Alguém já viu esses erros antes com OpenVPN.
Secure Connection Failed
An error occurred during a connection to openvpn.example.com. PR_END_OF_FILE_ERROR
The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.
Olhei o arquivo de log :/var/log/ openvpnas.log
e encontrei o seguinte:
2021-09-14T19:58:23+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:58:23 2021 myip:11301 Connection reset, restarting [0]'
2021-09-14T19:58:23+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:58:23 2021 myip:11301 SIGUSR1[soft,connection-reset] received, client-instance restarting'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 TCP connection established with [AF_INET]myip:10603'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 Socket flags: TCP_NODELAY=1 succeeded'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or -
-link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 Connection reset, restarting [0]'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 SIGUSR1[soft,connection-reset] received, client-instance restarting'
Parece que minha solicitação está chegando à instância de acordo com os registros no registro do GCP
{ insertId: "148f4tog64jclgg" jsonPay
load: {
connection: {
dest_ip: "*******"
dest_port: 443
protocol: 6
src_ip: "*********"
src_port: ****
}
disposition: "ALLOWED"
instance: {
mas não tenho ideia de por que ele foi descartado. Alguém já teve experiência semelhante?
Responder1
Entrei em contato com a equipe de suporte do OpenVPN e eles puderam ajudar a confirmar a causa raiz e fornecer uma solução.
Há algo errado com seus certificados ou com a configuração deles. Basicamente, está dizendo o que há de errado.
"error", "erro de validação do pacote cert: [Errno 2] Arquivo ou diretório inexistente: u'':
Parece que o valor de cs.ca_bundle está vazio. A chave de configuração não deve estar presente (não definida como vazia), portanto, ela retorna aos certificados autoassinados integrados ou deve conter um caminho para um arquivo que contém o pacote CA ou deve conter o Pacote de certificados CA em linha. Mas não deveria estar vazio e parece que está vazio.
"erro", "erro de validação de certificado: [('rotinas PEM', 'get_name', 'sem linha inicial')]: "erro", "erro de validação de chave privada: [('rotinas PEM', 'get_name', ' sem linha de partida')]:
Parece que tudo o que você colocou no valor cs.cert e cs.priv_key não é válido ou o que quer que seja encontrado não tem a linha inicial correta que um certificado do tipo PEM ou chave privada deveria ter.
Não é de admirar que a interface web não funcione bem. Não tem o que precisa para inicializar corretamente. Sugiro que você reverta o Access Server para certificados autoassinados. Isso deve fazer com que sua interface web funcione novamente. E então trabalhe para inserir os certificados corretos e válidos.
Acredito que este documento pode ajudá-lo ainda mais: https://openvpn.net/vpn-server-resource... certificado/
Particularmente estas instruções irão gerar certificados autoassinados e configurá-los para uso no Access Server (executar comandos como usuário root):
Regenerate self-signed certificates (overwrites existing ones):
cd /usr/local/openvpn_as/scripts/
./certool -d /usr/local/openvpn_as/etc/web-ssl --type ca --unique --cn "OpenVPN Web CA"
./certool -d /usr/local/openvpn_as/etc/web-ssl --type server --remove_csr --sn_off --serial 1 --name server --cn vpn.example.com
./sacli start
Remova os certificados e chaves da web da configuração (para que voltem aos certificados autoassinados que você acabou de criar):
cd /usr/local/openvpn_as/scripts/
./sacli --key "cs.cert" ConfigDel
./sacli --key “cs.priv_key” ConfigDel
./sacli --key "cs.ca_bundle" ConfigDel
./sacli --key "cs.ca_key" ConfigDel
./sacli start
Agradecimentos à comunidade @Johnan OVPN Veja a resposta completaaqui