嘗試讓 openvpn 運作,以便我可以使用 OpenVPN 從 Ubuntu 14.10 工作站連接到 pfsense 2.0.3 伺服器。
我剛剛安裝了網路管理器插件,並從來自 pfsense 伺服器的配置套件建立了一個新的 VPN 連線。
但我無法連線。
這是 ubuntu 客戶端上 syslog 的輸出:
10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]:VPN 服務「openvpn」已啟動(org.freedesktop.NetworkManager.openvpn),PID 3321 10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]:啟動 VPN 服務「openvpn」... 10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]:VPN 插件狀態已變更:正在啟動 (3) 10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]: VPN 服務「openvpn」出現;啟動連接 10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]:收到 VPN 連線「phgateway-udp-34447-vpnbruger」(連線)回覆。 10 月1 日21:30:28 X58A-UD7 nm-openvpn[3327]:OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH ] [ IPv6] 建於 2014 年 12 月 1 日 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]:警告:未啟用伺服器憑證驗證方法。請參閱 http://openvpn.net/howto.html#mitm 以了解更多資訊。 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]:注意:目前的 --script-security 設定可能允許此組態呼叫使用者定義的腳本 10 月1 日21:30:28 X58A-UD7 nm-openvpn[3327]:警告:檔案「/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger.p12」可供群組或其他人訪問 10 月1 日21:30:28 X58A-UD7 nm-openvpn[3327]:警告:檔案「/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key」可供群組或其他人訪問 10 月1 日21:30:28 X58A-UD7 nm-openvpn[3327]:控制通道驗證:使用「/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key」作為OpenVPN 靜態金鑰文件 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]:UDPv4 連結本地:[undef] 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]:UDPv4 連結遠端:[AF_INET]pfsense_server_ip:34447 10 月 1 日 21:31:08 X58A-UD7 NetworkManager[833]:VPN 連線「phgateway-udp-34447-vpnbruger」(IP 設定取得)逾時。 10 月 1 日 21:31:08 X58A-UD7 NetworkManager[833]:政策將「有線連接 1」(eth0) 設定為 IPv4 路由和 DNS 的預設值。 10 月 1 日 21:31:08 X58A-UD7 nm-openvpn[3327]:收到 SIGTERM[hard,],進程退出 10 月 1 日 21:31:13 X58A-UD7 NetworkManager[833]:VPN 服務「openvpn」消失
我已使用 pfsense 精靈來設定 openvpn 服務,並且應將正確的規則新增至防火牆。
我看到了一些警告,但沒有什麼對我來說很突出。
openvpn --config FILE --cd /etc/openvpn --verb 4編輯:當在沒有憑證的密碼身份驗證設定上使用命令時,我得到以下資訊:
選項錯誤:--ca 失敗並顯示「phgateway-udp-34447-ca.crt」:沒有這樣的檔案或目錄 選項錯誤:--tls-auth 失敗並顯示「phgateway-udp-34447-tls.key」:沒有這樣的檔案或目錄 選項錯誤:請更正這些錯誤。
儘管這些文件位於 ovpn 檔案旁邊。
當將上述命令與原始包(即 userpassword + cert auth)一起使用時,我會嘗試登錄,要求我輸入用戶名和密碼,但我從所有輸出中看到的唯一錯誤是:
2015 年 10 月 1 日星期四 22:05:29 us=544930 TLS 錯誤:TLS 金鑰協商未能在 60 秒內發生(檢查您的網路連線) 2015 年 10 月 1 日星期四 22:05:29 us=544986 TLS 錯誤:TLS 握手失敗 2015 年 10 月 1 日星期四 22:05:29 us=545076 TCP/UDP:關閉套接字 2015 年 10 月 1 日星期四 22:05:29 us=545123 SIGUSR1[soft,tls-error] 收到,進程正在重新啟動
然後每 60 秒循環一次,還有很多其他事情,但我沒有看到其他錯誤。
防火牆上的連接埠是開放的,應該沒有什麼特別的。
EDIT2:pfsense 盒子上的防火牆規則
答案1
缺少任何日誌記錄pfSense意味著您可能在客戶端和網關之間存在連線問題。再次檢查 WAN 介面上的傳入防火牆規則,嘗試其他 Internet 提供者(例如行動網路)等。我知道這聽起來太簡單了,但是缺乏任何日誌記錄表明這裡有一個簡單的“截止”點。
答案2
我在 pfsense 上設定了 OpenVPN,並在系統日誌中檢查了我的 openvpn 日誌。它們的開頭如下:
錯誤的使用者名稱 :
Oct 22 13:23:16 openvpn: user 'user' could not authenticate.
Oct 22 13:23:16 openvpn[15098]: 90.27.14.234:59141 TLS Auth Error: Auth Username/Password verification failed for peer
Oct 22 13:23:17 openvpn[15098]: 90.27.14.234:59141 [www.domain.com] Peer Connection Initiated with [AF_INET]90.27.14.234:59141
登入成功:
Oct 22 13:27:07 openvpn: user 'vpnuser' authenticated
Oct 22 13:27:07 openvpn[15098]: 90.27.14.234:43921 [vpnuser] Peer Connection Initiated with [AF_INET]90.27.14.234:43921
Oct 22 13:27:07 openvpn[15098]: vpnuser/90.27.14.234:43921 MULTI_sva: pool returned IPv4=192.168.25.6, IPv6=(Not enabled)
Oct 22 13:27:09 openvpn[15098]: vpnuser/90.27.14.234:43921 send_push_reply(): safe_cap=940
所以基本上您的連線不會到達 pfsense OpenVPN 應用程式。我還注意到您的規則缺少圖片上的某些內容 - IP 版本。確保您使用的是最新版本。
為什麼同一個嚮導有 2 個連接埠?確保您的配置使用正確的連接埠。我正在使用「OpenVPN 用戶端匯出實用程式」為客戶端整理我的整個包,效果非常好,沒有遺漏任何東西。