VPN - Instalacja i uruchomienie Openvpn2 w Centos 6.5 - problem z uruchomieniem usługi?

[nyac55]

Witam. Obecnie zajmuję się tworzeniem sieci VPN. Tworzyłem ją według poradnika:

http://centos.net.pl/2012/10/26/centos-6-openvpn-2-klient-windows-7linux/

Robiłem wszystko krok po kroku. Jednak usługa po wpisaniu:

service openvpn start

się nie uruchamia oraz po wpisaniu:

ifconfig

widzimy, że port tun "nie wstał".

Mam wszystko identycznie w pliku konfiguracyjnym serv.cnf . Czy macie może jakieś porady??

[politan]

1. Nie otrzymujesz po starcie żadnego błędu?

2. "Chcę oglądać twoje logi" - pokaż zawartość:

/var/log/openvpn/openvpn.log

[nyac55]

Po starcie VPN'a :

service openvpn start 

Wyświetla mi się na czerwono

Uruchamianie openVPN:	   [[color=#ff0000]NIEUDANE[/color]]

Natmomiast po użyciu

ifconfig

, mam:

eth0	  Link encap:Ethernet  HWaddr 08:00:27:E8:21:32  
		  inet addr:10.0.2.15  Bcast:10.0.2.255  Mask:255.255.255.0
		  inet6 addr: fe80::a00:27ff:fee8:2132/64 Scope:Link
		  UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
		  RX packets:165569 errors:0 dropped:0 overruns:0 frame:0
		  TX packets:44841 errors:0 dropped:0 overruns:0 carrier:0
		  collisions:0 txqueuelen:1000
		  RX bytes:207899392 (198.2 MiB)  TX bytes:2588712 (2.4 MiB)

lo		Link encap:Local Loopback  
		  inet addr:127.0.0.1  Mask:255.0.0.0
		  inet6 addr: ::1/128 Scope:Host
		  UP LOOPBACK RUNNING  MTU:16436  Metric:1
		  RX packets:1442 errors:0 dropped:0 overruns:0 frame:0
		  TX packets:1442 errors:0 dropped:0 overruns:0 carrier:0
		  collisions:0 txqueuelen:0
		  RX bytes:1493595 (1.4 MiB)  TX bytes:1493595 (1.4 MiB)

Plik log nie był utworzony w tej lokaliacji, czyli:

/var/log/openvpn/openvpn.log

Ja po zainstalowaniu openvpn w katalogu/partycji /usr przeniosłem według poradnika do katalogu/partycji /etc...

Więc ścieżki się zmieniły, lecz edytowałem jeszcze raz plik

server.conf

komendą:

mcedit /etc/openvpn/server.conf

Poniżej zamieszczam zedytowany screen z pliku server.cnf

https://www.dropbox.com/s/k0t3jjvpy58pvic/1%20konfiguracja%20pliki%20log%C3%B3w%20w%20pliku%20server-conf.png?dl=0

Po edycji mogłem zapisać pliki logów w danej lokalizacji, lecz niestety zapisał mi się tylko 1 o nazwie:

openvpn.log

Mam nadzieję, że o ten plik właśnie chodziło. Jest tam prawdopodobnie błąd związany z plikiem klucza dh2048, lecz plik tam istnieje. Standardowo w poradniku był podany klucz dh1024, lecz u mnie wygenerował się ten 2048 bitowy.

[Sevard]

Po edycji mogłem zapisać pliki logów w danej lokalizacji, lecz niestety zapisał mi się tylko 1 o nazwie:

openvpn.log

To go wklej.

W katalogu /etc powinno się trzymać konfiguracje, skrypty uruchomieniowe itp., ale nie kod.

Trzymanie tam czegoś innego (w tym logów) jest błędem, bo wprowadza chaos.

Wrzuć może lepiej link do poradnika, z którego korzystałeś, bo mam wrażenie, że coś było zrobione źle.

[nyac55]

Wszystko jest. Poradnik w 1 poście:

http://centos.net.pl/2012/10/26/centos-6-openvpn-2-klient-windows-7linux/

Natomiast plik logu w ostatnim:

https://www.dropbox.com/s/k0t3jjvpy58pvic/1%20konfiguracja%20pliki%20log%C3%B3w%20w%20pliku%20server-conf.png?dl=0

Proszę bardzo.

[politan]

Dalej nie wkleiłeś tego loga... Po wykonaniu poniższego polecenia powinieneś mieć plik log.txt w katalogu domowym, wrzuć go na pastebin.com i daj tutaj link.

cat /etc/openvpn/openvpn.log > ~/log.txt

[nyac55]

http://pastebin.com/mqNbJxsv

Proszę plik loga.

[politan]

Wrzuć jeszcze wynik polecenia:

ls -la /etc/openvpn/keys

[Sevard]

Options error: --dh fails with 'dh2048.pem': No such file or directory

Czyli program nie może znaleźć pliku z parametrami dla protokołu Diffiego-Hellmana. Plik albo nie jest wygenerowany, albo w konfiguracji masz podaną złą ścieżkę do niego.

Skoro robiłeś wszystko zgodnie z tym poradnikiem, to upewnij się, że masz plik dh2048.pem w katalogu /etc/openvpn/keys oraz że w konfiguracji jest linia

dh keys/dh2048.pem

Jeśli tak i nadal będzie to samo, to możesz spróbować zmienić to na pełną ścieżkę, czyli

dh /etc/openvpn/keys/dh2048.pem

[nyac55]

@Sevard plik był, jednak w konfiguracji zamiast

dh keys/dh2048.pem

, było samo

dh dh2048.pem

, co było błędną ścieżką do pliku.

Dziękuję wszystkim za pomoc.

Obecnie mam jeszcze 1 problem. Doszedłem już do końca ćwiczenia, stworzyłem serwer po stronie Linuxa oraz klienta po stronie Windowsa...

Połączyłem się, użyłem adresu IP serwera w Windowsie: 10.8.0.1, nie wyświetla się żaden komunikat błędu. Niestety poradnik nakazywał wejść na stronkę:

http://myip.dk/

,by sprawdzić nasze IP, okazało się, że mam chyba takie samo jak wcześniej, a wydawało mi się, że powinienem mieć właśnie 10.8.0.1. Czy wiecie co może być nie tak??

[politan]

Skoro połączyłeś się z adresem IP w swojej sieci to jak ma się on zmienić w inny? Z resztą 10.8.0.1 to adres prywatny klasy A.

[nyac55]

To co mam tam wpisać? Adres 10.8.0.0, to jest prawdopodobnie adres serwera VPN, jeśli mam wpisać IP klienta w Windowsie to wpisać IP wewnętrzne czy globalne, bo chyba czegoś tutaj nie rozumiem... W poradniku pisało ADRES_IP_SERWERA

[b]Konfiguracja klienta w systemie Windows 7[/b]
Program klienta sciągamy ze strony [url="http://openvpn.net/index.php/open-source/downloads.html"]producenta[/url]: [url="http://swupdate.openvpn.org/community/releases/openvpn-2.2.2-install.exe"]openvpn-2.2.2-install.exe[/url]
Klucze i certyfikaty [b]ca.crt, klucz_klient1.crt, klucz_klient1.key[/b] umieszczamy w katalogu:
[b]C:\Program Files\OpenVPN\config\[/b], również w tym samym katalogu tworzymy plik [b]client.ovpn[/b]:

client
dev tun
proto udp
remote ADRES_IP_SERWERA 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert klucz_klient1.crt
key klucz_klient1.key
ns-cert-type server
comp-lzo
verb 3						
Uruchamiamy klienta OpenVPN GUI klikamy connect i cieszymy się własną siecią prywatną z szyfrowaniem i kompresją w locie 

Takie coś było w poradniku, zamiast IP_SERWERA wpisałem 10.8.0.0, gdyż myślałem, że taki jest adres serwera. Jak mogę ew. sprawdzić IP SERWERA i się z nim poprawnie połączyć?

[politan]

Musisz wystawić serwer VPN na zewnątrz. Wtedy łączysz się z globalnym adresem IP, a po połączeniu serwer przydziela ci wewnętrzny adres IP wirtualnej sieci. Poczytaj na jakiej zasadzie działa VPN.

[nyac55]

Moje VPN to VPN typu punkt-punkt... Czy mimo tego, że uruchomiłem usługę na serwerze muszę stworzyć tunel wewnętrzny? Jak tego dokonać, bo gdy wpiszę w terminalu openvpn wyświetla się multum opcji i nie chcę czegoś zepsuć. Bardzo mi zależy, żeby przed 14.00 to skończyć.

[politan]

Nie do końca rozumiem o co ci chodzi. W pliku konfiguracyjnym serwera powinieneś dodać poniższą linijkę:

local xxx.xxx.xxx.xxx

a w konfiguracji klienta

remote xxx.xxx.xxx.xxx

Gdzie xxx.xxx.xxx.xxx to twoje zewnętrzne IP. 10.8.0.0/24 to pula adresów przydzielana wszystkim klientom, którzy podłączą się do serwera VPN.

Oczywiście musiałbyś mieć inny komputer, z innym IP żeby zobaczyć różnice po połączeniu. Na dodatek serwer czy komputer pełniący rolę serwera OpenVPN powinien być wystawiony w DMZ lub widoczny bezpośrednio z sieci.

[nyac55]

"zewnętrzne IP" masz na myśli IP globalne sieci w której się znajduje - IP publiczne? sprawdzałem i nie działa.

Na serwerze znalazłem linijkę, w której local było zakomentowane i pisało:

;local a.b.c.d

, więc niżej dopisałem:

local np. 217.173.198.237, natomiast w kliencie remote (już było) remote 217.173.198.237 1194

Mam takie komunikaty w oknie klienta:

Wed Nov 26 12:43:50 2014 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Wed Nov 26 12:43:50 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Nov 26 12:43:50 2014 LZO compression initialized
Wed Nov 26 12:43:50 2014 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Nov 26 12:43:50 2014 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 26 12:43:50 2014 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 26 12:43:50 2014 Local Options hash (VER=V4): '41690919'
Wed Nov 26 12:43:50 2014 Expected Remote Options hash (VER=V4): '530fdded'
Wed Nov 26 12:43:50 2014 UDPv4 link local: [undef]
Wed Nov 26 12:43:50 2014 UDPv4 link remote: 10.230.1.121:1194
Wed Nov 26 12:43:50 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Wed Nov 26 12:43:53 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

wcześniej przy adresie 10.8.0.0, który jak napisałeś jest błędny nie było 2 ostatnich linijek:

Wed Nov 26 12:43:50 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Wed Nov 26 12:43:53 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

[politan]

10.8.0.0 nie jest błędny, tylko ten adres powinien być nadawany dopiero po podłączeniu do serwera, a nie stosowany jako adres do połączenia. Co do aktualnych komunikatów to zmień w konfiguracji sekcje proto tak jak poniżej, i upewnij się, że masz odblokowany port na firewallu i komputer jest dostępny z zewnątrz.

proto tcp

[nyac55]

Zmieniłem na:

proto tcp

na kliencie i na serwerze, dodałem do zapory port 1194 oraz adres 10.8.0.0 jako lokalny oraz zdalny...

10.8.0.0 nie jest błędny, tylko ten adres powinien być nadawany dopiero po podłączeniu do serwera, a nie stosowany jako adres do połączenia.

Jak mam to rozumieć - co mam zrobić, żeby najpierw się łączył, a dopiero później przydzielał?

To co piałeś wcześniej:

local xx.xx.xx.xx

oraz

remote xx.xx.xx.xx

, dalej nie wiem jaki adres -> pisałeś, że adres zewnętrzny, lecz czy jest to adres

eth0

,

tun0

maszyny wirtualnej? czy może IP hosta, na którym pracuje (1 jest jeśli wpiszemy

ipconfig /all

na interfejsie z którego korzystam, a 2 globalny całej sieci "widziany z zewnątrz")?

[politan]

Jak mam to rozumieć - co mam zrobić, żeby najpierw się łączył, a dopiero później przydzielał?

Połączenie VPN polega na tym, że komputer łączący się z zewnątrz do sieci lokalnej, w której jest serwer VPN był przeźroczysty pod względem przesyłania pakietów. Najprostszy przykład - Jest firma, w której pracuje Jan Kowalski. Janek w pracy posiada stacjonarny komputer podłączony do sieci LAN, w której pracodawca udostępnia różne zmapowane jako dyski zasoby. Również pracownicy udostępniają tylko między sobą (a więc siecią LAN) foldery, na których pracują. Jan dostaje od pracodawcy polecenie wyjazdu służbowego za granice, jednak potrzebuje na bieżąco mieć dostęp do zasobów znajdujących się w sieci LAN. Dzwoniąc do IT dowiaduje się, że w firmie funkcjonuje OpenVPN oparty na użytkowniku i haśle, a on widnieje jak ten, który ma do niego dostęp. Tak więc Janek instaluje na komputerze klienta OpenVPN, jedzie do USA i inicjuje połączenie z serwerem OpenVPN, którego IP dostał wcześniej od pracowników działu IT. Po podaniu nazwy użytkownika i hasła Jan uzyskuje pełen dostęp do zasobów sieci LAN. Jest daleko po za krajem a jednak pracuje w sieci LAN w Polsce. Jak to się dzieję? Serwer OpenVPN odbierając połączenie z poprawnie zalogowanym klientem nadaje mu wirtualny adres IP (np. 10.8.0.15), tylko po to, żeby Janek znalazł się w sieci LAN. Stąd wziął się ten 10.8.0.0, nikt się z nim nie łączy, to serwer przydziela go klientowi już po podłączeniu.

Co do typów adresów:

publiczny -> zewnętrzny - adres IP widoczny od strony WAN, czyli ten nadany przez twojego ISP

prywatny -> wewnętrzny - adres IP widoczny tylkow obrębie sieci LAN, czyli np. nadany przez twój router

[nyac55]

OK, rozumiem jak działa sieć VPN, rozumiem że polecenie:

local xxx.xxx.xxx.xxx 

odnosi się do sieci lokalnej LAN, natomiast:

remote xxx.xxx.xxx.xxx

, oznacza coś zdalnego - zdalen połączenie np. remote desktop - pulpit zdalny... Wcześniej pisałeś, że obie te komendy muszą być wypełnione tym samym adresem IP...

Następnie adres eth0 w Linuxie, to jeśli dobrze pamiętam 10.8.0.15... czy to muszę wpisać w oba pola, czy może raczej 10.8.0.0?

Nie długo zamieszczę zawartość obu plików konfiguracyjnych... jeśli możesz podałbyś mi co mam w nich zmienić/dopisać, żeby połączenie się udało...

2 kwestia, jeśli to nie o adresy chodzi to zapora. Mam standardową zaporę Windowsa, obsługiwaną przez Eseta, oczywiście dodałem tam port i podajże adres 10.8.0.0 jako remote i local, bo nie wiem dokładnie co powinno się tam znaleźć... Takie połączenie robię 1 raz, więc jeszcze dokładnie nie wiem, co jak i gdzie wpisać...

Klient (Windows 8.1):

client
dev tun
proto tcp
;remote 10.8.0.0 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert klucz_klient1.crt
key klucz_klient1.key
ns-cert-type server
comp-lzo
verb 3
remote 10.8.0.0 1194

Serwer (Linus Centos 6.5):

Po stronie serwera był plik konfiguracyjny:

server.conf 

(nie udało mi się skopiować zawartości, więc wrzucam cały plik) oraz plik logu openvpn.log (zawartość pliku, zamieszczam na screenie).

Plik server.conf

https://www.dropbox.com/s/l96rotejhj9k2p1/server.conf?dl=0

Zawartość pliku konfiguracyjnego klienta w Windows 8.1:

https://www.dropbox.com/s/vz7ui6q5jvzxll8/serwer%20etc%20openvpn-log.png?dl=0

[politan]

Zarówno w local jak i remote ma być twój zewnętrzny adres IP a nie 10.8.0.*.

[nyac55]

Ustawiłem local oraz remote na 10.8.0.1, bo taki był adres IP interfejsu w Linuxie na maszynie wirtualnej, zmieniłem na UDP tak jak było wcześniej... i cały czas jest to samo połączenie nie zachodzi i nie wyświetlają się żadne komunikaty, że nie udało się połączyć z peerem.

Mam jeszcze 1 sugestię: Teraz jak wpiszę komendę: service openvpn start <- pojawia się komunikat połączenie nieudane... Wcześniej jak uruchamiałem było udane oraz czy to polecenie muszę wykonywać zawsze jak chcę się połączyć??

Także interfejs tun0 znikł z listy interfejsów...