C=KG, ST=BI, L=Bishkek, O=Mobi, OU=IT, CN=velowup/name=server/emailAddress=ilias@ilianapro.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:cb:fa:e8:16:6c:42:58:b0:f5:04:9a:f8:65:3e:
                    72:f8:3c:aa:b5:1a:e5:42:2a:d5:b3:96:03:f9:d9:
                    e0:05:f5:d5:00:aa:0c:6a:d1:c8:33:38:d2:a2:a4:
                    e7:04:b6:a8:eb:74:94:db:55:f0:a7:cc:9b:d2:d8:
                    98:21:cc:00:78:c6:c0:a6:ff:bb:ac:73:dc:98:13:
                    f3:89:2b:43:77:c2:24:1e:ce:37:2f:94:b6:82:d5:
                    85:0c:00:8c:1d:ca:4f:83:bb:36:5c:5d:ea:76:f7:
                    72:aa:6d:8b:09:d8:53:b3:12:6c:8a:cb:5b:75:17:
                    b9:b7:bf:03:db:48:6f:df:0d:d0:3a:0e:15:8b:57:
                    31:03:eb:ab:ea:97:ee:e1:2c:15:53:fb:20:dd:3b:
                    93:6b:bc:c7:53:5e:79:67:0b:79:26:3b:85:46:c6:
                    51:8f:3e:0c:60:3f:bb:f8:af:03:18:b4:a8:19:f8:
                    35:de:17:5d:69:3f:8a:ae:3f:10:78:66:27:2a:7d:
                    ac:a0:da:3b:50:ad:84:c3:d8:65:87:bf:37:53:ef:
                    bb:b9:1e:95:0d:15:41:e6:be:f6:ca:d5:3c:1e:b4:
                    44:36:9e:ae:a1:93:4c:aa:d3:42:a2:89:29:02:d0:
                    c1:8e:cf:b3:77:80:72:59:eb:2c:e3:ce:3d:f0:ef:
                    01:d7
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                Easy-RSA Generated Certificate
            X509v3 Subject Key Identifier: 
                96:FA:D4:68:BD:55:E4:C5:88:20:F3:F1:4A:58:50:B8:74:AF:7E:BA
            X509v3 Authority Key Identifier: 
                keyid:69:2D:87:5B:46:15:97:FD:AF:DF:70:1A:5E:AD:34:A5:13:05:33:65
                DirName:/C=KG/ST=BI/L=Bishkek/O=Mobi/OU=IT/CN=server/name=server/emailAddress=ilias@ilianapro.ru
                serial:EB:11:A9:45:EB:4B:6F:91

            X509v3 Extended Key Usage: 
                TLS Web Client Authentication
            X509v3 Key Usage: 
                Digital Signature
    Signature Algorithm: sha1WithRSAEncryption
         6f:82:be:00:31:1d:0b:11:b7:1e:08:1c:a0:50:0e:d5:b9:d1:
         7c:1b:4b:36:e0:7f:42:cd:0f:a3:68:b0:84:e7:c5:7b:8e:da:
         be:f4:b7:db:30:df:2c:04:4f:d6:0a:95:9d:10:30:2f:87:76:
         b8:9b:71:e9:d4:aa:a6:47:b5:8b:f6:8f:d6:a6:d4:6b:b3:7d:
         f2:eb:70:7a:b4:95:d0:1e:9c:d8:25:bf:f6:e4:63:f5:b9:26:
         99:41:1b:e6:5a:dd:cc:bf:f4:e2:61:56:de:9e:f8:41:46:88:
         48:58:b9:67:7a:e3:a0:b1:3c:1f:fc:07:9e:8d:6c:1d:63:9d:
         dd:86:5e:82:97:f3:8e:ff:52:94:b9:61:db:23:c7:4f:61:9a:
         da:d8:37:44:89:e1:5b:b9:f8:db:ff:d1:c2:73:22:a0:5c:71:
         cb:ac:ca:f5:de:68:e0:ad:0d:ce:b6:8c:e1:d9:49:51:f6:e3:
         dd:8a:03:37:e6:9c:d2:3b:da:84:2d:61:5b:25:79:d1:9b:5e:
         15:99:fe:5b:82:2c:7e:ea:f1:dc:6c:e3:77:cf:cc:8c:db:55:
         e9:26:fa:73:4d:c6:5a:25:85:0e:11:3f:f6:9b:a1:06:cd:ec:
         a2:af:0f:98:1d:ac:b1:02:5b:cb:a4:1c:4c:f2:32:8c:76:e8:
         b4:27:d9:5a
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
edd1b1ebbaded82bc669c67db93fa043
fc6e1ce76b30307d1ded32069fabadd3
d3616daaf18900c444195781be4f97b6
47138e23da54db777ab7ff0d9e2f7fc0
de0806e0d49c43a4d2675d88f1c5731c
7ccb5afa5bea290a48aad969ef639397
5749340afe8d0e0db5f2780a7cce4788
344d8eea394aae71c025612659765941
29b8f646b62bb267c2d5dcaec65e9bb9
9f9faded4794a145fb6dfcea839a8ad2
0f9840703220cda671dba042ec994ff5
fc77601d9252aae72665146916272a5b
d6f8d269b491589b43de40ff16111d5c
20732d53eb9dd4f26438b6f14e7ef059
86e03be0905c7e4b1ce092fbeba5e542
c7517224779b1fe0a40ae7a08bd99a39
-----END OpenVPN Static key V1-----
</tls-auth>

cipher AES-256-CBC 
auth SHA512 

comp-lzo 

verb 4 

mute 20 

user nobody 
group nogroup

log-append openvpn_client.log 
status status_client.log 
tun-mtu 1500
tun-mtu-extra 32
mssfix

При попытке подключиться к OpenVPN с Windows 7 OpenVPN Client на сервере пишутся следующий лог:

==> /var/log/openvpn/openvpn.log <==
WWWWWMon Dec 23 20:11:28 2013 us=289353 MULTI: multi_create_instance called
Mon Dec 23 20:11:28 2013 us=289426 192.168.21.55:61845 Re-using SSL/TLS context
Mon Dec 23 20:11:28 2013 us=289473 192.168.21.55:61845 LZO compression initialized
Mon Dec 23 20:11:28 2013 us=289569 192.168.21.55:61845 Control Channel MTU parms [ L:1602 D:210 EF:110 EB:0 ET:0 EL:0 ]
Mon Dec 23 20:11:28 2013 us=289602 192.168.21.55:61845 Data Channel MTU parms [ L:1602 D:1450 EF:102 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Dec 23 20:11:28 2013 us=289752 192.168.21.55:61845 Local Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Mon Dec 23 20:11:28 2013 us=289778 192.168.21.55:61845 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Mon Dec 23 20:11:28 2013 us=289833 192.168.21.55:61845 Local Options hash (VER=V4): '14d315e7'
Mon Dec 23 20:11:28 2013 us=289870 192.168.21.55:61845 Expected Remote Options hash (VER=V4): 'a5d50645'
RMon Dec 23 20:11:28 2013 us=289931 192.168.21.55:61845 TLS: Initial packet from [AF_INET]192.168.21.55:61845, sid=308cca2b 5ce8c5ad
WRRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWWWWWWWWMon Dec 23 20:11:30 2013 us=335279 MULTI: multi_create_instance called
Mon Dec 23 20:11:30 2013 us=335354 192.168.21.55:61849 Re-using SSL/TLS context
Mon Dec 23 20:11:30 2013 us=335401 192.168.21.55:61849 LZO compression initialized
Mon Dec 23 20:11:30 2013 us=335497 192.168.21.55:61849 Control Channel MTU parms [ L:1602 D:210 EF:110 EB:0 ET:0 EL:0 ]
Mon Dec 23 20:11:30 2013 us=335530 192.168.21.55:61849 Data Channel MTU parms [ L:1602 D:1450 EF:102 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Dec 23 20:11:30 2013 us=335681 192.168.21.55:61849 Local Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Mon Dec 23 20:11:30 2013 us=335707 192.168.21.55:61849 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Mon Dec 23 20:11:30 2013 us=335749 192.168.21.55:61849 Local Options hash (VER=V4): '14d315e7'
Mon Dec 23 20:11:30 2013 us=335786 192.168.21.55:61849 Expected Remote Options hash (VER=V4): 'a5d50645'
RMon Dec 23 20:11:30 2013 us=335847 192.168.21.55:61849 TLS: Initial packet from [AF_INET]192.168.21.55:61849, sid=fe55955e 3d83b9f4
WRRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWWWW^C

Уже пару дней вкуриваю и не могу понять где проблема.

Заранее благодарен.

Ответ на: комментарий от Incher

А почему не скопировать сертификаты на клиентскую машину и в конфиге клиента указать просто пути к ним? Делала вот по этой статье (была проблема с NAT'ом, но что касается самого OpenVPN - все работает) http://lithium.opennet.ru/articles/openvpn/openvpn-howto.html

В начале на клиенте я использовал пути к сертификатам. Потом начал из использовать внутри конфиг файла клиента. Все равно результат тот же.

Ilianapro
() автор топика
Ответ на: комментарий от pekmop1024

Время на клиенте и на сервере правильно выставлено?

время на клиенте и сервере одинаковые.

Ilianapro
() автор топика

очень странно. вчера не работало - а сегодня когда попробовал подключиться у меня получилось подключиться. На сервере IP: 10.10.20.1 На винде был назначен IP: 10.10.20.6 :) :) :)

Но вот пинги не идут с винды на сервер:

ping 10.10.20.1

Обмен пакетами с 10.10.20.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 10.10.20.1:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

Так же пробовал пинговать с сервера IP винды:

ping 10.10.20.6
PING 10.10.20.6 (10.10.20.6) 56(84) bytes of data.

на обеих концах файрвол отключен.

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

в конфиге сервера /etc/openvpn/server.conf закомментил следующие строки:

;push "route 192.168.21.0 255.255.255.0"
;push "dhcp-option DNS 192.168.21.3"
рестартанул openvpn сервис и пошли пинги :)

Ilianapro
() автор топика

для того чтобы закрепить материал попробую все переустановить и настроить по новой.

P.S. странно почему у меня вчера сразу не заработало?

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

Поди винду не перезагрузил :) и еще один момент - в 7-ке клиент гуи надо запускать от имени администратора (правая клавиша мышки на иконке - запуск от имени администратора) иначе не пропишутся роутинги, которые даешь с сервера (push)

aeX1pu2b
()

Самые тяжелоотлавливаемые ошибки связаны с компрессией. Пока тестируете, отключайте ее вообще (параметр comp-lzo) как на клиенте, так и на сервере. Нельзя этот параметр устанавливать в «no», нужно именно комментировать!

tun-mtu и mssfix лучше без надобности не указывать, их тоже тяжело отлаживать.

К слову, если засовываете сертификат в конфиг, то можно убирать все, кроме самого сертификата, заключенного в --begin certificate-- --end certificate--

Под Windows, бывает, роуты не пушатся, помогает:

route-method exe

на клиенте.

Если используете IPv6, там еще свои проблемы.

ValdikSS ★★★★★
()
Ответ на: комментарий от Ilianapro

Если оффтопик - виста или новее, гуй надо пускать от имени администратора, иначе маршруты не прописываются.

pekmop1024 ★★★★★
()

Установил согласно инструкции с сайта: http://lintut.com/how-to-install-and-configure-openvpn-server-on-centos-6-4-l...

Конфиг сервера:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

Конфиг клиента:

client
dev tun
proto udp
remote 192.168.21.30 1194
resolv-retry infinite
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ca ca.crt
cert client01.crt
key client01.key
comp-lzo
reneg-sec 0
verb 3

Логи с сервера:

Dec 24 12:35:43 localhost openvpn[1663]: 192.168.21.55:54368 TLS: Initial packet from [AF_INET]192.168.21.55:54368, sid=ca664cb1 a1feb1e8
Dec 24 12:35:44 localhost openvpn[1663]: 192.168.21.55:65055 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Dec 24 12:35:44 localhost openvpn[1663]: 192.168.21.55:65055 TLS Error: TLS handshake failed
Dec 24 12:35:44 localhost openvpn[1663]: 192.168.21.55:65055 SIGUSR1[soft,tls-error] received, client-instance restarting
Dec 24 12:35:45 localhost openvpn[1663]: 192.168.21.55:54370 TLS: Initial packet from [AF_INET]192.168.21.55:54370, sid=e6f4cf33 572ea736

логи с клиента:

Tue Dec 24 12:39:37 2013 Note: option http-proxy-fallback ignored because no TCP-based connection profiles are defined
Tue Dec 24 12:39:37 2013 OpenVPNAS 2.1.1oOAS Win32-MSVC++ [SSL] [LZO2] built on Jul 29 2010
Tue Dec 24 12:39:37 2013 MANAGEMENT: Connected to management server at 127.0.0.1:63016
Tue Dec 24 12:39:37 2013 MANAGEMENT: CMD 'log on'
Tue Dec 24 12:39:37 2013 MANAGEMENT: CMD 'state on'
Tue Dec 24 12:39:37 2013 MANAGEMENT: CMD 'echo on'
Tue Dec 24 12:39:37 2013 MANAGEMENT: CMD 'bytecount 5'
Tue Dec 24 12:39:37 2013 MANAGEMENT: CMD 'hold off'
Tue Dec 24 12:39:37 2013 MANAGEMENT: CMD 'hold release'
Tue Dec 24 12:39:37 2013 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec 24 12:39:37 2013 NOTE: OpenVPNAS 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Dec 24 12:39:37 2013 LZO compression initialized
Tue Dec 24 12:39:37 2013 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Dec 24 12:39:37 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Dec 24 12:39:37 2013 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Dec 24 12:39:37 2013 Local Options hash (VER=V4): 'd3a7571a'
Tue Dec 24 12:39:37 2013 Expected Remote Options hash (VER=V4): '5b1533a2'
Tue Dec 24 12:39:37 2013 UDPv4 link local: [undef]
Tue Dec 24 12:39:37 2013 UDPv4 link remote: 192.168.21.30:1194
Tue Dec 24 12:39:37 2013 MANAGEMENT: >STATE:1387867177,WAIT,,,
Tue Dec 24 12:39:37 2013 MANAGEMENT: >STATE:1387867177,AUTH,,,
Tue Dec 24 12:39:37 2013 TLS: Initial packet from 192.168.21.30:1194, sid=2feab9ac 7b75004c
Tue Dec 24 12:39:37 2013 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=KG/ST=BI/L=Bishkek/O=Mobi/OU=IT/CN=server/name=Mobi/emailAddress=ilias@ilianapro.com
Tue Dec 24 12:39:37 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Dec 24 12:39:37 2013 TLS Error: TLS object -> incoming plaintext read error
Tue Dec 24 12:39:37 2013 TLS Error: TLS handshake failed
Tue Dec 24 12:39:37 2013 TCP/UDP: Closing socket
Tue Dec 24 12:39:37 2013 SIGUSR1[soft,tls-error] received, process restarting
Tue Dec 24 12:39:37 2013 MANAGEMENT: >STATE:1387867177,RECONNECTING,tls-error,,
Tue Dec 24 12:39:37 2013 Restart pause, 2 second(s)

видно что проблемы с сертификатом. но почему? ведь на сервере никаких дополнительных сертификатов не используются.

Обязательно ли использовать TLS ключ -> ta.key ??

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

Tue Dec 24 12:39:37 2013 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=KG/ST=BI/L=Bishkek/O=Mobi/OU=IT/CN=server/name=Mobi/emailAddress=ilias@ilianapro.com


Дата блин. У тебя сертификат из будущего.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Дата блин. У тебя сертификат из будущего.

Дата верная. Ведь у нас время сейчас 12:58. У вас время на пару часиков назад.

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

Ему все равно, где я, речь не про это. У сертификата дата начала действия относительно текущей даты на клиенте и/или сервере -в будущем. Он же тебе английским языком написал - «certificate is not yet valid», что по-русски будет «этот сертификат еще не действителен».

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Ему все равно, где я, речь не про это. У сертификата дата начала действия относительно текущей даты на клиенте и/или сервере -в будущем. Он же тебе английским языком написал - «certificate is not yet valid», что по-русски будет «этот сертификат еще не действителен».

спасибо за коммент. Но почему эта ошибка появляется? ведь на сервере и на клиенте одинаковое время:

на сервере:

# date
Tue Dec 24 13:08:51 GMT 2013

на клиенте:

C:\date
Текущая дата: 24.12.2013
C:\>time
Текущее время: 13:09:24,20

Серверный сертификат:

#openssl x509 -noout -in server.crt -dates
notBefore=Dec 24 11:44:30 2013 GMT
notAfter=Dec 22 11:44:30 2023 GMT

Клиентский сертификат:

# openssl x509 -noout -in client01.crt -dates
notBefore=Dec 24 11:50:31 2013 GMT
notAfter=Dec 22 11:50:31 2023 GMT

Где может быть загвоздка по certificate is not yet valid ?

Ilianapro
() автор топика
Ответ на: комментарий от pekmop1024

На сервере у тебя время в GMT. А на клиенте какой часовой пояс?

На клиенте GMT+6. Теперь я понял где была проблема. Спасибо за наводку.

Ilianapro
() автор топика

думаю остался последний момент с тестированием.

При попытке подключиться на сервере идут следующие логи:

Dec 24 07:35:42 localhost openvpn[2522]: 192.168.21.55:53181 TLS: Initial packet from [AF_INET]192.168.21.55:53181, sid=651ec08f e6f68688
Dec 24 07:35:44 localhost openvpn[2522]: 192.168.21.55:53182 TLS: Initial packet from [AF_INET]192.168.21.55:53182, sid=bd11365e 204bcb22
Dec 24 07:35:46 localhost openvpn[2522]: 192.168.21.55:53184 TLS: Initial packet from [AF_INET]192.168.21.55:53184, sid=e9b0c200 7e4ab954
Dec 24 07:35:48 localhost openvpn[2522]: 192.168.21.55:53185 TLS: Initial packet from [AF_INET]192.168.21.55:53185, sid=c45c918d fc6bb93c
Dec 24 07:35:50 localhost openvpn[2522]: 192.168.21.55:53187 TLS: Initial packet from [AF_INET]192.168.21.55:53187, sid=3555e401 3db6a6c6
Dec 24 07:35:52 localhost openvpn[2522]: 192.168.21.55:53188 TLS: Initial packet from [AF_INET]192.168.21.55:53188, sid=041e6a18 65d3a08a
Dec 24 07:35:54 localhost openvpn[2522]: 192.168.21.55:53190 TLS: Initial packet from [AF_INET]192.168.21.55:53190, sid=d1147e89 e151807a
Dec 24 07:35:56 localhost openvpn[2522]: 192.168.21.55:53191 TLS: Initial packet from [AF_INET]192.168.21.55:53191, sid=f4a42f22 0c021e25
Dec 24 07:35:58 localhost openvpn[2522]: 192.168.21.55:53193 TLS: Initial packet from [AF_INET]192.168.21.55:53193, sid=26b67ded e56bc08f
Dec 24 07:36:00 localhost openvpn[2522]: 192.168.21.55:53194 TLS: Initial packet from [AF_INET]192.168.21.55:53194, sid=b674550f cf1f501d
Dec 24 07:36:02 localhost openvpn[2522]: 192.168.21.55:53196 TLS: Initial packet from [AF_INET]192.168.21.55:53196, sid=b54ec753 d6a518f1
Dec 24 07:36:04 localhost openvpn[2522]: 192.168.21.55:53197 TLS: Initial packet from [AF_INET]192.168.21.55:53197, sid=1f63a243 f10be09d
Dec 24 07:36:06 localhost openvpn[2522]: 192.168.21.55:53199 TLS: Initial packet from [AF_INET]192.168.21.55:53199, sid=4ec43676 35a5bce1
Dec 24 07:36:08 localhost openvpn[2522]: 192.168.21.55:61907 TLS: Initial packet from [AF_INET]192.168.21.55:61907, sid=e0308e0f c631de28
Dec 24 07:36:10 localhost openvpn[2522]: 192.168.21.55:61909 TLS: Initial packet from [AF_INET]192.168.21.55:61909, sid=41f5ac0a d2aa16c7
Dec 24 07:36:12 localhost openvpn[2522]: 192.168.21.55:61910 TLS: Initial packet from [AF_INET]192.168.21.55:61910, sid=412a6727 b4ad83be
Dec 24 07:36:14 localhost openvpn[2522]: 192.168.21.55:53169 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Dec 24 07:36:14 localhost openvpn[2522]: 192.168.21.55:53169 TLS Error: TLS handshake failed
Dec 24 07:36:14 localhost openvpn[2522]: 192.168.21.55:53169 SIGUSR1[soft,tls-error] received, client-instance restarting
Dec 24 07:36:14 localhost openvpn[2522]: 192.168.21.55:61912 TLS: Initial packet from [AF_INET]192.168.21.55:61912, sid=bce86fea 2eca08d8
Dec 24 07:36:16 localhost openvpn[2522]: 192.168.21.55:53170 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Dec 24 07:36:16 localhost openvpn[2522]: 192.168.21.55:53170 TLS Error: TLS handshake failed
Dec 24 07:36:16 localhost openvpn[2522]: 192.168.21.55:53170 SIGUSR1[soft,tls-error] received, client-instance restarting
Dec 24 07:36:16 localhost openvpn[2522]: 192.168.21.55:61914 TLS: Initial packet from [AF_INET]192.168.21.55:61914, sid=4b7cdcf2 26ff453f
Dec 24 07:36:17 localhost openvpn[2522]: 192.168.21.55:53172 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Dec 24 07:36:17 localhost openvpn[2522]: 192.168.21.55:53172 TLS Error: TLS handshake failed
Dec 24 07:36:17 localhost openvpn[2522]: 192.168.21.55:53172 SIGUSR1[soft,tls-error] received, client-instance restarting
Dec 24 07:36:18 localhost openvpn[2522]: 192.168.21.55:61915 TLS: Initial packet from [AF_INET]192.168.21.55:61915, sid=985feb3e c1516ea7
Dec 24 07:36:20 localhost openvpn[2522]: 192.168.21.55:53173 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Dec 24 07:36:20 localhost openvpn[2522]: 192.168.21.55:53173 TLS Error: TLS handshake failed
Dec 24 07:36:20 localhost openvpn[2522]: 192.168.21.55:53173 SIGUSR1[soft,tls-error] received, client-instance restarting
Dec 24 07:36:20 localhost openvpn[2522]: 192.168.21.55:61917 TLS: Initial packet from [AF_INET]192.168.21.55:61917, sid=2ffed476 7d0651c2
Dec 24 07:36:22 localhost openvpn[2522]: 192.168.21.55:53175 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Dec 24 07:36:22 localhost openvpn[2522]: 192.168.21.55:53175 TLS Error: TLS handshake failed
Dec 24 07:36:22 localhost openvpn[2522]: 192.168.21.55:53175 SIGUSR1[soft,tls-error] received, client-instance restarting
Dec 24 07:36:22 localhost openvpn[2522]: 192.168.21.55:61918 TLS: Initial packet from [AF_INET]192.168.21.55:61918, sid=238f2984 f47d806f
Dec 24 07:36:24 localhost openvpn[2522]: 192.168.21.55:61920 TLS: Initial packet from [AF_INET]192.168.21.55:61920, sid=2244c3fd b8a31024

на клиенте следующие логи:

Tue Dec 24 13:34:48 2013 Note: option http-proxy-fallback ignored because no TCP-based connection profiles are defined
Tue Dec 24 13:34:48 2013 OpenVPNAS 2.1.1oOAS Win32-MSVC++ [SSL] [LZO2] built on Jul 29 2010
Tue Dec 24 13:34:48 2013 MANAGEMENT: Connected to management server at 127.0.0.1:36336
Tue Dec 24 13:34:48 2013 MANAGEMENT: CMD 'log on'
Tue Dec 24 13:34:48 2013 MANAGEMENT: CMD 'state on'
Tue Dec 24 13:34:48 2013 MANAGEMENT: CMD 'echo on'
Tue Dec 24 13:34:48 2013 MANAGEMENT: CMD 'bytecount 5'
Tue Dec 24 13:34:48 2013 MANAGEMENT: CMD 'hold off'
Tue Dec 24 13:34:48 2013 MANAGEMENT: CMD 'hold release'
Tue Dec 24 13:34:48 2013 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec 24 13:34:48 2013 NOTE: OpenVPNAS 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Dec 24 13:34:48 2013 LZO compression initialized
Tue Dec 24 13:34:48 2013 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Dec 24 13:34:48 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Dec 24 13:34:48 2013 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Dec 24 13:34:48 2013 Local Options hash (VER=V4): 'd3a7571a'
Tue Dec 24 13:34:48 2013 Expected Remote Options hash (VER=V4): '5b1533a2'
Tue Dec 24 13:34:48 2013 UDPv4 link local: [undef]
Tue Dec 24 13:34:48 2013 UDPv4 link remote: 192.168.21.30:1194
Tue Dec 24 13:34:48 2013 MANAGEMENT: >STATE:1387870488,WAIT,,,
Tue Dec 24 13:34:48 2013 MANAGEMENT: >STATE:1387870488,AUTH,,,
Tue Dec 24 13:34:48 2013 TLS: Initial packet from 192.168.21.30:1194, sid=9668c73f 52618521
Tue Dec 24 13:34:48 2013 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=KG/ST=BI/L=Bishkek/O=Mobi/OU=IT/CN=server/name=Mobi/emailAddress=ilias@ilianapro.com
Tue Dec 24 13:34:48 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Dec 24 13:34:48 2013 TLS Error: TLS object -> incoming plaintext read error
Tue Dec 24 13:34:48 2013 TLS Error: TLS handshake failed
Tue Dec 24 13:34:48 2013 TCP/UDP: Closing socket
Tue Dec 24 13:34:48 2013 SIGUSR1[soft,tls-error] received, process restarting
Tue Dec 24 13:34:48 2013 MANAGEMENT: >STATE:1387870488,RECONNECTING,tls-error,,
Tue Dec 24 13:34:48 2013 Restart pause, 2 second(s)
Tue Dec 24 13:34:50 2013 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec 24 13:34:50 2013 NOTE: OpenVPNAS 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

что мешает подключиться?

P.S. Во многих инструкциях я не видел про то что надо использовать TLS ключ. Но почему -то в моем случае с условием того что он нигде не прописан ругается на него.

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

На сервере у тебя стоит tls-auth путь_к_ключу 0 (это верно)
А на клиенте у тебя ключ в конфиге (зачем так, кстати?), и единицу там поставить проблематично. Возможно, что из-за этого. TLS-ключ должен быть один и тот же.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Я исключил TLS ключ с сервера и клиента.

Получаю следующую ошибку на стороне клиента:

TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Основной вопрос: обязательно ли надо использовать TLS ключ?

ответ на этот вопрос облегчил бы мне жизнь :)

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

Последние конфиги:

сервер:

local 192.168.21.30
port 1194
proto udp
dev tun0
tun-mtu 1500
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.10.20.0 255.255.255.0
daemon
mode server
;tls-server
ifconfig-pool-persist ip.sv
push "route 192.168.21.0 255.255.255.0"
push "dhcp-option DNS 192.168.21.3"
keepalive 10 120
;tls-auth ta.key 0
cipher AES-256-CBC
auth SHA512
comp-lzo
max-clients 20
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 5
mute 20

клиент:

client 
tls-client 
dev tun 
proto udp
remote 192.168.21.30 1194
resolv-retry infinite 
nobind 
persist-key 
persist-tun 
cipher AES-256-CBC 
auth SHA512 
comp-lzo 
verb 4 
mute 20 
ca ca.crt
cert client01.crt
key client01.key
user nobody 
group nogroup
log-append openvpn_client.log 
status status_client.log 
tun-mtu 1500
tun-mtu-extra 32
mssfix

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

а ты GUI попробуй запустить от адмнистратора (правый клик по иконке GUI и «Запустить от имени администратора») или запусти как в качестве сервиса.

Acceptor ★★
()
Ответ на: комментарий от Acceptor

всем спасибо за старание помочь мне. все заработало. :)

Ilianapro
() автор топика
Ответ на: комментарий от windofchange

ты флудер. твое слово ужооос ничем не обосновано. я очень благодарен тем кто помог мне с данной проблемой.

честно говоря я давно не размещал никаких тем на форумах. не ожидал что еще есть люди которые действительно помогают.

Как и ожидал вначале - нашелся чел. который попросту написал слово ужооос без никакого смысла и обоснования.

Ilianapro
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.