Пытаюсь заставить работать OpenVPN, чтобы иметь возможность подключиться со своей рабочей станции Ubuntu 14.10 к серверу pfsense 2.0.3 с помощью OpenVPN.
Я только что установил плагин Network-Manager и создал новое VPN-подключение из пакета конфигурации, который поставляется с сервера pfsense.
Но я не могу подключиться.
Это вывод в syslog на клиенте Ubuntu:
1 окт 21:30:28 X58A-UD7 NetworkManager[833]: запущена служба VPN «openvpn» (org.freedesktop.NetworkManager.openvpn), PID 3321 1 окт. 21:30:28 X58A-UD7 NetworkManager[833]: Запуск службы VPN «openvpn»... 1 окт. 21:30:28 X58A-UD7 NetworkManager[833]: состояние плагина VPN изменилось: запуск (3) 1 окт 21:30:28 X58A-UD7 NetworkManager[833]: Появилась служба VPN «openvpn»; активация подключений 1 окт. 21:30:28 X58A-UD7 NetworkManager[833]: получен ответ на VPN-подключение «phgateway-udp-34447-vpnbruger» (Подключение). 1 окт 21:30:28 X58A-UD7 nm-openvpn[3327]: OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] создано 1 дек 2014 г. 1 окт 21:30:28 X58A-UD7 nm-openvpn[3327]: ПРЕДУПРЕЖДЕНИЕ: Не включен метод проверки сертификата сервера. Подробнее см. http://openvpn.net/howto.html#mitm. 1 окт 21:30:28 X58A-UD7 nm-openvpn[3327]: ПРИМЕЧАНИЕ: текущий параметр --script-security может разрешить этой конфигурации вызывать пользовательские скрипты 1 окт 21:30:28 X58A-UD7 nm-openvpn[3327]: ПРЕДУПРЕЖДЕНИЕ: файл '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger.p12' доступен группе или другим пользователям 1 окт 21:30:28 X58A-UD7 nm-openvpn[3327]: ПРЕДУПРЕЖДЕНИЕ: файл '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key' доступен группе или другим пользователям 1 окт 21:30:28 X58A-UD7 nm-openvpn[3327]: Аутентификация канала управления: использование '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key' в качестве статического файла ключа OpenVPN 1 окт 21:30:28 X58A-UD7 nm-openvpn[3327]: UDPv4 ссылка локальная: [undef] 1 окт 21:30:28 X58A-UD7 nm-openvpn[3327]: удаленное соединение UDPv4: [AF_INET]pfsense_server_ip:34447 1 окт. 21:31:08 X58A-UD7 NetworkManager[833]: Превышено время ожидания VPN-подключения «phgateway-udp-34447-vpnbruger» (получение конфигурации IP). 1 окт. 21:31:08 X58A-UD7 NetworkManager[833]: политика устанавливает «Проводное соединение 1» (eth0) в качестве соединения по умолчанию для маршрутизации IPv4 и DNS. 1 окт. 21:31:08 X58A-UD7 nm-openvpn[3327]: получен сигнал SIGTERM[hard,], процесс завершается 1 окт 21:31:13 X58A-UD7 NetworkManager[833]: VPN-сервис «openvpn» исчез
Я использовал мастер pfsense для настройки службы OpenVPN, и в брандмауэр следует добавить соответствующие правила.
Я вижу пару предупреждений, но ничего особенного.
EDIT: При использовании команды openvpn --config FILE --cd /etc/openvpn --verb 4в конфигурации, созданной для аутентификации по паролю без сертификатов, я получаю это:
Ошибка параметров: --ca завершается ошибкой с 'phgateway-udp-34447-ca.crt': Такого файла или каталога нет Ошибка параметров: --tls-auth завершается ошибкой с «phgateway-udp-34447-tls.key»: Такого файла или каталога нет Ошибка параметров: Исправьте эти ошибки.
Несмотря на то, что эти файлы находятся прямо рядом с файлом ovpn.
При использовании указанной выше команды с исходным пакетом userpassword + cert auth я получаю попытку входа с запросом имени пользователя и пароля, но единственная ошибка, которую я вижу из всего вывода, это:
Чт Окт 1 22:05:29 2015 us=544930 Ошибка TLS: согласование ключа TLS не удалось выполнить в течение 60 секунд (проверьте подключение к сети) Чт Окт 1 22:05:29 2015 us=544986 Ошибка TLS: TLS-рукопожатие не удалось Чт Окт 1 22:05:29 2015 us=545076 TCP/UDP: Закрытие сокета Чт Окт 1 22:05:29 2015 us=545123 SIGUSR1[soft,tls-error] получен, процесс перезапускается
и затем это повторяется каждые 60 секунд, среди прочего, но никаких других ошибок я не вижу.
Порты на брандмауэре открыты и ничего особенного быть не должно.
EDIT2: Правила брандмауэра на pfsense
решение1
Отсутствие каких-либо записей в журналеpfSenseозначает, что у вас, вероятно, есть проблема с подключением между клиентом и шлюзом. Проверьте еще раз правила входящего брандмауэра на интерфейсе WAN, попробуйте другого интернет-провайдера (например, мобильную сеть) и т. д. Проверьте, одинаковы ли у вас порт и транспортный протокол с обеих сторон (UDP - предпочтительнее или TCP). Я знаю, это звучит слишком просто, но отсутствие каких-либо записей в журнале предполагает такую простую точку "отсечения" здесь.
решение2
Я настроил OpenVPN на pfsense и проверил логи openvpn в System Logs. Они начинаются следующим образом:
Неверное имя пользователя :
Oct 22 13:23:16 openvpn: user 'user' could not authenticate.
Oct 22 13:23:16 openvpn[15098]: 90.27.14.234:59141 TLS Auth Error: Auth Username/Password verification failed for peer
Oct 22 13:23:17 openvpn[15098]: 90.27.14.234:59141 [www.domain.com] Peer Connection Initiated with [AF_INET]90.27.14.234:59141
Успешный вход:
Oct 22 13:27:07 openvpn: user 'vpnuser' authenticated
Oct 22 13:27:07 openvpn[15098]: 90.27.14.234:43921 [vpnuser] Peer Connection Initiated with [AF_INET]90.27.14.234:43921
Oct 22 13:27:07 openvpn[15098]: vpnuser/90.27.14.234:43921 MULTI_sva: pool returned IPv4=192.168.25.6, IPv6=(Not enabled)
Oct 22 13:27:09 openvpn[15098]: vpnuser/90.27.14.234:43921 send_push_reply(): safe_cap=940
Так что в основном ваше соединение не попадает в приложение pfsense OpenVPN. Я также заметил, что в ваших правилах чего-то не хватает на картинках - версии IP. Убедитесь, что у вас последние версии.
Почему у вас 2 порта от одного мастера? Убедитесь, что ваша конфигурация использует правильный порт. Я использую "OpenVPN Client Export Utility", чтобы отсортировать весь свой пакет для клиента, и это работает довольно хорошо, не упуская ничего.