Skip to content
- Печать
Страницы: [1] 2 3 Все Вниз
Тема: ubuntu server + openvpn server = при запуске Options error: —dh fails with ‘dh. (Прочитано 6919 раз)
0 Пользователей и 1 Гость просматривают эту тему.
YDenis
Здравствуйте.
Подскажите пожалуйста. Ubuntu server 20.04 (vps amazon). Устанавливаю openvpn server. Дошел до запуска самого сервера. Идет ругань на сертификаты.
Конфигурация:
port 1194
proto udp
dev tun
ca ca.crt
cert yyyy.crt
key yyyy.key
dh dh.pem
server 10.9.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth ta.key 1
auth SHA1
cipher AES-256-CBC
client-to-client
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1
Терминал:
sudo openvpn /etc/openvpn/server.confВ папке логов нет. Сами сертификаты в /etc/openvpn в наличии.
Options error: --dh fails with 'dh.pem': No such file or directory (errno=2)
Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)
Options error: --cert fails with 'yyyy.crt': No such file or directory (errno=2)
Mon Oct 18 15:42:50 2021 WARNING: cannot stat file 'yyyy.key': No such file or directory (errno=2)
Options error: --key fails with 'yyyy.key': No such file or directory (errno=2)
Mon Oct 18 15:42:50 2021 WARNING: cannot stat file 'ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with 'ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
Где может быть ошибка?
благодарю
ALiEN175
ca ca.crt
cert yyyy.crt
key yyyy.key
dh dh.pem
No such file or directory
А если чуть-чуть подумать?
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE
YDenis
ca ca.crt
cert yyyy.crt
key yyyy.key
dh dh.pemNo such file or directory
А если чуть-чуть подумать?
Права.
Когда копировал сертификаты по мануалу, прошло только через судо:
cp ./pki/ca.crt /etc/openvpn/ca.crt
ALiEN175
YDenis, неа) рабочая директория 
cd /etc/openvpn && sudo openvpn /etc/openvpn/server.conf
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE
YDenis
YDenis, неа) рабочая директория
cd /etc/openvpn && sudo openvpn /etc/openvpn/server.conf
благодарю
Пользователь добавил сообщение 18 Октября 2021, 19:24:57:
И еще ребята плиз.
Мне tcp нужно (микротик будет клиентом).
Ставлю proto tcp
Options error: —explicit-exit-notify can only be used with —proto udp
« Последнее редактирование: 18 Октября 2021, 19:24:57 от YDenis »
ALiEN175
Пара советов:
— ключи и сертификаты можно хранить непосредственно в конфиг-файле.
— OpenVPN сильно режет скорость. Если это критично, лучше посмотреть на Wireguard
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE
YDenis
Пара советов:
— ключи и сертификаты можно хранить непосредственно в конфиг-файле.— OpenVPN сильно режет скорость. Если это критично, лучше посмотреть на Wireguard
Микрот в 7 версии операционки будет работать с Wireguard. Сейчас нет.
сенк
ALiEN175
Ставлю proto tcp
Options error: —explicit-exit-notify can only be used with —proto udp
Всё написано же. Уберите explicit-exit-notify
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE
YDenis
Добрый.
Чтоб не плодить темы и на правах ТС спрошу.
server.conf:
port 1194
proto tcp
dev tun
ca ca.crt
cert yyyy.crt
key yyyy.key
dh dh.pem
server 10.9.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth ta.key 1
auth SHA1
cipher AES-256-CBC
client-to-client
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
Запускаю:
ubuntu@ip-172-31-41-114:~$ cd /etc/openvpn && sudo openvpn /etc/openvpn/server.confКуда нужно посмотреть чтобы найти ошибку?
Wed Oct 27 14:42:36 2021 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021
Wed Oct 27 14:42:36 2021 library versions: OpenSSL 1.1.1f 31 Mar 2020, LZO 2.10
Wed Oct 27 14:42:36 2021 Diffie-Hellman initialized with 2048 bit key
Wed Oct 27 14:42:36 2021 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 27 14:42:36 2021 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 27 14:42:36 2021 ROUTE_GATEWAY 172.31.32.1/255.255.240.0 IFACE=eth0 HWADDR=06:65:5c:42:3d:e6
Wed Oct 27 14:42:36 2021 TUN/TAP device tun2 opened
Wed Oct 27 14:42:36 2021 TUN/TAP TX queue length set to 100
Wed Oct 27 14:42:36 2021 /sbin/ip link set dev tun2 up mtu 1500
Wed Oct 27 14:42:37 2021 /sbin/ip addr add dev tun2 local 10.9.0.1 peer 10.9.0.2
Wed Oct 27 14:42:37 2021 /sbin/ip route add 10.9.0.0/24 via 10.9.0.2
RTNETLINK answers: File exists
Wed Oct 27 14:42:37 2021 ERROR: Linux route add command failed: external program exited with error status: 2
Wed Oct 27 14:42:37 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed Oct 27 14:42:37 2021 Socket Buffers: R=[131072->131072] S=[16384->16384]
Wed Oct 27 14:42:37 2021 TCP/UDP: Socket bind failed on local address [AF_INET][undef]:1194: Address already in use (errno=98)
Wed Oct 27 14:42:37 2021 Exiting due to fatal error
Wed Oct 27 14:42:37 2021 Closing TUN/TAP interface
Wed Oct 27 14:42:37 2021 /sbin/ip addr del dev tun2 local 10.9.0.1 peer 10.9.0.2
благодарю
ALiEN175
ip a; echo; ip r
systemctl list-units | grep vpn
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE
YDenis
ip a; echo; ip r
systemctl list-units | grep vpn
ubuntu@ip-172-31-1-60:/etc/openvpn$ ip a; echo; ip r
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc fq_codel state UP group default qlen 1000
link/ether 0a:d5:d7:1b:b0:08 brd ff:ff:ff:ff:ff:ff
inet 172.31.1.60/20 brd 172.31.15.255 scope global dynamic eth0
valid_lft 2132sec preferred_lft 2132sec
inet6 fe80::8d5:d7ff:fe1b:b008/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 172.21.55.1 peer 172.21.55.2/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::7e09:68a3:1403:5e8a/64 scope link stable-privacy
valid_lft forever preferred_lft forever
default via 172.31.0.1 dev eth0 proto dhcp src 172.31.1.60 metric 100
172.21.55.0/24 via 172.21.55.2 dev tun0
172.21.55.2 dev tun0 proto kernel scope link src 172.21.55.1
172.31.0.0/20 dev eth0 proto kernel scope link src 172.31.1.60
172.31.0.1 dev eth0 proto dhcp scope link src 172.31.1.60 metric 100
ubuntu@ip-172-31-1-60:/etc/openvpn$ systemctl list-units | grep vpn
openvpn@server.service loaded activating auto-restart OpenVPN connection to server
system-openvpn.slice loaded active active system-openvpn.slice
ALiEN175
Если вручную запускаете, останавливайте либо убирайте автозагрузку.
sudo systemctl stop openvpn@server
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE
shamanhuev
inet 172.21.55.1 peer 172.21.55.2/32
Странная какая то строчка , как по мне. Маска 32 это вроде один единственный адрес ?
YDenis
Если вручную запускаете, останавливайте либо убирайте автозагрузку.
sudo systemctl stop openvpn@server
Остановил, запускаю, но все равно:
ubuntu@ip-172-31-1-60:/etc/openvpn$ sudo systemctl stop openvpn@server
ubuntu@ip-172-31-1-60:/etc/openvpn$ cd /etc/openvpn && sudo openvpn /etc/openvpn/server.conf
Thu Oct 28 12:38:30 2021 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021
Thu Oct 28 12:38:30 2021 library versions: OpenSSL 1.1.1f 31 Mar 2020, LZO 2.10
Thu Oct 28 12:38:30 2021 Diffie-Hellman initialized with 2048 bit key
Thu Oct 28 12:38:30 2021 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 28 12:38:30 2021 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 28 12:38:30 2021 ROUTE_GATEWAY 172.31.0.1/255.255.240.0 IFACE=eth0 HWADDR=0a:d5:d7:1b:b0:08
Thu Oct 28 12:38:30 2021 TUN/TAP device tun1 opened
Thu Oct 28 12:38:30 2021 TUN/TAP TX queue length set to 100
Thu Oct 28 12:38:30 2021 /sbin/ip link set dev tun1 up mtu 1500
Thu Oct 28 12:38:30 2021 /sbin/ip addr add dev tun1 local 172.21.55.1 peer 172.21.55.2
Thu Oct 28 12:38:30 2021 /sbin/ip route add 172.21.55.0/24 via 172.21.55.2
RTNETLINK answers: File exists
Thu Oct 28 12:38:30 2021 ERROR: Linux route add command failed: external program exited with error status: 2
Thu Oct 28 12:38:30 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET
Thu Oct 28 12:38:30 2021 Socket Buffers: R=[131072->131072] S=[16384->16384]
Thu Oct 28 12:38:30 2021 TCP/UDP: Socket bind failed on local address [AF_INET][undef]:1194: Address already in use (errno=98)
Thu Oct 28 12:38:30 2021 Exiting due to fatal error
Thu Oct 28 12:38:30 2021 Closing TUN/TAP interface
Thu Oct 28 12:38:30 2021 /sbin/ip addr del dev tun1 local 172.21.55.1 peer 172.21.55.2
ubuntu@ip-172-31-1-60:/etc/openvpn$ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 9001
inet 172.31.1.60 netmask 255.255.240.0 broadcast 172.31.15.255
inet6 fe80::8d5:d7ff:fe1b:b008 prefixlen 64 scopeid 0x20<link>
ether 0a:d5:d7:1b:b0:08 txqueuelen 1000 (Ethernet)
RX packets 265505 bytes 369905067 (369.9 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 26284 bytes 3605037 (3.6 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 610 bytes 61250 (61.2 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 610 bytes 61250 (61.2 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 172.21.55.1 netmask 255.255.255.255 destination 172.21.55.2
inet6 fe80::7e09:68a3:1403:5e8a prefixlen 64 scopeid 0x20<link>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 100 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 28 bytes 1344 (1.3 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
« Последнее редактирование: 28 Октября 2021, 16:02:12 от YDenis »
ALiEN175
ASUS P5K-C :: Intel Xeon E5450 @ 3.00GHz :: 8 GB DDR2 :: Radeon R7 260X :: XFCE
ACER 5750G :: Intel Core i5-2450M @ 2.50GHz :: 6 GB DDR3 :: GeForce GT 630M :: XFCE
- Печать
Страницы: [1] 2 3 Все Вверх
| Введение | |
| Туннель | |
| OpenVPN | |
| Установка OpenVPN | |
| easy-rsa | |
| Настройка OpenVPN | |
| Проверить статус | |
| Похожие статьи |
Введение
VPN (англ. Virtual Private Network «виртуальная частная сеть») — обобщённое название технологий,
позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например Интернет.
Несмотря на то, что для коммуникации используются сети с меньшим или неизвестным уровнем доверия
(например, публичные сети), уровень доверия к построенной логической сети не зависит от уровня доверия
к базовым сетям благодаря использованию средств криптографии
(шифрования, аутентификации, инфраструктуры открытых ключей, средств защиты от повторов и
изменений передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения VPN может обеспечивать соединения трёх видов:
узел-узел, узел-сеть и сеть-сеть.
Туннель
Туннелирование (от англ. tunnelling — «прокладка туннеля») в компьютерных сетях — процесс, в ходе которого
создаётся логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов.
Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой.
От обычных многоуровневых сетевых моделей (таких как OSI или TCP/IP) туннелирование отличается тем, что
инкапсулируемый протокол относится к тому же или более низкому уровню, чем используемый в качестве туннеля.
Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями,
в область полезной нагрузки пакета несущего протокола.
Туннелирование может применяться на сетевом (L3) и на прикладном (L7) уровнях. Комбинация туннелирования и шифрования позволяет
реализовать закрытые виртуальные частные сети (VPN).
Туннелирование обычно применяется для согласования транспортных протоколов либо для создания защищённого
соединения между узлами сети.
Результатом туннелирования является туннель.
OpenVPN
OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналoв
типа точка-точка или сервер-клиенты между компьютерами.
Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек.
OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GP.
https://community.openvpn.net/openvpn/wiki/HOWTO
Установка OpenVPN
sudo yum -y update
sudo yum -y install epel-release
sudo yum -y update
sudo yum -y install wget openvpn easy-rsa
После установки перейдите в директорию с конфигами
cd /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/
ls -la
total 84
drwxr-xr-x. 2 root root 4096 May 23 17:41 .
drwxr-xr-x. 5 root root 77 May 23 17:41 ..
-rw-r—r—. 1 root root 3585 Mar 17 13:53 client.conf
-rw-r—r—. 1 root root 3562 Mar 17 13:53 firewall.sh
-rw-r—r—. 1 root root 62 Mar 17 13:53 home.up
-rw-r—r—. 1 root root 672 Mar 17 13:53 loopback-client
-rw-r—r—. 1 root root 675 Mar 17 13:53 loopback-server
-rw-r—r—. 1 root root 62 Mar 17 13:53 office.up
-rw-r—r—. 1 root root 63 Mar 17 13:53 openvpn-shutdown.sh
-rw-r—r—. 1 root root 776 Mar 17 13:53 openvpn-startup.sh
-rw-r—r—. 1 root root 131 Mar 17 13:53 README
-rw-r—r—. 1 root root 820 Mar 17 20:57 roadwarrior-client.conf
-rw-r—r—. 1 root root 1498 Mar 17 20:57 roadwarrior-server.conf
-rw-r—r—. 1 root root 10784 Mar 17 13:53 server.conf
-rw-r—r—. 1 root root 1778 Mar 17 13:53 static-home.conf
-rw-r—r—. 1 root root 1724 Mar 17 13:53 static-office.conf
-rw-r—r—. 1 root root 1937 Mar 17 13:53 tls-home.conf
-rw-r—r—. 1 root root 1948 Mar 17 13:53 tls-office.conf
-rw-r—r—. 1 root root 199 Mar 17 13:53 xinetd-client-config
-rw-r—r—. 1 root root 989 Mar 17 13:53 xinetd-server-config
sudo cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf /etc/openvpn/
ls -la /etc/openvpn/
total 24
drwxr-xr-x. 4 root root 53 May 23 17:46 .
drwxr-xr-x. 150 root root 8192 May 23 17:41 ..
drwxr-x—. 2 root openvpn 6 Mar 17 20:57 client
drwxr-x—. 2 root openvpn 6 Mar 17 20:57 server
-rw-r—r—. 1 root root 10784 May 23 17:46 server.conf
easy-rsa
Создайте директорию
sudo mkdir /etc/openvpn/easy-rsa
Скопируйте файлы
sudo cp -rf /usr/share/easy-rsa/3.0.8/* /etc/openvpn/easy-rsa/
ls -la /etc/openvpn/easy-rsa/
total 84
drwxr-xr-x. 3 root root 66 May 23 17:52 .
drwxr-xr-x. 5 root root 69 May 23 17:50 ..
-rwxr-xr-x. 1 root root 76946 May 23 17:52 easyrsa
-rw-r—r—. 1 root root 4616 May 23 17:52 openssl-easyrsa.cnf
drwxr-xr-x. 2 root root 122 May 23 17:52 x509-types
Можно скачать самую свежую версию EasyRSA с их
GitHub
репозитория
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.0/EasyRSA-3.1.0.tgz
tar zxvf EasyRSA-3.1.0.tgz
ls -la EasyRSA-3.1.0
total 184
drwxrwxr-x. 4 andrei andrei 214 May 19 04:53 .
drwx——. 22 andrei andrei 4096 May 23 18:08 ..
-rw-rw-r—. 1 andrei andrei 6717 May 19 04:53 ChangeLog
-rw-rw-r—. 1 andrei andrei 1305 May 19 04:53 COPYING.md
drwxrwxr-x. 2 andrei andrei 131 May 23 18:13 doc
-rwxrwxr-x. 1 andrei andrei 118106 May 19 04:53 easyrsa
-rw-rw-r—. 1 andrei andrei 18092 May 19 04:53 gpl-2.0.txt
-rw-rw-r—. 1 andrei andrei 1036 May 19 04:53 mktemp.txt
-rw-rw-r—. 1 andrei andrei 4935 May 19 04:53 openssl-easyrsa.cnf
-rw-rw-r—. 1 andrei andrei 2269 May 19 04:53 README.md
-rw-rw-r—. 1 andrei andrei 3335 May 19 04:53 README.quickstart.md
-rw-rw-r—. 1 andrei andrei 9425 May 19 04:53 vars.example
drwxrwxr-x. 2 andrei andrei 122 May 23 18:13 x509-types
sudo su
mv EasyRSA-3.1.0 /etc/openvpn/easy-rsa
Или
sudo mv ~/Downloads/EasyRSA-3.1.0 /etc/openvpn/easy-rsa
sudo cd /etc/openvpn/easy-rsa
sudo cp vars.example vars
sudo vi vars
set_var EASYRSA_REQ_COUNTRY «FI»
set_var EASYRSA_REQ_PROVINCE «Uusimaa»
set_var EASYRSA_REQ_CITY «Helsinki»
set_var EASYRSA_REQ_ORG «Copyleft Certificate Co»
set_var EASYRSA_REQ_EMAIL «info@urn.su»
set_var EASYRSA_REQ_OU «www.andreyolegovich.ru»
Настройка OpenVPN
Если вы ещё не скопировали файл с настройками — выполните
sudo su
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf /etc/openvpn
Если не можете найти файл
server.conf
выполните
find / -name server.conf
Или
find / -name server.conf | grep openvpn
find: ‘/run/user/1000/gvfs’: Permission denied
/usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf
Проверить порт по умолчанию можно выполнив
cat /etc/openvpn/server.conf | grep port | grep -v ^#
port 1194
Открыть этот порт можно командой (Centos/Rocky Linux)
sudo firewall-cmd —zone=public —add-port=1194/tcp —permanent
success
sudo firewall-cmd —reload
success
Проверить протокол по умолчанию (рекомендуется оставить udp) но иногда нужен tcp
cat /etc/openvpn/server.conf | grep proto | grep -v ^;
proto udp
Переключить протоколы можно командой
sudo sed -i ‘s@^;proto tcp@proto tcp@ ; s@^proto udp@;proto udp@‘ /etc/openvpn/server.conf
Обратите внимание на следующие строки
cat /etc/openvpn/server.conf | grep ‘user|group‘ | grep -v ^#
;user nobody
;group nobody
Рекомендуется раскомментировать их для повышения безопасности. В какой-то старой версии я видел не group nobody а group nogroup.
sudo sed -i ‘s@^;user nobody@user nobody@ ; s@^;group nobody@group nobody@‘ /etc/openvpn/server.conf
Также можно раскомментировать лог, а именно следующие строки
cat /etc/openvpn/server.conf | grep openvpn.log | grep -v ^#
;log openvpn.log
;log-append openvpn.log
sudo sed -i ‘s@^;log@log@ ; s@^;log-append@log-append@‘ /etc/openvpn/server.conf
Настройки для ключей и сертификатов
cat /etc/openvpn/server.conf | grep ‘key|crt|dh‘ | grep -v ^#
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
;push «redirect-gateway def1 bypass-dhcp»
;push «dhcp-option DNS 208.67.222.222»
;push «dhcp-option DNS 208.67.220.220»
tls-auth ta.key 0 # This file is secret
persist-key
В конец файла с настройками нужно добавить
# Will work only with tcp
port-share localhost 80
sudo vi /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
net.ipv4.ip_forward = 1
Сгенерируйте новый tlsauth ключ
vi /etc/openvpn/server.conf
;tls-auth ta.key 0 # This file is secret
tls-crypt myvpn.tlsauth
openvpn —genkey —secret /etc/openvpn/myvpn.tlsauth
Проверить состояние сервиса
systemctl status openvpn@server.service
● openvpn@server.service — OpenVPN Robust And Highly Flexible Tunneling Application On server
Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2022-05-25 09:48:14 EEST; 22min ago
Main PID: 1236 (openvpn)
Status: «Initialization Sequence Completed»
CGroup: /system.slice/system-openvpn.slice/openvpn@server.service
└─1236 /usr/sbin/openvpn —cd /etc/openvpn/ —config server.conf
May 25 09:48:13 host113.andrei.com systemd[1]: Starting OpenVPN Robust And Highly Flexible Tunneling Application On server…
May 25 09:48:14 host113.andrei.com systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Ошибки
systemctl status openvpn@server.service
● openvpn@server.service — OpenVPN Robust And Highly Flexible Tunneling Application On server
Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; disabled; vendor preset: disabled)
Active: failed (Result: exit-code) since Tue 2022-05-24 16:06:40 EEST; 14s ago
Process: 19014 ExecStart=/usr/sbin/openvpn —cd /etc/openvpn/ —config %i.conf (code=exited, status=1/FAILURE)
Main PID: 19014 (code=exited, status=1/FAILURE)
May 24 16:06:40 host113.andrei.com systemd[1]: Starting OpenVPN Robust And Highly Flexible Tunneling Application On server…
May 24 16:06:40 host113.andrei.com systemd[1]: openvpn@server.service: main process exited, code=exited, status=1/FAILURE
May 24 16:06:40 host113.andrei.com systemd[1]: Failed to start OpenVPN Robust And Highly Flexible Tunneling Application On server.
May 24 16:06:40 host113.andrei.com systemd[1]: Unit openvpn@server.service entered failed state.
May 24 16:06:40 host113.andrei.com systemd[1]: openvpn@server.service failed.
sudo tail -n 200 /etc/openvpn/openvpn.log
Options error: —explicit-exit-notify can only be used with —proto udp
Use —help for more information
sudo tail -f /home/andrei/openvpn.log
Options error: —dh fails with ‘dh2048.pem’: No such file or directory (errno=2)
Options error: —ca fails with ‘ca.crt’: No such file or directory (errno=2)
Options error: —cert fails with ‘server.crt’: No such file or directory (errno=2)
Tue May 24 16:13:40 2022 WARNING: cannot stat file ‘server.key’: No such file or directory (errno=2)
Options error: —key fails with ‘server.key’: No such file or directory (errno=2)
Tue May 24 16:13:40 2022 WARNING: cannot stat file ‘ta.key’: No such file or directory (errno=2)
Options error: —tls-auth fails with ‘ta.key’: No such file or directory (errno=2)
Options error: Please correct these errors.
Use —help for more information.
Например, в easy-rsa 2 нужно было выполнять файл
vars
из директории /etc/openvpn/easy-rsa/
В easy-rsa 3 при попытке выполнить файл вы получите ошибку
. ./vars
You appear to be sourcing an Easy-RSA *vars* file.
This is no longer necessary and is disallowed. See the section called
*How to use this file* near the top comments for more details.
vi vars
# A little housekeeping: DO NOT EDIT THIS SECTION
#
# Easy-RSA 3.x does not source into the environment directly.
# Complain if a user tries to do this:
if [ -z «$EASYRSA_CALLER» ]; then
echo «You appear to be sourcing an Easy-RSA *vars* file.» >&2
echo «This is no longer necessary and is disallowed. See the section called» >&2
echo «*How to use this file* near the top comments for more details.» >&2
return 1
fi
WARNING: you are using user/group/chroot/setcon without persist-tun — this may cause restarts to fail
Можно избавится отключив user nobody group nobody или добавив в
client.opvn
persist-tun
WARNING: you are using user/group/chroot/setcon without persist-key — this may cause restarts to fail
Можно избавится отключив user nobody group nobody или добавив в
client.opvn
persist-key
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, process restarting
TLS Error: Unroutable control packet received from [AF_INET]192.168.56.113:1194 (si=3 op=P_CONTROL_V1)
sudo yum -y update
sudo yum -y install epel-release
sudo yum -y update
sudo yum -y install openvpn easy-rsa iptables-services
| iptables | |
| Настройка сети | |
| Linux | |
| Компьютерные сети | |
| ip | |
| SCP: обмен файлами; | |
| SSH: удалённый доступ | |
| Сокеты в C |
Содержание
- Arch Linux
- #1 2018-04-03 17:25:27
- [solved] Openvpn Service Can’t Find Keys.
- #2 2018-04-03 19:14:13
- Re: [solved] Openvpn Service Can’t Find Keys.
- #3 2018-04-04 07:10:24
- Re: [solved] Openvpn Service Can’t Find Keys.
- #4 2018-04-04 07:32:55
- Re: [solved] Openvpn Service Can’t Find Keys.
- Создание ключей и сертификатов в Easy-rsa 3.0.3 для OpenVPN
- OpenVPN Support Forum
- Cannot start openvpn
- Cannot start openvpn
- Re: Cannot start openvpn
- Re: Cannot start openvpn
- vpn Linux
- Введение
- Туннель
- OpenVPN
- Установка OpenVPN
- easy-rsa
- Настройка OpenVPN
- Проверить состояние сервиса
- Ошибки
Arch Linux
You are not logged in.
#1 2018-04-03 17:25:27
[solved] Openvpn Service Can’t Find Keys.
I have a server where openvpn worked fine, but I haven’t used it for a while, so I disabled the service. I have now re-enabled the service and get the following error when I start it:
The files exist in the correct place:
If I start the server from the command line, rather than systemd it starts correctly:
So what am I doing wrong?
Last edited by geekinthesticks (2018-04-04 07:33:31)
#2 2018-04-03 19:14:13
Re: [solved] Openvpn Service Can’t Find Keys.
You don’t have the files where openvpn expects them. read you own output. Carefully follow the openvpn wiki page.
#3 2018-04-04 07:10:24
Re: [solved] Openvpn Service Can’t Find Keys.
I am probably being especially dumb here, but the files exist for all the «No such file or directory (errno=2)» errors in the directory where systemd says they don’t exist. Also, I can start openvpn server from the command line using the same configuration file. I only get the errors when trying to start the service using systemd.
#4 2018-04-04 07:32:55
Re: [solved] Openvpn Service Can’t Find Keys.
OK, finally solved it. Looking at the systemd file:
Moving the keys to /etc/openvpn/server/keys fixed it. I guess that openvpn expects to find the keys somewhere in the WorkingDirectory, or sub directory.
Источник
Создание ключей и сертификатов в Easy-rsa 3.0.3 для OpenVPN
Решил поставить сервер OpenVPN, нашел хороший мануал:
Выполнит только первые две команды:
Ой, сморозил. Ты прав.
это в конфиге сервера стояло.
Повторно. Конфиги + логи, сервер и клиент в студию.
Если на клиенте стоит параметр tls-auth, то сразу лог клиента:
Если с клиента параметр tls-auth убрать, то. Сервер конфиг:
Все что ниже пробовал генерить ключи с:
в конфиг сервера,
Точнее наоборот, запутал чертяка. Ничего генерить заново не надо.
Клиент и Сервер:
Тяжелый случай. Хорошо, убери tls-auth ta.key из конфига клиента и из конфига сервера.
попробовал Сервер конфиг, то, что и выше с
Тяжелый случай. Хорошо, убери tls-auth ta.key из конфига клиента и из конфига сервера.
поставил в конфиге на сервере:
На этом же клиенте у меня крутится еще одно подключение по работе, к Win-машине (делал не я, админы скинули).
все норм подключается без сбоев, каждый день работаю.
Да %% твою мать, ты издеваешься?
Или ты ставишь на сервере tls-auth ta.key 0, а на клиенте tls-auth ta.key 1; или убираешь из конфига сервера и клиента эти строки.
попробовал Сервер конфиг, то, что и выше с tls-auth ta.key 1
А остальное? Там к конфигу сервера нужно было добавить не только эту строку:
И еще. Я знаю, уже это обсуждали, на все же. Добавь на сервере и клиенте параметр:
Всем спасибо, получилось соединиться.
Правда теперь иногда вот такое наблюдаю:
а иногда еще и вот такое:
Правда теперь иногда вот такое наблюдаю:
Полные пути пропишите. Это вообще не лишне в любом случае.
По «два» раза не запускайте.
Полные пути пропишите. Это вообще не лишне в любом случае.
не могу найти где и как прописать полные пути. Подскажите пжл.
Вы имеете в виду эту команду по два раза не запускать:
не могу найти где и как прописать полные пути. Подскажите пжл.
В конфиге сервера, полные пути до файлов.
Вы имеете в виду эту команду по два раза не запускать:
openvpn /etc/openvpn/server.conf
Да. Да, да-да-да. запускать два демона с одним конфигом это плохая идея.
А вообще забейте, запускайте уж сервисом как там в вашей системе положено.
Источник
OpenVPN Support Forum
Community Support Forum
Cannot start openvpn
Cannot start openvpn
Post by dklaintea » Tue Apr 19, 2016 4:35 pm
OS : Centos 7.2.1511
i am new to linux ( especially Centos )
its include :
Enable the epel-repository in CentOS.
Install openvpn, easy-rsa and iptables.
Configure easy-rsa.
Configure openvpn.
Disable firewalld and SELinux.
Configure iptables for openVPN.
Start openVPN Server.
Setting up the OpenVPN client application.
but i cant start OpenVPN
when i running the command » systemctl status openvpn@server.service «
i receive message below :
● openvpn@server.service — OpenVPN Robust And Highly Flexible Tunneling Application On server
Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; disabled; vendor preset: disabled)
Active: failed (Result: exit-code) since Tue 2016-04-19 23:17:14 WIB; 4min 5s ago
Process: 4660 ExecStart=/usr/sbin/openvpn —daemon —writepid /var/run/openvpn/%i.pid —cd /etc/openvpn/ —config %i.conf (code=exited, status=1/FAILURE)
Apr 19 23:17:14 centos-aiman systemd[1]: Starting OpenVPN Robust And Highly Flexible Tunneling Application On server.
Apr 19 23:17:14 centos-aiman systemd[1]: openvpn@server.service: control process exited, code=exited status=1
Apr 19 23:17:14 centos-aiman systemd[1]: Failed to start OpenVPN Robust And Highly Flexible Tunneling Application On server.
Apr 19 23:17:14 centos-aiman systemd[1]: Unit openvpn@server.service entered failed state.
Apr 19 23:17:14 centos-aiman systemd[1]: openvpn@server.service failed.
and the server.conf was :
server 192.168.200.0 255.255.255.0
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»
keepalive 20 60
comp-lzo
persist-key
persist-tun
daemon
Any help Appreciated
Re: Cannot start openvpn
Post by Traffic » Tue Apr 19, 2016 5:13 pm
Re: Cannot start openvpn
Post by dklaintea » Wed Apr 20, 2016 9:50 am
Источник
vpn Linux
Введение
VPN (англ. Virtual Private Network «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например Интернет.
Несмотря на то, что для коммуникации используются сети с меньшим или неизвестным уровнем доверия (например, публичные сети), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств защиты от повторов и изменений передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
Туннель
Туннелирование (от англ. tunnelling — «прокладка туннеля») в компьютерных сетях — процесс, в ходе которого создаётся логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов.
Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой.
От обычных многоуровневых сетевых моделей (таких как OSI или TCP/IP) туннелирование отличается тем, что инкапсулируемый протокол относится к тому же или более низкому уровню, чем используемый в качестве туннеля.
Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в область полезной нагрузки пакета несущего протокола.
Туннелирование может применяться на сетевом (L3) и на прикладном (L7) уровнях. Комбинация туннелирования и шифрования позволяет реализовать закрытые виртуальные частные сети (VPN).
Туннелирование обычно применяется для согласования транспортных протоколов либо для создания защищённого соединения между узлами сети.
Результатом туннелирования является туннель.
OpenVPN
OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналoв типа точка-точка или сервер-клиенты между компьютерами.
Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек.
OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GP.
Установка OpenVPN
sudo yum -y update
sudo yum -y install epel-release
sudo yum -y update
sudo yum -y install wget openvpn easy-rsa
После установки перейдите в директорию с конфигами
cd /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/
ls -la
total 84 drwxr-xr-x. 2 root root 4096 May 23 17:41 . drwxr-xr-x. 5 root root 77 May 23 17:41 .. -rw-r—r—. 1 root root 3585 Mar 17 13:53 client.conf -rw-r—r—. 1 root root 3562 Mar 17 13:53 firewall.sh -rw-r—r—. 1 root root 62 Mar 17 13:53 home.up -rw-r—r—. 1 root root 672 Mar 17 13:53 loopback-client -rw-r—r—. 1 root root 675 Mar 17 13:53 loopback-server -rw-r—r—. 1 root root 62 Mar 17 13:53 office.up -rw-r—r—. 1 root root 63 Mar 17 13:53 openvpn-shutdown.sh -rw-r—r—. 1 root root 776 Mar 17 13:53 openvpn-startup.sh -rw-r—r—. 1 root root 131 Mar 17 13:53 README -rw-r—r—. 1 root root 820 Mar 17 20:57 roadwarrior-client.conf -rw-r—r—. 1 root root 1498 Mar 17 20:57 roadwarrior-server.conf -rw-r—r—. 1 root root 10784 Mar 17 13:53 server.conf -rw-r—r—. 1 root root 1778 Mar 17 13:53 static-home.conf -rw-r—r—. 1 root root 1724 Mar 17 13:53 static-office.conf -rw-r—r—. 1 root root 1937 Mar 17 13:53 tls-home.conf -rw-r—r—. 1 root root 1948 Mar 17 13:53 tls-office.conf -rw-r—r—. 1 root root 199 Mar 17 13:53 xinetd-client-config -rw-r—r—. 1 root root 989 Mar 17 13:53 xinetd-server-config
sudo cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf /etc/openvpn/
ls -la /etc/openvpn/
total 24 drwxr-xr-x. 4 root root 53 May 23 17:46 . drwxr-xr-x. 150 root root 8192 May 23 17:41 .. drwxr-x—. 2 root openvpn 6 Mar 17 20:57 client drwxr-x—. 2 root openvpn 6 Mar 17 20:57 server -rw-r—r—. 1 root root 10784 May 23 17:46 server.conf
easy-rsa
sudo mkdir /etc/openvpn/easy-rsa
sudo cp -rf /usr/share/easy-rsa/3.0.8/* /etc/openvpn/easy-rsa/
ls -la /etc/openvpn/easy-rsa/
total 84 drwxr-xr-x. 3 root root 66 May 23 17:52 . drwxr-xr-x. 5 root root 69 May 23 17:50 .. -rwxr-xr-x. 1 root root 76946 May 23 17:52 easyrsa -rw-r—r—. 1 root root 4616 May 23 17:52 openssl-easyrsa.cnf drwxr-xr-x. 2 root root 122 May 23 17:52 x509-types
Можно скачать самую свежую версию EasyRSA с их GitHub репозитория
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.0/EasyRSA-3.1.0.tgz
tar zxvf EasyRSA-3.1.0.tgz
ls -la EasyRSA-3.1.0
total 184 drwxrwxr-x. 4 andrei andrei 214 May 19 04:53 . drwx——. 22 andrei andrei 4096 May 23 18:08 .. -rw-rw-r—. 1 andrei andrei 6717 May 19 04:53 ChangeLog -rw-rw-r—. 1 andrei andrei 1305 May 19 04:53 COPYING.md drwxrwxr-x. 2 andrei andrei 131 May 23 18:13 doc -rwxrwxr-x. 1 andrei andrei 118106 May 19 04:53 easyrsa -rw-rw-r—. 1 andrei andrei 18092 May 19 04:53 gpl-2.0.txt -rw-rw-r—. 1 andrei andrei 1036 May 19 04:53 mktemp.txt -rw-rw-r—. 1 andrei andrei 4935 May 19 04:53 openssl-easyrsa.cnf -rw-rw-r—. 1 andrei andrei 2269 May 19 04:53 README.md -rw-rw-r—. 1 andrei andrei 3335 May 19 04:53 README.quickstart.md -rw-rw-r—. 1 andrei andrei 9425 May 19 04:53 vars.example drwxrwxr-x. 2 andrei andrei 122 May 23 18:13 x509-types
sudo su
mv EasyRSA-3.1.0 /etc/openvpn/easy-rsa
/Downloads/EasyRSA-3.1.0 /etc/openvpn/easy-rsa
sudo cd /etc/openvpn/easy-rsa
sudo cp vars.example vars
sudo vi vars
set_var EASYRSA_REQ_COUNTRY «FI» set_var EASYRSA_REQ_PROVINCE «Uusimaa» set_var EASYRSA_REQ_CITY «Helsinki» set_var EASYRSA_REQ_ORG «Copyleft Certificate Co» set_var EASYRSA_REQ_EMAIL «info@urn.su» set_var EASYRSA_REQ_OU «www.andreyolegovich.ru»
Настройка OpenVPN
Если вы ещё не скопировали файл с настройками — выполните
sudo su
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf /etc/openvpn
Если не можете найти файл server.conf выполните
find / -name server.conf
find / -name server.conf | grep openvpn
find: ‘/run/user/1000/gvfs’: Permission denied /usr/share/doc/ openvpn -2.4.12/sample/sample-config-files/server.conf
Проверить порт по умолчанию можно выполнив
cat /etc/openvpn/server.conf | grep port | grep -v ^#
Открыть этот порт можно командой (Centos/Rocky Linux)
sudo firewall-cmd —zone=public —add-port=1194/tcp —permanent
sudo firewall-cmd —reload
Проверить протокол по умолчанию (рекомендуется оставить udp) но иногда нужен tcp
cat /etc/openvpn/server.conf | grep proto | grep -v ^;
Переключить протоколы можно командой
sudo sed -i ‘ s @ ^;proto tcp @ proto tcp @ ; s @ ^proto udp @ ;proto udp @ ‘ /etc/openvpn/server.conf
Обратите внимание на следующие строки
cat /etc/openvpn/server.conf | grep ‘ user|group ‘ | grep -v ^#
;user nobody
;group nobody
Рекомендуется раскомментировать их для повышения безопасности. В какой-то старой версии я видел не group nobody а group nogroup.
sudo sed -i ‘ s @ ^;user nobody @ user nobody @ ; s @ ^;group nobody @ group nobody @ ‘ /etc/openvpn/server.conf
Также можно раскомментировать лог, а именно следующие строки
cat /etc/openvpn/server.conf | grep openvpn.log | grep -v ^#
;log openvpn.log
;log-append openvpn.log
sudo sed -i ‘ s @ ^;log @ log @ ; s @ ^;log-append @ log-append @ ‘ /etc/openvpn/server.conf
Настройки для ключей и сертификатов
cat /etc/openvpn/server.conf | grep ‘ key|crt|dh ‘ | grep -v ^#
ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh2048.pem ;push «redirect-gateway def1 bypass-dhcp» ;push «dhcp-option DNS 208.67.222.222» ;push «dhcp-option DNS 208.67.220.220» tls-auth ta.key 0 # This file is secret persist-key
В конец файла с настройками нужно добавить
# Will work only with tcp port-share localhost 80
sudo vi /etc/sysctl.conf
Сгенерируйте новый tlsauth ключ
;tls-auth ta.key 0 # This file is secret tls-crypt myvpn.tlsauth
openvpn —genkey —secret /etc/openvpn/myvpn.tlsauth
Проверить состояние сервиса
systemctl status openvpn@server.service
● openvpn@server.service — OpenVPN Robust And Highly Flexible Tunneling Application On server Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; enabled; vendor preset: disabled) Active: active (running) since Wed 2022-05-25 09:48:14 EEST; 22min ago Main PID: 1236 (openvpn) Status: «Initialization Sequence Completed» CGroup: /system.slice/system-openvpn.slice/openvpn@server.service └─1236 /usr/sbin/openvpn —cd /etc/openvpn/ —config server.conf May 25 09:48:13 host113.andrei.com systemd[1]: Starting OpenVPN Robust And Highly Flexible Tunneling Application On server. May 25 09:48:14 host113.andrei.com systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Ошибки
systemctl status openvpn@server.service
● openvpn@server.service — OpenVPN Robust And Highly Flexible Tunneling Application On server Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; disabled; vendor preset: disabled) Active: failed (Result: exit-code) since Tue 2022-05-24 16:06:40 EEST; 14s ago Process: 19014 ExecStart=/usr/sbin/openvpn —cd /etc/openvpn/ —config %i.conf (code=exited, status=1/FAILURE) Main PID: 19014 (code=exited, status=1/FAILURE) May 24 16:06:40 host113.andrei.com systemd[1]: Starting OpenVPN Robust And Highly Flexible Tunneling Application On server. May 24 16:06:40 host113.andrei.com systemd[1]: openvpn@server.service: main process exited, code=exited, status=1/FAILURE May 24 16:06:40 host113.andrei.com systemd[1]: Failed to start OpenVPN Robust And Highly Flexible Tunneling Application On server. May 24 16:06:40 host113.andrei.com systemd[1]: Unit openvpn@server.service entered failed state. May 24 16:06:40 host113.andrei.com systemd[1]: openvpn@server.service failed.
sudo tail -n 200 /etc/openvpn/openvpn.log
Options error: —explicit-exit-notify can only be used with —proto udp Use —help for more information
sudo tail -f /home/andrei/openvpn.log
Options error: —dh fails with ‘dh2048.pem’: No such file or directory (errno=2) Options error: —ca fails with ‘ca.crt’: No such file or directory (errno=2) Options error: —cert fails with ‘server.crt’: No such file or directory (errno=2) Tue May 24 16:13:40 2022 WARNING: cannot stat file ‘server.key’: No such file or directory (errno=2) Options error: —key fails with ‘server.key’: No such file or directory (errno=2) Tue May 24 16:13:40 2022 WARNING: cannot stat file ‘ta.key’: No such file or directory (errno=2) Options error: —tls-auth fails with ‘ta.key’: No such file or directory (errno=2) Options error: Please correct these errors. Use —help for more information.
Например, в easy-rsa 2 нужно было выполнять файл vars из директории /etc/openvpn/easy-rsa/
В easy-rsa 3 при попытке выполнить файл вы получите ошибку
You appear to be sourcing an Easy-RSA *vars* file. This is no longer necessary and is disallowed. See the section called *How to use this file* near the top comments for more details.
# A little housekeeping: DO NOT EDIT THIS SECTION # # Easy-RSA 3.x does not source into the environment directly. # Complain if a user tries to do this: if [ -z «$EASYRSA_CALLER» ]; then echo «You appear to be sourcing an Easy-RSA *vars* file.» >&2 echo «This is no longer necessary and is disallowed. See the section called» >&2 echo «*How to use this file* near the top comments for more details.» >&2 return 1 fi
WARNING: you are using user/group/chroot/setcon without persist-tun — this may cause restarts to fail
Можно избавится отключив user nobody group nobody или добавив в client.opvn
WARNING: you are using user/group/chroot/setcon without persist-key — this may cause restarts to fail
Можно избавится отключив user nobody group nobody или добавив в client.opvn
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed TLS_ERROR: BIO read tls_read_plaintext error TLS Error: TLS object -> incoming plaintext read error TLS Error: TLS handshake failed SIGUSR1[soft,tls-error] received, process restarting TLS Error: Unroutable control packet received from [AF_INET]192.168.56.113:1194 (si=3 op=P_CONTROL_V1)
sudo yum -y update sudo yum -y install epel-release sudo yum -y update sudo yum -y install openvpn easy-rsa iptables-services
Источник