Am un openvpn configurat pe raspberrypi-ul meu, am urmat acest ghid: https://juncotic.com/openvpn-easyrsa-3-montando-la-vpn/ și totul a funcționat bine timp de săptămâni. Dintr-o dată cu câteva zile în urmă, VPN-ul a încetat să funcționeze și aruncă eroarea TLS. Am verificat că redirecționarea portului era încă activată, a fost, am verificat și că totul era actualizat atât pe server, cât și pe mașina mea, totul a fost, de asemenea, am verificat dacă openvpn rulează corect, nimic din jurnalele nu arată că nu ar trebui nu merge, am încercat să schimb și portul vpn-ului cu unul mai mare, care nu a funcționat.
Nu stiu ce sa mai caut. O sa atasez cateva informatii, daca mai are cineva nevoie de ceva anunta-ma.
Acestea sunt fișierele mele de configurare:
server.conf:
portul 1194
proto udp
server 192.168.10.0 255.255.255.0
de la client la client
cheie-persiste
persist-tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/cloudAtlas.crt
dh /etc/openvpn/keys/dh.pem
cheia /etc/openvpn/keys/cloudAtlas.key
tls-auth /etc/openvpn/keys/ta.key 0
crl-verify /etc/openvpn/keys/crl.pem
comp-lzo adaptativ
dev tun
ifconfig-pool-persist server-ipp.txt 0
menține în viață 10 120
cifrul AES-256-CBC
auth SHA512
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
log /var/log/openvpn/server.log
verbul 3
client2.conf:
client
dev tun
proto udp
portul 1194
telecomandă 21e800.duckdns.org 1194
server remote-cert-tls
rezoluție-reîncercare infinit
nobind
cheie-persiste
persist-tun
comp-lzo
verbul 3
cifrul AES-256-CBC
auth SHA512
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
ca /etc/openvpn/keys/ca.crt
cheie /etc/openvpn/keys/cliente1.key
cert /etc/openvpn/keys/cliente1.crt
direcția cheii 1
tls-auth /etc/openvpn/keys/ta.key 1
Openvpn înregistrează ieșirea la pornire:
Joi, 19 august 22:10:30 2021 OpenVPN 2.4.7 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] construit pe 28 aprilie 2021
Joi, 19 august 22:10:30 Versiunile bibliotecii 2021: OpenSSL 1.1.1d 10 septembrie 2019, LZO 2.10
Thu Aug 19 22:10:30 2021 NOTĂ: LAN-ul local folosește adresa de subrețea extrem de comună 192.168.0.x sau 192.168.1.x. Rețineți că acest lucru ar putea crea conflicte de rutare dacă vă conectați la serverul VPN din locații publice, cum ar fi internet cafe-urile care folosesc aceeași subrețea.
Joi, 19 august 22:10:30 2021 Notă: nu se poate deschide server-ipp.txt pentru CITIRE
Joi, 19 august 22:10:30 2021 Diffie-Hellman inițializat cu cheie de 2048 de biți
Joi, 19 august 22:10:30 2021 Autentificare canal de control de ieșire: Utilizarea hash-ului mesajului pe 512 biți „SHA512” pentru autentificarea HMAC
Joi, 19 august 22:10:30 2021 Autentificare canal de control de intrare: Utilizarea hash-ului mesajului pe 512 biți „SHA512” pentru autentificarea HMAC
Joi, 19 august 22:10:30 2021 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth0 HWADDR=e4:5f:01:38:49:2b
Joi, 19 august 22:10:30 2021 Dispozitiv TUN/TAP tun0 deschis
Joi, 19 august 22:10:30 2021 Lungimea cozii TUN/TAP TX setată la 100
Joi, 19 august 22:10:30 2021 /sbin/ip link set dev tun0 up mtu 1500
Joi, 19 august 22:10:30 2021 /sbin/ip addr add dev tun0 local 192.168.10.1 peer 192.168.10.2
Joi, 19 august 22:10:30 2021 /sbin/ip route add 192.168.10.0/24 prin 192.168.10.2
Joi, 19 august 22:10:30 2021 Nu s-a putut determina protocolul IPv4/IPv6. Folosind AF_INET
Joi, 19 august 22:10:30 2021 Socket Buffers: R=[180224->180224] S=[180224->180224]
Joi, 19 august 22:10:30 2021 UDPv4 link local (legat): [AF_INET][undef]:1194
Joi, 19 august 22:10:30 2021 UDPv4 link la distanță: [AF_UNSPEC]
Thu Aug 19 22:10:30 2021 MULTI: multi_init apelat, r=256 v=256
Thu Aug 19 22:10:30 2021 IFCONFIG POOL: base=192.168.10.4 size=62, ipv6=0
Joi, 19 august 22:10:30 2021 IFCONFIG POOL LIST
Joi, 19 august 22:10:30 2021 Secvența de inițializare finalizată
Mesajul clientului când încearcă să se conecteze:
Joi, 19 august 22:12:03 2021 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] construit pe 19 iulie 2021
Joi, 19 august 22:12:03 Versiunile bibliotecii 2021: OpenSSL 1.1.1f 31 martie 2020, LZO 2.10
Joi, 19 august 22:12:03 2021 Autentificare canal de control de ieșire: Utilizarea hash-ului mesajului pe 512 de biți „SHA512” pentru autentificarea HMAC
Joi, 19 august 22:12:03 2021 Autentificare canal de control de intrare: Folosirea hash-ului mesajului pe 512 biți „SHA512” pentru autentificarea HMAC
Joi, 19 august 22:12:03 2021 TCP/UDP: Se păstrează adresa de la distanță utilizată recent: [AF_INET]83.51.211.151:1194
Joi, 19 august 22:12:03 2021 Socket Buffers: R=[212992->212992] S=[212992->212992]
Joi, 19 august 22:12:03 2021 Legătura UDP locală: (nelegat)
Joi, 19 august 22:12:03 2021 UDP link remote: [AF_INET]83.51.211.151:1194
Joi, 19 august 22:13:03 2021 Eroare TLS: negocierea cheii TLS nu a avut loc în 60 de secunde (verificați-vă conectivitatea la rețea)
Joi, 19 august 22:13:03 2021 Eroare TLS: strângere de mână TLS a eșuat
Joi, 19 august 22:13:03 2021 SIGUSR1[soft,tls-error] primit, proces repornit
Joi, 19 august 22:13:03 2021 Repornire pauză, 5 secunde
Joi, 19 august 22:13:08 2021 TCP/UDP: Se păstrează adresa de la distanță utilizată recent: [AF_INET]83.51.211.151:1194
Joi, 19 august 22:13:08 2021 Socket Buffers: R=[212992->212992] S=[212992->212992]
Joi, 19 august 22:13:08 2021 Legătura UDP locală: (nelegat)
Joi, 19 august 22:13:08 2021 UDP link remote: [AF_INET]83.51.211.151:1194
Joi, 19 august 22:14:08 2021 Eroare TLS: negocierea cheii TLS nu a reușit să aibă loc în 60 de secunde (verificați-vă conectivitatea la rețea)
Joi, 19 august 22:14:08 2021 Eroare TLS: strângere de mână TLS a eșuat
Joi, 19 august 22:14:08 2021 SIGUSR1[soft,tls-error] primit, proces repornit
Joi, 19 august 22:14:08 2021 Repornire pauză, 5 secunde
Joi, 19 august 22:14:13 2021 TCP/UDP: Se păstrează adresa de la distanță utilizată recent: [AF_INET]83.51.211.151:1194
Joi, 19 august 22:14:13 2021 Socket Buffers: R=[212992->212992] S=[212992->212992]
Joi, 19 august 22:14:13 2021 Legătura UDP locală: (nelegat)
Joi, 19 august 22:14:13 2021 UDP link remote: [AF_INET]83.51.211.151:1194
Joi, 19 august 22:15:13 2021 Eroare TLS: negocierea cheii TLS nu a avut loc în 60 de secunde (verificați-vă conectivitatea la rețea)
Joi, 19 august 22:15:13 2021 Eroare TLS: strângere de mână TLS a eșuat
Joi, 19 august 22:15:13 2021 SIGUSR1[soft,tls-error] primit, proces repornit
Joi, 19 august 22:15:13 2021 Repornire pauză, 5 secunde
Joi, 19 august 22:15:18 2021 TCP/UDP: Se păstrează adresa de la distanță utilizată recent: [AF_INET]83.51.211.151:1194
Configurația mea de redirecționare a portului (router):
introduceți descrierea imaginii aici
Raspunsuri:
Iată ce primesc când dau ping la router-ul meu cu portul specificat:
pah@xiaomi:~$ nmap -Pn -p 1194 21e800.duckdns.org
Începând cu Nmap 7.80 ( https://nmap.org ) la 2021-08-19 22:58 CEST
Raport de scanare Nmap pentru 21e800.duckdns.org (83.51.211.151)
Gazda este sus.
Înregistrare rDNS pentru 83.51.211.151: 151.red-83-51-211.dynamicip.rima-tde.net
SERVICIUL STATULUI PORTUAR
1194/tcp filtrat openvpn
Nmap finalizat: 1 adresă IP (1 gazdă în sus) scanată în 2,34 secunde
Și certificatele sunt valabile până în 2024. În caz că îmi lipsea ceva, am refăcut toate certificatele și încă nu funcționează.
De asemenea, am încercat să verific dacă primeam pachete cu:
sudo tcpdump -i orice -c5 -nn portul 1194
Nu a ieșit nimic, așa că bănuiesc că problema este legată de rețea, dar cunoștințele mele sunt... puține, așa că nu știu cum să o depanez în continuare sau unde ar putea fi problema în afară de redirecționarea portului, care cred că funcționează, deoarece a răspunsului ping-ului (?).
În orice fel, dacă cineva are idei, vă rog să-mi spuneți.
Răspuns:
AM GASIT PROBLEMA! A fost serviciul DNS, nu știu de ce, dar nu mi-a actualizat corect IP-ul și, din moment ce este dinamic, totul a încetat să funcționeze. Ar fi trebuit să verific că unul dintre primele lucruri, să-mi fie rușine.
