Кто-нибудь раньше видел подобные ошибки в OpenVPN?
Secure Connection Failed
An error occurred during a connection to openvpn.example.com. PR_END_OF_FILE_ERROR
The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.
Я посмотрел файл журнала :/var/log/ openvpnas.logи обнаружил следующее:
2021-09-14T19:58:23+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:58:23 2021 myip:11301 Connection reset, restarting [0]'
2021-09-14T19:58:23+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:58:23 2021 myip:11301 SIGUSR1[soft,connection-reset] received, client-instance restarting'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 TCP connection established with [AF_INET]myip:10603'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 Socket flags: TCP_NODELAY=1 succeeded'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or -
-link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 Connection reset, restarting [0]'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 SIGUSR1[soft,connection-reset] received, client-instance restarting'
Похоже, мой запрос доходит до экземпляра, судя по журналам GCP.
{ insertId: "148f4tog64jclgg" jsonPay
load: {
connection: {
dest_ip: "*******"
dest_port: 443
protocol: 6
src_ip: "*********"
src_port: ****
}
disposition: "ALLOWED"
instance: {
но не знаю почему он падает. Кто-нибудь сталкивался с подобным?
решение1
Я обратился в службу поддержки OpenVPN, и они смогли помочь подтвердить основную причину и предоставить решение.
Что-то не так с вашими сертификатами или их конфигурацией. По сути, это говорит вам, что не так.
"error", "ошибка проверки пакета сертификатов: [Errno 2] Нет такого файла или каталога: u'':
Похоже, что значение cs.ca_bundle пустое. Ключ конфигурации должен либо отсутствовать вообще (не быть установленным на пустой), чтобы он возвращался к встроенным самоподписанным сертификатам, либо он должен содержать путь к файлу, содержащему пакет CA, или он должен содержать пакет сертификатов CA в строке. Но он не должен быть пустым, и похоже, что он пустой.
"error", "ошибка проверки сертификата: [('PEM routines', 'get_name', 'no start line')]: "error", "ошибка проверки закрытого ключа: [('PEM routines', 'get_name', 'no start line')]:
Похоже, что все, что вы ввели в значения cs.cert и cs.priv_key, недействительно, или то, что там обнаружено, не имеет правильной начальной строки, которая должна быть у сертификата типа PEM или закрытого ключа.
Неудивительно, что веб-интерфейс работает неправильно. У него нет того, что нужно для корректного запуска. Я предлагаю вам откатить Access Server на самоподписанные сертификаты. Это должно заставить ваш веб-интерфейс снова работать. А затем поработайте над установкой правильных и действительных сертификатов.
Я считаю, что этот документ может вам помочь: https://openvpn.net/vpn-server-resource... ратификат/
В частности, эти инструкции позволят создать самоподписанные сертификаты и настроить их для использования на сервере Access (выполняйте команды как пользователь root):
Regenerate self-signed certificates (overwrites existing ones):
cd /usr/local/openvpn_as/scripts/
./certool -d /usr/local/openvpn_as/etc/web-ssl --type ca --unique --cn "OpenVPN Web CA"
./certool -d /usr/local/openvpn_as/etc/web-ssl --type server --remove_csr --sn_off --serial 1 --name server --cn vpn.example.com
./sacli start
Удалите веб-сертификаты и ключи из конфигурации (чтобы вернуться к самоподписанным сертификатам, которые вы только что создали):
cd /usr/local/openvpn_as/scripts/
./sacli --key "cs.cert" ConfigDel
./sacli --key “cs.priv_key” ConfigDel
./sacli --key "cs.ca_bundle" ConfigDel
./sacli --key "cs.ca_key" ConfigDel
./sacli start
Спасибо сообществу @Johnan OVPN Посмотреть полный ответздесь