Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: Corsair 25 Dubna 2012, 19:40:39
-
Ahoj,
Stále bádám nad tímto návodem
http://wiki.ubuntu.cz/OpenVPN%20serverU kroku 11. už nevím který certifikát vlastně přenést ke klientovi.A ještě se mne nedaří spustit vpn.A poslední krok certifikáty jsou s koncovkou .pem a například u klienta ve windows kde používám gui openvpn požaduju certifikát s koncovkou ovpn
-
Já myslím, že je to poměrně jasné - klíč, certifikát a certifikát certifikační autority tj. privátní klíč klienta (soukromý), certifikát klienta (veřejný) a certifikát certifikační autority (veřejný) tj. celkem 3 soubory key.pem, cert.pem a cacert.pem
GUI OpenVPN požaduje nikoliv certifikát, ale konfigurační soubor .ovpn (ve kterém jsou informace o 2 certifikátech a 1 klíči)
-
Díky, a je nějaká cesta jak ten ovpn vytvořit.
-
No vždyť to tam také je :)
remote 1.2.3.4 ### IP adresa serveru
tls-client
dev tap
pull
mute 10
ca /etc/openvpn/cacert.pem
cert /etc/openvpn/cert.pem
key /etc/openvpn/key.pem
comp-lzo
verb 3
-
Omluvám se za tyto dotazy ale nejsem v tomto nijak extra pokročilý uživatel :-) ale snažím se do toho proniknout tak všemu úplně nerozumím.
remote 1.2.3.4 ### IP adresa serveru
tls-client
dev tap
pull
mute 10
ca /etc/openvpn/cacert.pem
cert /etc/openvpn/cert.pem
key /etc/openvpn/key.pem
comp-lzo
verb 3Ale toto je dle návodu soubor .conf ten můžu po vytvoření přejmenovat na .ovpn
-
Jistě - on by se i na linuxu měl jmenovat ovpn, akorát na linuxu si nikdo (naštěstí) moc s koncovkama neláme hlavu, takže to OpenVPN skousne.
-
Děkuji,soubor .conf přejmenuji. Ještě mne prosím poraďte do jakého logu se mám podívat když mne při pokusu o spuštění vpn serveru skončí FAIL chybou,podle návodu jsem postupoval krok za krokem ale to spuštění se mne nedaří.
-
Pravděpodobně by něco mohlo být ve /var/log/syslog nebo v dle configu ve /var/log/openvpn
-
Tak jsem koukal do logu a hlásí to tuto chybu:
Apr 26 09:56:47 test-VirtualBox ovpn-vpn_server[3690]: WARNING: you are using user/group/chroot/setcon without persist-tun -- this may cause restarts to failz toho chapu že mě chybí tap adaptér.
-
Ahoj,
tak už se asi dostávám k cíli ale ještě mám tento problém.Při spuštění klienta na windows xp mne to při pokusu o spojení hlásí tuto chybu viz log:
Fri May 04 07:17:32 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Fri May 04 07:17:32 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri May 04 07:17:33 2012 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri May 04 07:17:33 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri May 04 07:17:33 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri May 04 07:17:33 2012 LZO compression initialized
Fri May 04 07:17:33 2012 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri May 04 07:17:33 2012 Socket Buffers: R=[8192->8192] S=[64512->64512]
Fri May 04 07:17:33 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri May 04 07:17:33 2012 Local Options hash (VER=V4): '13a273ba'
Fri May 04 07:17:33 2012 Expected Remote Options hash (VER=V4): '360696c5'
Fri May 04 07:17:33 2012 UDPv4 link local: [undef]
Fri May 04 07:17:33 2012 UDPv4 link remote: 192.168.0.254:1194
Fri May 04 07:17:33 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:17:35 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:17:39 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:17:48 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:18:04 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:18:33 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri May 04 07:18:33 2012 TLS Error: TLS handshake failed
Fri May 04 07:18:33 2012 TCP/UDP: Closing socket
Fri May 04 07:18:33 2012 SIGUSR1[soft,tls-error] received, process restarting
Fri May 04 07:18:33 2012 Restart pause, 2 second(s)
Fri May 04 07:18:35 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri May 04 07:18:35 2012 Re-using SSL/TLS context
Fri May 04 07:18:35 2012 LZO compression initialized
Fri May 04 07:18:35 2012 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri May 04 07:18:35 2012 Socket Buffers: R=[8192->8192] S=[64512->64512]
Fri May 04 07:18:35 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri May 04 07:18:35 2012 Local Options hash (VER=V4): '13a273ba'
Fri May 04 07:18:35 2012 Expected Remote Options hash (VER=V4): '360696c5'
Fri May 04 07:18:35 2012 UDPv4 link local: [undef]
Fri May 04 07:18:35 2012 UDPv4 link remote: 192.168.0.254:1194
Fri May 04 07:18:35 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:18:37 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:18:41 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:18:49 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:19:05 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri May 04 07:19:36 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri May 04 07:19:36 2012 TLS Error: TLS handshake failed
Fri May 04 07:19:36 2012 TCP/UDP: Closing socket
Fri May 04 07:19:36 2012 SIGUSR1[soft,tls-error] received, process restarting
Fri May 04 07:19:36 2012 Restart pause, 2 second(s)
Fri May 04 07:19:38 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri May 04 07:19:38 2012 Re-using SSL/TLS context
-
Jaký je log na straně serveru?
Vypadá to na špatný certifikát, ale to jen hádám ...
-
Tady je výtažek z syslogu
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: Socket Buffers: R=[229376->131072] S=[229376->131072]
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: TUN/TAP device tap0 opened
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: TUN/TAP TX queue length set to 100
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: /etc/openvpn/up.sh br0 tap0 1500 1574 init
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: WARNING: External program may not be called unless '--script-security 2' or higher is enabled. Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier. See --help text or man page for detailed info.
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: WARNING: Failed running command (--up/--down): external program fork failed
May 4 08:27:40 test-virtual-machine ovpn-server[13155]: Exiting
May 4 08:27:40 test-virtual-machine avahi-daemon[678]: Withdrawing workstation service for tap0.
May 4 08:27:40 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/tap0, iface: tap0)
May 4 08:27:40 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/tap0, iface: tap0): no ifupdown configuration found.
May 4 08:27:40 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/tap0, iface: tap0)
May 4 08:30:52 test-virtual-machine ovpn-client[14493]: OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
May 4 08:30:52 test-virtual-machine ovpn-client[14493]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
May 4 08:30:52 test-virtual-machine ovpn-client[14493]: Cannot load certificate file nadc0094.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
May 4 08:30:52 test-virtual-machine ovpn-client[14493]: Exiting
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: Diffie-Hellman initialized with 1024 bit key
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: Socket Buffers: R=[229376->131072] S=[229376->131072]
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: TUN/TAP device tap0 opened
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: TUN/TAP TX queue length set to 100
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: /etc/openvpn/up.sh br0 tap0 1500 1574 init
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: WARNING: External program may not be called unless '--script-security 2' or higher is enabled. Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier. See --help text or man page for detailed info.
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: WARNING: Failed running command (--up/--down): external program fork failed
May 4 08:30:52 test-virtual-machine ovpn-server[14506]: Exiting
May 4 08:30:52 test-virtual-machine avahi-daemon[678]: Withdrawing workstation service for tap0.
May 4 08:30:52 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/tap0, iface: tap0)
May 4 08:30:52 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/tap0, iface: tap0): no ifupdown configuration found.
May 4 08:30:52 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/tap0, iface: tap0)
May 4 08:31:05 test-virtual-machine ovpn-client[14642]: OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
May 4 08:31:05 test-virtual-machine ovpn-client[14642]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
May 4 08:31:05 test-virtual-machine ovpn-client[14642]: Cannot load certificate file nadc0094.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
May 4 08:31:05 test-virtual-machine ovpn-client[14642]: Exiting
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: Diffie-Hellman initialized with 1024 bit key
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: Socket Buffers: R=[229376->131072] S=[229376->131072]
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: TUN/TAP device tap0 opened
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: TUN/TAP TX queue length set to 100
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: /etc/openvpn/up.sh br0 tap0 1500 1574 init
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: WARNING: External program may not be called unless '--script-security 2' or higher is enabled. Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier. See --help text or man page for detailed info.
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: WARNING: Failed running command (--up/--down): external program fork failed
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: Exiting
May 4 08:31:05 test-virtual-machine avahi-daemon[678]: Withdrawing workstation service for tap0.
May 4 08:31:05 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/tap0, iface: tap0)
May 4 08:31:05 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/tap0, iface: tap0): no ifupdown configuration found.
May 4 08:31:05 test-virtual-machine NetworkManager[679]: SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/tap0, iface: tap0)Jinak postupoval jsem dle této literatury
https://help.ubuntu.com/10.04/serverguide/network-configuration.html#bridging
vytvořil jsem bridge
https://help.ubuntu.com/10.04/serverguide/openvpn.html
nastavil oponvpn
-
May 4 08:31:05 test-virtual-machine ovpn-client[14642]: Cannot load certificate file nadc0094.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: WARNING: Failed running command (--up/--down): external program fork failed
May 4 08:31:05 test-virtual-machine ovpn-server[14655]: Exiting
Na tyhle chyby bych se mrknul blíže :)
-
Ahoj,
tak toto je první věc kterou jsem vzdal v ubuntu.Opravdu už nevím jak na to.Možná za čas se k tomu zase vrátím.
-
Podle té chyby, kterou tam vidím, je špatně zadaná cesta k certifikátu nadc0094.crt ...
-
Ahoj, tak jsem bádal dlouho do noci :P
A postupoval dle tohoto podle mne celkem dobrého návodu https://help.ubuntu.com/10.04/serverguide/openvpn.htmla také jsem si dle tohoto návodu vytvořil z druhé karty bridge.
Na windows klientské aplikaci openvpn gui mne to při pokusu hlásí pořád stejnou chybu.
Fri May 18 08:44:42 2012 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Fri May 18 08:44:42 2012 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri May 18 08:44:42 2012 Cannot load certificate file nadc0094.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Fri May 18 08:44:42 2012 Exiting
Přitom tento certifikát je na klientovi i je cesta k certifikátu v conf souboru.
-
certifikáty jsem vygeneroval znovu, tváří se že je to v pořádku ale končím na této chybě (http://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity.html) na straně klienta ve windows.
Zkoušel jsem nastvit iptables
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1194 -j ACCEPT
Ale to nějak nepomohlo.
-
Máte na obou stranách zadaný správně port a protokol?
-
Myslím že ano, přikládám conf soubory serveru a klienta.
[příloha smazaná administrátorem]
-
Na ten server z klienta pingnete? Lze prověřit otevřené porty? (např. nmap server)
V logu na serveru se pokus o připojení objeví?
-
Ano ping na 192.168.0.254 mam.V logu žádný záznam není, teda pokud se dívám do správného.
A příkaz nmap píše toto:
a koukám že port 1194 skutečně neběží dle výpisu nmap
test@test-virtual:/$ nmap 192.168.0.254
test@test-virtual:/$ nmap 192.168.0.254
Starting Nmap 5.21 ( http://nmap.org ) at 2012-05-22 11:51 CEST
Nmap scan report for 192.168.0.254
Host is up (0.00044s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
22/tcp open ssh
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Nmap done: 1 IP address (1 host up) scanned in 0.13 seconds
Ale příkaz /etc/init.d/openvpn restart proběhne v pořádku.
-
ach jo .. nmap by default scanuje jen porty 1-1000, pokud chces vyssi, musis mu to pomoci -p rict
-
Děkuji za poznám při zadání parametru nmap -p22-1199 mne stejně port s openvpn nenajde, takže neběží.
-
jak to muzes rict jen kvuli nmapu ?
na serveru se koukni pomoci netstat -an a nebo lsof -i
-
také nic
-
Ten nmap jsem chtěl spíše jen proto, abychom vyloučili extrémně restriktivní firewall.
Stejnak mu to běží na UDP a i s parametrem -u bych pochyboval, že to nmap najde.
ps wax | grep openvpn
-
Ahoj našel jsem na stránkách openvpn
http://openvpn.net/index.php/access-server/docs/quick-start-guide.html přímo deb balíček pro ubuntu a je to webové rozhraní pro správu serveru.Myslím že to by mělo možná být ono.Jinak koukal jsem na ten port 1194 a běží ale na jiném eth rozhraní než potřebuji,kde se dá eth karta změnit.
-
# If running as a server, which local IP address should OpenVPN
# listen on? Specify this as either a hostname or IP address. If
# this is left blank, OpenVPN will default to listening on all
# interfaces.
#local a.b.c.d
-
Toto nastavení tam nemůžu najít.Přikládám můj server.conf. Ještě připomínám pomínám že jsem dle tohoto návodu
https://help.ubuntu.com/10.04/serverguide/network-configuration.html#bridging nastavil na můj eth1 brigdge.
[příloha smazaná administrátorem]
-
Proto jej tam uveďte - pokud openvpn poslouchá na špatném iface, je třeba jej odkázat tam, kam patří.
-
Ahoj,
Tak konečně hlásím úspěch :) Dle tohoto návodu https://help.ubuntu.com/11.10/serverguide/openvpn.html jsem úspěšně spustil openvpn zatím v režimu router s TAP adaptérem na ten bridge se podívám teď.Ale mám jinou otázku na windows klientu mne opev vpn přidělila IP adresu 10.8.0.6 ping funguje a když ji otevřu v síti tak nevidím sdílení ale nabízí pouze sdílení tiskáren, zřejmě se bude muset něco nastavit na sambě aby viděl mé sdílené složky.
-
Možná samba neposlouchá na tom rozhraní?
-
Už to jde.Zadal jsem do server conf souboru push dns.Tak teď ještě zkusím ten bridge.
PS: kde se u samby dá nastavit aby naslouchala jenom na jednom eth portu.
-
Tak spojení jde ale klienti namají ping na server a ani v siti ho nevidi.Ale pripojeni jde i dostanou i ip adresu.
-
Pingem na server se rozumí ping na IP adresu VPN rozhraní na serveru?
-
Ano ip adresa vpn serveru je 10.8.0.1 a já mám přiděleno 10.8.0.6 bohužel ping nejde.
-
A jaká je default policy pro iptables? Nemáte to náhodou vše do DROP?
-
Iptables mám takto, v tom asi problém nebude.
sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere state NEW
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-
Ještě mě napadá jestli to nebude tím že mám vypnutut forward.
cat /proc/sys/net/ipv4/ip_forward pise 0 nemám to změnit na 1.
Ještě přikládám client.log nněco tam není v pořádku.
[příloha smazaná administrátorem]
-
pokud ma tvuj server routovat (tedy povolit, aby packet prelezl z jednoho rozhrani na druhe), tak ip_forward prirozene potrebujes
-
Jo jo už jsem to routování zapl, stále mám ale u klienta chybu viz. log
Už jsem to rozchodil
1. ve windows 7 se musí to openvpnGUI spuštět pod admin právy
2. do klient.conf se musí přidat tyto 2 řádkyroute-method exe
route-delay 2Pak mne to začalo fungovat.
-
Tak abych nevypadl ze cviku zkouším druhé nastavení a to v bridge modu.Ale mám zde pár nejasností nejde připojení z klienta na serveru a v logu na serveru je tato chyba.
Thu Jun 7 09:57:46 2012 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Thu Jun 7 09:57:46 2012 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:7505
Thu Jun 7 09:57:46 2012 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Thu Jun 7 09:57:46 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun 7 09:57:46 2012 Diffie-Hellman initialized with 1024 bit key
Thu Jun 7 09:57:46 2012 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jun 7 09:57:46 2012 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Jun 7 09:57:46 2012 TUN/TAP device tap0 opened
Thu Jun 7 09:57:46 2012 TUN/TAP TX queue length set to 100
Thu Jun 7 09:57:46 2012 /etc/openvpn/up.sh br0 eth1 tap0 1500 1574 init
Thu Jun 7 09:57:46 2012 WARNING: External program may not be called unless '--script-security 2' or higher is enabled. Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier. See --help text or man page for detailed info.
Thu Jun 7 09:57:46 2012 WARNING: Failed running command (--up/--down): external program fork failed
Thu Jun 7 09:57:46 2012 ExitingNějak na googlu nemůžu dohledat o co se jedná.
-
External program may not be called unless '--script-security 2' or higher is enabled. Use '--script-security 3 system'
-
Můžete mne ještě trochu nakopnout :)
-
Script /etc/openvpn/up.sh nevrátil jako návratový kód 0, ale něco jiného, čiliže selhal.
Patrně není (neměl by být) ani spuštěn (may not be called unless ...)
-
Odstranil jsem up.sh ale nevím proč to tedy píšou v novádu že má být takto nastaven pro bridge mode.Viz příloha.
remote 192.168.0.254 1194Nyní už spojení jde ale ještě mám problém v nastavení sítě.Bridge je spojen s eth0 a bridge se jmenuje br0.Na tomto rozhraní běží dhcp v rozsahu 192.168.0.0 a brána eth1(br0) je 254.
To mne píše chby v logu
Thu Jun 7 13:04:05 2012 MULTI: multi_create_instance called
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 Re-using SSL/TLS context
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 LZO compression initialized
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 Local Options hash (VER=V4): 'f7df56b8'
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 Expected Remote Options hash (VER=V4): 'd79ca330'
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 TLS: Initial packet from [AF_INET]192.168.0.26:49184, sid=97600dc3 4b5a4bc2
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 VERIFY OK: depth=1, /C=CZ/ST=VC/L=Nachod/O=Mesa/OU=Mesa/CN=test/name=test/emailAddress=filip.corsair@gmail.com
Thu Jun 7 13:04:05 2012 192.168.0.26:49184 VERIFY OK: depth=0, /C=CZ/ST=VC/L=Nachod/O=Mesa/OU=changeme/CN=brclient1/name=brclient1/emailAddress=mail@host.domain
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1574', remote='link-mtu 1542'
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 7 13:04:06 2012 192.168.0.26:49184 [brclient1] Peer Connection Initiated with [AF_INET]192.168.0.26:49184
Thu Jun 7 13:04:06 2012 brclient1/192.168.0.26:49184 MULTI_sva: pool returned IPv4=192.168.0.50, IPv6=14aa:7fb7:9818:a1b8:500:0:9818:a1b8
Thu Jun 7 13:04:08 2012 brclient1/192.168.0.26:49184 PUSH: Received control message: 'PUSH_REQUEST'
Thu Jun 7 13:04:08 2012 brclient1/192.168.0.26:49184 send_push_reply(): safe_cap=960
Thu Jun 7 13:04:08 2012 brclient1/192.168.0.26:49184 SENT CONTROL [brclient1]: 'PUSH_REPLY,dhcp-option DNS 192.168.101.201,route-gateway 192.168.0.254,ping 1,ping-restart 3,ifconfig 192.168.0.50 255.255.255.0' (status=1)
Thu Jun 7 13:04:14 2012 brclient1/192.168.0.26:49184 [brclient1] Inactivity timeout (--ping-restart), restarting
Thu Jun 7 13:04:14 2012 brclient1/192.168.0.26:49184 SIGUSR1[soft,ping-restart] received, client-instance restartingJak nejlépe nastavit síť a nebo mám zrušit dhcp.
-
Napoprvé nebylo potřeba ten script odstraňovat, jen upravit parametr script-security
Napodruhé máte nekonzistenci v použitých typech zařízení - na serveru používáte TAP na klientovi TUN
Napotřetí máte nekonzistenci v linkové MTU, na serveru 1574, na klientovi 1542
Napočtvrté máte nekonzistenci v MTU na TUN/TAP zařízení, na serveru 1532, na klientovi 1500
Může to jet, ale při přenosech větších paketů (a že doufáte, že budou přenášeny hlavně ty) to bude dělat binec. Budou se ztrácet. Napřed tedy navraťte ten up.sh (asi tam pro něco sloužil?), udělejte si pořádek v konfiguračních souborech klienta a serveru a používejte na obou stranách stejný typ rozhraní (TUN/TAP)
-
Moc děkuji za info.Koukám že ten bridge teda není žádná legrace.
Proto prosím ještě o pomoc s těmito body:
první bod parametr script-security
Jak ho teda aktivuji v helpu pro opevpn jsem se o tom docetl ale nejsem si jist jak to povolit.
Bod 2 jsem nastavil
Bod 3 nekonzistence v linkové MTU, na serveru 1574, na klientovi 1542
Jak to mohu změnit
Bod 4 nekonzistence v MTU na TUN/TAP zařízení, na serveru 1532, na klientovi 1500
Jak mohu změnit.
Děkuji za rady a trpělivost :-)
-
Ve vašem případě script-security se definuje v konfiguračním souboru serveru.
Ostatní parametry (MTU) v tomtéž konfiguračním souboru, jen dle hlášení na serveru a klientovi.
-
Takže bude to stačit takhle když do client.conf souboru dám:
script-security 3 system
fragment 1400
mssfix
a do server conf
fragment 1400
mssfix
-
Takže bude to stačit takhle když do client.conf souboru dám:
script-security 3 system
fragment 1400
mssfix
a do server conf
fragment 1400
mssfix
Tak potvrzuji že to funguje.Už na klientovi dostavám z vpn stejnou ip jako na serveru.Ještě jsem povolil šifrování AES 128 bit.
-
Lámu si hlavu nad touto chybou, Vše funguje ale pořád nejde TLS handshake, zkoušel jsem generovat nový protokol ale chyba je pořád stejná.
Dávám vyýpis z klient logu i server logu:
Client log:Fri Jul 06 13:31:15 2012 NOTE: --user option is not implemented on Windows
Fri Jul 06 13:31:15 2012 NOTE: --group option is not implemented on Windows
Fri Jul 06 13:31:15 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Fri Jul 06 13:31:15 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Jul 06 13:31:15 2012 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Fri Jul 06 13:31:15 2012 LZO compression initialized
Fri Jul 06 13:31:15 2012 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jul 06 13:31:15 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jul 06 13:31:15 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jul 06 13:31:15 2012 Local Options hash (VER=V4): 'b498be7c'
Fri Jul 06 13:31:15 2012 Expected Remote Options hash (VER=V4): '26e19fc0'
Fri Jul 06 13:31:15 2012 UDPv4 link local: [undef]
Fri Jul 06 13:31:15 2012 UDPv4 link remote: 192.168.2.253:1194
Fri Jul 06 13:31:15 2012 TLS: Initial packet from 192.168.2.253:1194, sid=74c957fb f175293f
Fri Jul 06 13:31:15 2012 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=CZ/ST=VC/L=Nachod/O=Lipi/OU=server/CN=server/name=server/emailAddress=mail@host.domain
Fri Jul 06 13:31:15 2012 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Jul 06 13:31:15 2012 TLS Error: TLS object -> incoming plaintext read error
Fri Jul 06 13:31:15 2012 TLS Error: TLS handshake failed
Fri Jul 06 13:31:15 2012 TCP/UDP: Closing socket
Fri Jul 06 13:31:15 2012 SIGUSR1[soft,tls-error] received, process restarting
Fri Jul 06 13:31:15 2012 Restart pause, 2 second(s)
Fri Jul 06 13:31:17 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Jul 06 13:31:17 2012 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Fri Jul 06 13:31:17 2012 Re-using SSL/TLS context
Fri Jul 06 13:31:17 2012 LZO compression initialized
Fri Jul 06 13:31:17 2012 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jul 06 13:31:17 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jul 06 13:31:17 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jul 06 13:31:17 2012 Local Options hash (VER=V4): 'b498be7c'
Fri Jul 06 13:31:17 2012 Expected Remote Options hash (VER=V4): '26e19fc0'
Fri Jul 06 13:31:17 2012 UDPv4 link local: [undef]
Fri Jul 06 13:31:17 2012 UDPv4 link remote: 192.168.2.253:1194
Fri Jul 06 13:31:17 2012 TLS: Initial packet from 192.168.2.253:1194, sid=51dac2a1 42278923
Fri Jul 06 13:31:17 2012 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=CZ/ST=VC/L=Nachod/O=Lipi/OU=server/CN=server/name=server/emailAddress=mail@host.domain
Fri Jul 06 13:31:17 2012 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Jul 06 13:31:17 2012 TLS Error: TLS object -> incoming plaintext read error
Fri Jul 06 13:31:17 2012 TLS Error: TLS handshake failed
Fri Jul 06 13:31:17 2012 TCP/UDP: Closing socket
Fri Jul 06 13:31:17 2012 SIGUSR1[soft,tls-error] received, process restarting
Fri Jul 06 13:31:17 2012 Restart pause, 2 second(s)
Fri Jul 06 13:31:19 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Jul 06 13:31:19 2012 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Fri Jul 06 13:31:19 2012 Re-using SSL/TLS context
Fri Jul 06 13:31:19 2012 LZO compression initialized
Fri Jul 06 13:31:19 2012 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jul 06 13:31:19 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jul 06 13:31:19 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jul 06 13:31:19 2012 Local Options hash (VER=V4): 'b498be7c'
Fri Jul 06 13:31:19 2012 Expected Remote Options hash (VER=V4): '26e19fc0'
Fri Jul 06 13:31:19 2012 UDPv4 link local: [undef]
Fri Jul 06 13:31:19 2012 UDPv4 link remote: 192.168.2.253:1194
Fri Jul 06 13:31:19 2012 TCP/UDP: Closing socket
Fri Jul 06 13:31:19 2012 SIGTERM[hard,] received, process exiting
server log:
Fri Jul 6 07:27:05 2012 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Fri Jul 6 07:27:05 2012 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Fri Jul 6 07:27:05 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Jul 6 07:27:05 2012 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Fri Jul 6 07:27:05 2012 Diffie-Hellman initialized with 1024 bit key
Fri Jul 6 07:27:05 2012 WARNING: file '/etc/openvpn/easy-rsa/keys/server.key' is group or others accessible
Fri Jul 6 07:27:05 2012 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jul 6 07:27:05 2012 Socket Buffers: R=[229376->131072] S=[229376->131072]
Fri Jul 6 07:27:05 2012 TUN/TAP device tap0 opened
Fri Jul 6 07:27:05 2012 TUN/TAP TX queue length set to 100
Fri Jul 6 07:27:05 2012 /etc/openvpn/up.sh br0 tap0 tap0 1500 1590 init
Fri Jul 6 07:27:05 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jul 6 07:27:05 2012 GID set to nogroup
Fri Jul 6 07:27:05 2012 UID set to nobody
Fri Jul 6 07:27:05 2012 UDPv4 link local (bound): [AF_INET]192.168.2.253:1194
Fri Jul 6 07:27:05 2012 UDPv4 link remote: [undef]
Fri Jul 6 07:27:05 2012 MULTI: multi_init called, r=256 v=256
Fri Jul 6 07:27:05 2012 IFCONFIG POOL: base=192.168.2.50 size=11, ipv6=0
Fri Jul 6 07:27:05 2012 IFCONFIG POOL LIST
Fri Jul 6 07:27:05 2012 Initialization Sequence Completed
Fri Jul 6 13:31:32 2012 MULTI: multi_create_instance called
Fri Jul 6 13:31:32 2012 192.168.2.10:49414 Re-using SSL/TLS context
Fri Jul 6 13:31:32 2012 192.168.2.10:49414 LZO compression initialized
Fri Jul 6 13:31:32 2012 192.168.2.10:49414 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jul 6 13:31:32 2012 192.168.2.10:49414 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jul 6 13:31:32 2012 192.168.2.10:49414 Local Options hash (VER=V4): '26e19fc0'
Fri Jul 6 13:31:32 2012 192.168.2.10:49414 Expected Remote Options hash (VER=V4): 'b498be7c'
Fri Jul 6 13:31:32 2012 192.168.2.10:49414 TLS: Initial packet from [AF_INET]192.168.2.10:49414, sid=72e4934f 8432ce13
Fri Jul 6 13:31:34 2012 MULTI: multi_create_instance called
Fri Jul 6 13:31:34 2012 192.168.2.10:49415 Re-using SSL/TLS context
Fri Jul 6 13:31:34 2012 192.168.2.10:49415 LZO compression initialized
Fri Jul 6 13:31:34 2012 192.168.2.10:49415 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jul 6 13:31:34 2012 192.168.2.10:49415 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jul 6 13:31:34 2012 192.168.2.10:49415 Local Options hash (VER=V4): '26e19fc0'
Fri Jul 6 13:31:34 2012 192.168.2.10:49415 Expected Remote Options hash (VER=V4): 'b498be7c'
Fri Jul 6 13:31:34 2012 192.168.2.10:49415 TLS: Initial packet from [AF_INET]192.168.2.10:49415, sid=02594417 cfaaaebd
Fri Jul 6 13:32:32 2012 192.168.2.10:49414 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jul 6 13:32:32 2012 192.168.2.10:49414 TLS Error: TLS handshake failed
Fri Jul 6 13:32:32 2012 192.168.2.10:49414 SIGUSR1[soft,tls-error] received, client-instance restarting
Fri Jul 6 13:32:34 2012 192.168.2.10:49415 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jul 6 13:32:34 2012 192.168.2.10:49415 TLS Error: TLS handshake failed
Fri Jul 6 13:32:34 2012 192.168.2.10:49415 SIGUSR1[soft,tls-error] received, client-instance restarting
Možná zkusím vygenerovat znovu ca.crt a server certifikat.
-
Ahoj,
Openvpnka funguje jak má a dělá radost. Nicméně bych rád rozchodil třeba toto http://sourceforge.net/projects/openvpn-status/ bohužel jsou zde velice skromní na to jak to vlastně nainstalovat, tímto prosím o pomoc někoho zkušeného a nasměroval mne jak to udělat.
Našel jsem tuto stránku https://community.openvpn.net/openvpn/wiki/RelatedProjects pro monitorování openvpn pokud máte někdo zkušenost s lepším prográmkem dejte mne prosím vědět.
Děkuji.
-
Opravdu, nikdo nemá zkušenost jak na to
-
prosim neplet si vyznam a smysl fora - vyznam a smysl opravdu neni nastavovat jinym lidem pocitac
precti si dokumentaci k dane veci a zacni si to nastavovat sam. V pripade, ze budes mit problem s konkretnimi kroky, tak se zeptej.
dekuji za pochopeni