У меня настроен openvpn на моем raspberrypi, я следовал этому руководству: https://juncotic.com/openvpn-easyrsa-3-montando-la-vpn/ и все работало нормально неделями. Внезапно пару дней назад перестал работать vpn и выдает ошибку TLS. Я проверил, что перенаправление портов все еще работает, так и было, я также проверил, что все обновлено как на сервере, так и на моей машине, все было, также проверил, правильно ли работает openvpn, ничего в журналах не указывает на то, что он должен не работает, также пытался изменить порт vpn на более высокий, это не сработало.
Я не знаю, что еще искать. Я прикреплю некоторую информацию, если кому-то нужно что-то еще, дайте мне знать.
Это мои файлы конфигурации:
сервер.конф:
порт 1194
прото удп
сервер 192.168.10.0 255.255.255.0
клиент-клиент
постоянный ключ
упорный тун
ca /etc/openvpn/keys/ca.crt
сертификат /etc/openvpn/keys/cloudAtlas.crt
дх /etc/openvpn/keys/dh.pem
ключ /etc/openvpn/keys/cloudAtlas.key
tls-auth /etc/openvpn/keys/ta.key 0
crl-проверить /etc/openvpn/keys/crl.pem
comp-lzo адаптивный
разработчик тун
ifconfig-pool-persist server-ipp.txt 0
поддержка 10 120
шифр AES-256-CBC
аутентификация SHA512
tls-версия-минимум 1.2
tls-шифр TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
журнал /var/log/openvpn/server.log
глагол 3
client2.conf:
клиент
разработчик тун
прото удп
порт 1194
удаленный 21e800.duckdns.org 1194
сервер удаленного сертификата tls
разрешить-повторить бесконечный
ни к чему
постоянный ключ
упорный тун
комп-льзо
глагол 3
шифр AES-256-CBC
аутентификация SHA512
tls-версия-минимум 1.2
tls-шифр TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
ca /etc/openvpn/keys/ca.crt
ключ /etc/openvpn/keys/cliente1.key
сертификат /etc/openvpn/keys/cliente1.crt
ключевое направление 1
tls-аутентификация /etc/openvpn/keys/ta.key 1
Вывод логов openvpn при запуске:
Чт, 19 августа, 22:10:30 2021 OpenVPN 2.4.7 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] построен 28 апреля 2021
Чт, 19 августа, 22:10:30 Версии библиотеки 2021 г.: OpenSSL 1.1.1d 10 сентября 2019 г., LZO 2.10
Чт, 19 августа, 22:10:30 2021 ПРИМЕЧАНИЕ. В вашей локальной сети используется чрезвычайно распространенный адрес подсети 192.168.0.x или 192.168.1.x. Имейте в виду, что это может привести к конфликтам маршрутизации, если вы подключаетесь к VPN-серверу из общедоступных мест, таких как интернет-кафе, которые используют одну и ту же подсеть.
Чт, 19 августа, 22:10:30 2021 Примечание: невозможно открыть server-ipp.txt для ЧТЕНИЯ
Чт, 19 августа, 22:10:30 2021 Диффи-Хеллман инициализирован 2048-битным ключом
Чт, 19 августа, 22:10:30 2021 Аутентификация исходящего канала управления: использование 512-битного хэша сообщения SHA512 для аутентификации HMAC
Чт, 19 августа, 22:10:30 2021 Аутентификация входящего канала управления: использование 512-битного хэша сообщения SHA512 для аутентификации HMAC
Чт, 19 августа, 22:10:30 2021 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth0 HWADDR=e4:5f:01:38:49:2b
Чт, 19 августа, 22:10:30 2021 Устройство TUN/TAP tun0 открыто
Чт, 19 августа, 22:10:30 2021 Длина очереди TUN/TAP TX установлена на 100
Чт, 19 августа, 22:10:30 2021 /sbin/ip link set dev tun0 up mtu 1500
Чт, 19 августа, 22:10:30 2021 /sbin/ip addr add dev tun0 local 192.168.10.1 peer 192.168.10.2
Чт, 19 августа, 22:10:30 2021 /sbin/ip route add 192.168.10.0/24 через 192.168.10.2
Чт, 19 августа, 22:10:30 2021 Не удалось определить протокол IPv4/IPv6. Использование AF_INET
Чт, 19 августа, 22:10:30 2021 Буферы сокетов: R=[180224->180224] S=[180224->180224]
Чт, 19 августа, 22:10:30 2021 Локальная ссылка UDPv4 (связанная): [AF_INET][undef]:1194
Чт, 19 августа, 22:10:30 2021 Удаленная ссылка UDPv4: [AF_UNSPEC]
Чт, 19 августа, 22:10:30 2021 MULTI: вызван multi_init, r=256 v=256
Чт, 19 августа, 22:10:30 2021 IFCONFIG POOL: база = 192.168.10.4, размер = 62, ipv6 = 0
Чт, 19 августа, 22:10:30 2021 IFCONFIG POOL LIST
Чт, 19 августа, 22:10:30 2021 Последовательность инициализации завершена
Сообщение клиента при попытке подключения:
Чт, 19 августа, 22:12:03 2021 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] построен 19 июля 2021
Чт, 19 августа, 22:12:03 Версии библиотек 2021 г.: OpenSSL 1.1.1f 31 марта 2020 г., LZO 2.10
Чт, 19 августа, 22:12:03 2021 Аутентификация исходящего канала управления: использование 512-битного хэша сообщения SHA512 для аутентификации HMAC
Чт, 19 августа, 22:12:03 2021 Аутентификация входящего канала управления: использование 512-битного хэша сообщения SHA512 для аутентификации HMAC
Чт, 19 августа, 22:12:03 2021 TCP/UDP: сохранение недавно использованного удаленного адреса: [AF_INET]83.51.211.151:1194
Чт, 19 августа, 22:12:03 2021 Буферы сокетов: R=[212992->212992] S=[212992->212992]
Чт, 19 августа, 22:12:03 2021 Локальная ссылка UDP: (не привязана)
Чт, 19 августа, 22:12:03 2021 Удаленная ссылка UDP: [AF_INET]83.51.211.151:1194
Чт, 19 августа, 22:13:03 2021 Ошибка TLS: не удалось согласовать ключ TLS в течение 60 секунд (проверьте подключение к сети)
Чт, 19 августа, 22:13:03 2021 Ошибка TLS: сбой рукопожатия TLS
Чт, 19 августа, 22:13:03 2021 SIGUSR1 [soft, tls-error] получен, перезапуск процесса
Чт, 19 августа, 22:13:03 2021 Перезапуск, пауза, 5 сек.
Чт, 19 августа, 22:13:08 2021 TCP/UDP: сохранение недавно использованного удаленного адреса: [AF_INET]83.51.211.151:1194
Чт, 19 августа, 22:13:08 2021 Буферы сокетов: R=[212992->212992] S=[212992->212992]
Чт, 19 августа, 22:13:08 2021 Локальная ссылка UDP: (не привязана)
Чт, 19 августа, 22:13:08 2021 Удаленная ссылка UDP: [AF_INET]83.51.211.151:1194
Чт, 19 августа, 22:14:08 2021 Ошибка TLS: не удалось согласовать ключ TLS в течение 60 секунд (проверьте подключение к сети)
Чт, 19 августа, 22:14:08 2021 Ошибка TLS: сбой рукопожатия TLS
Чт, 19 августа, 22:14:08 2021 SIGUSR1 [soft, tls-error] получен, перезапуск процесса
Чт, 19 августа, 22:14:08 2021 Пауза перезапуска, 5 сек.
Чт, 19 августа, 22:14:13 2021 TCP/UDP: сохранение недавно использованного удаленного адреса: [AF_INET]83.51.211.151:1194
Чт, 19 августа, 22:14:13 2021 Буферы сокетов: R=[212992->212992] S=[212992->212992]
Чт, 19 августа, 22:14:13 2021 Локальная ссылка UDP: (не привязана)
Чт, 19 августа, 22:14:13 2021 Удаленная ссылка UDP: [AF_INET]83.51.211.151:1194
Чт, 19 августа, 22:15:13 2021 Ошибка TLS: не удалось согласовать ключ TLS в течение 60 секунд (проверьте подключение к сети)
Чт, 19 августа, 22:15:13 2021 Ошибка TLS: сбой рукопожатия TLS
Чт, 19 августа, 22:15:13 2021 SIGUSR1 [soft, tls-error] получен, перезапуск процесса
Чт, 19 августа, 22:15:13 2021 Перезапуск, пауза, 5 сек.
Чт, 19 августа, 22:15:18 2021 TCP/UDP: сохранение недавно использованного удаленного адреса: [AF_INET]83.51.211.151:1194
Моя конфигурация переадресации портов (маршрутизатор):
введите описание изображения здесь
Ответы:
Это то, что я получаю, когда я пингую свой маршрутизатор с указанным портом:
pah@xiaomi:~$ nmap -Pn -p 1194 21e800.duckdns.org
Начиная с Nmap 7.80 ( https://nmap.org ) 19 августа 2021 г., 22:58 CEST.
Отчет сканирования Nmap для 21e800.duckdns.org (83.51.211.151)
Хост готов.
Запись rDNS для 83.51.211.151: 151.red-83-51-211.dynamicip.rima-tde.net
ГОСУДАРСТВЕННАЯ СЛУЖБА ПОРТА
1194/tcp фильтруется openvpn
Nmap выполнен: 1 IP-адрес (1 хост включен) просканирован за 2,34 секунды.
И сертификаты действительны до 2024 года. На всякий случай я что-то упустил, я переделал все сертификаты и все равно не работает.
Также я попытался проверить, получаю ли я пакеты с помощью:
sudo tcpdump -i любой -c5 -nn порт 1194
Ничего не вышло, поэтому я подозреваю, что проблема связана с сетью, но мои знания о ней ... недостаточны, поэтому я не знаю, как ее отладить или где может быть проблема, кроме переадресации портов, которая, я думаю, работает, потому что ответа на пинг (?).
Любые способы, если у кого-то есть какие-либо идеи, дайте мне знать, пожалуйста.
Отвечать:
Я НАШЕЛ ПРОБЛЕМУ! Это была служба DNS, не знаю почему, но она неправильно обновляла мой IP, и, поскольку она динамическая, все просто перестало работать. Я должен был проверить это в первую очередь, позор мне.
