OpenVPN

Založil Bum, 19. 01. 2022, 22:19:58

Předchozí téma - Další téma

Bum

Ahojte

chcel by som nastaviť openvpn
viete mi stým pomôcť?
skúšam už rôzne konfiguračné subory a už sa mi z toho krížia oči - no a stale mi to nefunguje,
nechcem sa schovávať na nete. chcem len aby som sa vedel pripojiť na svoje rôzne počitače na nete.

Ďakujem za pripadné kopance správnym smerom.

Petr Krčmář

Umíme pomoct, umíme poradit. Ale je potřeba se umět správně ptát. Na takhle obecnou prosbu se dá dát jen obecná dobrá rada: přečti si dokumentaci.

Pokud chceš konkrétnější radu, musíš být taky konkrétnější. Co děláš a co nefunguje?

Bum

#2
ja som sa v tom celom konfigurovaní zasekol
mám toto v server.conf

port 1194
        proto udp
        dev tun
        ca ca.crt
        cert server.crt
        key server.key  # This file should be kept secret
        dh dh.pem
        ;push "route 10.0.0.0 255.255.255.0"
        server 10.8.0.0 255.255.255.0
        client-config-dir /etc/openvpn/ccd
        keepalive 10 120
        tls-auth ta.key 0 # This file is secret
        auth SHA256
        ;cipher AES-256-CBC
        cipher AES-256-GCM
        auth SHA256
        user nobody
        group nogroup
        persist-key
        persist-tun
        status /var/log/openvpn/openvpn-status.log
        log         /var/log/openvpn/openvpn.log
        log-append  /var/log/openvpn/openvpn.log
        verb 3
        explicit-exit-notify 1

robí mi to toto

systemctl status openvpn-server@server
● openvpn-server@server.service - OpenVPN service for server
   Loaded: loaded (/lib/systemd/system/openvpn-server@.service; enabled; vendor preset: enabled)
   Active: activating (auto-restart) (Result: exit-code) since Wed 2022-01-19 23:15:38 CET; 4s ago
     Docs: man:openvpn(8)
           https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
  Process: 19703 ExecStart=/usr/sbin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --config server.conf (code=exited, status=1/FAILURE)
Main PID: 19703 (code=exited, status=1/FAILURE)
   Status: "Pre-connection initialization successful"


tail /var/log/openvpn/openvpn.log
/sbin/ip addr add dev tun1 local 10.8.0.1 peer 10.8.0.2
/sbin/ip route add 10.8.0.0/24 via 10.8.0.2
RTNETLINK answers: File exists
ERROR: Linux route add command failed: external program exited with error status: 2
Could not determine IPv4/IPv6 protocol. Using AF_INET
Socket Buffers: R=[163840->163840] S=[163840->163840]
TCP/UDP: Socket bind failed on local address [AF_INET][undef]:1194: Address already in use (errno=98)
Exiting due to fatal error
Closing TUN/TAP interface
/sbin/ip addr del dev tun1 local 10.8.0.1 peer 10.8.0.2chcel by som aby mi to pridelilo statickú adresu pre klienta.

Petr Krčmář

Ten konfigurák samotný vypadá docela rozumně, ale chce to ještě dodat log. V něm bude jasné, co se mu nelíbí.

Statickou adresu konkrétnímu klientovi je možné nastavit podle hostname v certifikátu. Dělá se to v souboru CCD, který musí být na serveru – odkazuješ v konfiguraci na adresář, ve kterém se ten soubor bude hledat.

Petr Krčmář

Citace od: Bum kdy 19. 01. 2022, 23:19:27
TCP/UDP: Socket bind failed on local address [AF_INET][undef]:1194: Address already in use (errno=98)
Exiting due to fatal error

Tady se dost jasně říká, v čem je problém: OpenVPN nemůže poslouchat na tom portu, protože už tam poslouchá jiný proces. Zjisti, který to je:

# ss -ulpn

Pro ladění konfigu je docela užitečné vypnout tu službu a pouštět si openvpn v řádce s odkazem na konfiguraci. Pak to vypisuje věci na standardní výstup a dá se na to naživo koukat. Až to funguje, tak se to nechá na té službě.

Bum

ss -ulpn
State                 Recv-Q                Send-Q                                                    Local Address:Port                                Peer Address:Port                                                                     
UNCONN                0                     0                                                               0.0.0.0:68                                       0.0.0.0:*                   users:(("dhclient",pid=792,fd=7))                   
UNCONN                0                     0                                                               0.0.0.0:82                                       0.0.0.0:*                   users:(("supernode",pid=417,fd=3))                   
UNCONN                0                     0                                                              10.8.0.1:123                                      0.0.0.0:*                   users:(("ntpd",pid=422,fd=24))                       
UNCONN                0                     0                                                           192.168.1.4:123                                      0.0.0.0:*                   users:(("ntpd",pid=422,fd=27))                       
UNCONN                0                     0                                                              10.0.0.1:123                                      0.0.0.0:*                   users:(("ntpd",pid=422,fd=23))                       
UNCONN                0                     0                                                             127.0.0.1:123                                      0.0.0.0:*                   users:(("ntpd",pid=422,fd=18))                       
UNCONN                0                     0                                                               0.0.0.0:123                                      0.0.0.0:*                   users:(("ntpd",pid=422,fd=17))                       
UNCONN                0                     0                                                         192.168.1.255:137                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=22))                       
UNCONN                0                     0                                                           192.168.1.4:137                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=21))                       
UNCONN                0                     0                                                            10.0.0.255:137                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=17))                       
UNCONN                0                     0                                                              10.0.0.1:137                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=16))                       
UNCONN                0                     0                                                               0.0.0.0:137                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=14))                       
UNCONN                0                     0                                                         192.168.1.255:138                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=24))                       
UNCONN                0                     0                                                           192.168.1.4:138                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=23))                       
UNCONN                0                     0                                                            10.0.0.255:138                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=19))                       
UNCONN                0                     0                                                              10.0.0.1:138                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=18))                       
UNCONN                0                     0                                                               0.0.0.0:138                                      0.0.0.0:*                   users:(("nmbd",pid=423,fd=15))                       
UNCONN                0                     0                                                               0.0.0.0:1194                                     0.0.0.0:*                   users:(("openvpn",pid=32551,fd=5))                   
UNCONN                0                     0                                                               0.0.0.0:48839                                    0.0.0.0:*                   users:(("avahi-daemon",pid=343,fd=14))               
UNCONN                0                     0                                                               0.0.0.0:5353                                     0.0.0.0:*                   users:(("avahi-daemon",pid=343,fd=12))               
UNCONN                0                     0                                                               0.0.0.0:46984                                    0.0.0.0:*                   users:(("edge",pid=418,fd=4))                       
UNCONN                0                     0                                      [fe80::5680:7f9c:b1b2:e0db]%tun0:123                                         [::]:*                   users:(("ntpd",pid=422,fd=26))                       
UNCONN                0                     0                                    [fe80::beae:c5ff:fe0c:2e85]%enp1s0:123                                         [::]:*                   users:(("ntpd",pid=422,fd=28))                       
UNCONN                0                     0                                     [fe80::e432:cbff:fee7:c76a]%edge0:123                                         [::]:*                   users:(("ntpd",pid=422,fd=25))                       
UNCONN                0                     0                                                                 [::1]:123                                         [::]:*                   users:(("ntpd",pid=422,fd=19))                       
UNCONN                0                     0                                                                  [::]:123                                         [::]:*                   users:(("ntpd",pid=422,fd=16))                       
UNCONN                0                     0                                                                  [::]:5353                                        [::]:*                   users:(("avahi-daemon",pid=343,fd=13))               
UNCONN                0                     0                                                                  [::]:57654                                       [::]:*                   users:(("avahi-daemon",pid=343,fd=15))

Bum

zabil som a spustil este raz openvpn
/etc/openvpn/server# tail /var/log/openvpn/openvpn.log
UDPv4 link local (bound): [AF_INET][undef]:1194
UDPv4 link remote: [AF_UNSPEC]
GID set to nogroup
UID set to nobody
MULTI: multi_init called, r=256 v=256
IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Initialization Sequence Completed
TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.1.1:52308
TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.1.1:52308
TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.1.1:52308
root@debianeee:/etc/openvpn/server# systemctl status openvpn-server@server
● openvpn-server@server.service - OpenVPN service for server
   Loaded: loaded (/lib/systemd/system/openvpn-server@.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2022-01-19 23:30:48 CET; 41s ago
     Docs: man:openvpn(8)
           https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
Main PID: 22388 (openvpn)
   Status: "Initialization Sequence Completed"
    Tasks: 1 (limit: 2304)
   Memory: 872.0K
   CGroup: /system.slice/system-openvpn\x2dserver.slice/openvpn-server@server.service
           └─22388 /usr/sbin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --config server.conf

jan 19 23:30:48 debianeee systemd[1]: Starting OpenVPN service for server...
jan 19 23:30:48 debianeee systemd[1]: Started OpenVPN service for server.

Bum

#7
v clientovi mám toto ale netuším, či správne

client
dev tun
proto udp
remote 90.64.250.169 1194
route-nopull
pull-filter ignore "dhcp-option DNS"
resolv-retry infinite
;route 10.8.0.0 255.255.255.0
nobind
user nobody
group nogroup
persist-key
persist-tun
redirect-gateway
ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/mikilap.crt
key /etc/openvpn/client/mikilap.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log
verb 3


log z klienta

tail -f /var/log/openvpn/openvpn.log
Wed Jan 19 23:44:41 2022 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 28 2021
Wed Jan 19 23:44:41 2022 library versions: OpenSSL 1.1.1d  10 Sep 2019, LZO 2.10
Wed Jan 19 23:44:41 2022 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 19 23:44:41 2022 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 19 23:44:41 2022 TCP/UDP: Preserving recently used remote address: [AF_INET]90.64.250.169:1194
Wed Jan 19 23:44:41 2022 Socket Buffers: R=[212992->212992] S=[212992->212992]
Wed Jan 19 23:44:41 2022 UDP link local: (not bound)
Wed Jan 19 23:44:41 2022 UDP link remote: [AF_INET]90.64.250.169:1194
Wed Jan 19 23:44:41 2022 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

Zatiaľ ďakujem veľmi pekne

Petr Krčmář

V zásadě to vypadá dobře, jen volba route-nopull je podezřelá. Ta brání přebírání směrovacích záznamů ze serveru. Samozřejmě to může být to, co potřebuješ a chceš, ale pak musíš to směrování nastavit nějak místně na klientovi. Obvyklejší řešení je co nejvíc toho konfigurovat na serveru a klienty dělat minimalisticky.

Bum

vypol som to v konfiguracii u klienta ale žiadna zmena.

Desí ma tam to tls error

tail -f /var/log/openvpn/openvpn.log
Thu Jan 20 10:53:33 2022 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 28 2021
Thu Jan 20 10:53:33 2022 library versions: OpenSSL 1.1.1d  10 Sep 2019, LZO 2.10
Thu Jan 20 10:53:33 2022 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 20 10:53:33 2022 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 20 10:53:33 2022 TCP/UDP: Preserving recently used remote address: [AF_INET]90.64.250.169:1194
Thu Jan 20 10:53:33 2022 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Jan 20 10:53:33 2022 UDP link local: (not bound)
Thu Jan 20 10:53:33 2022 UDP link remote: [AF_INET]90.64.250.169:1194
Thu Jan 20 10:53:33 2022 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Thu Jan 20 10:54:33 2022 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jan 20 10:54:33 2022 TLS Error: TLS handshake failed
Thu Jan 20 10:54:33 2022 SIGUSR1[soft,tls-error] received, process restarting
Thu Jan 20 10:54:33 2022 Restart pause, 5 second(s)
Thu Jan 20 10:54:38 2022 TCP/UDP: Preserving recently used remote address: [AF_INET]90.64.250.169:1194
Thu Jan 20 10:54:38 2022 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Jan 20 10:54:38 2022 UDP link local: (not bound)
Thu Jan 20 10:54:38 2022 UDP link remote: [AF_INET]90.64.250.169:1194

Petr Krčmář

To znamená, že se to nebylo schopné síťově spojit. Příčin může být víc, třeba neběží ten démon na druhé straně nebo něco po cestě ten UDP provoz filtruje.