Options error you must define dh file

OpenVPN – это набор open source программ, который заслуженно является одним из самых популярных и легких решений для реализации защищенной VPN сети. OpenVPN позволяет объединить в единую сеть сервер и клиентов (даже находящиеся за NAT или файерволами), или объединить сети удаленных офисов. Серверную часть OpenVPN можно развернуть практически на всех доступных операционных системах (пример настройки OpenVPN на Linux). Вы можете установить OpenVPN сервер даже на обычный компьютер с десктопной редакцией Windows 10.

В этой статье, мы покажем, как установить OpenVPN сервер на компьютер с Windows 10, настроить OpenVPN клиент на другом Windows хосте и установить защищенное VPN подключение.

Установка службы OpenVPN сервера в Windows

Скачайте MSI установщик OpenVPN для вашей версии Windows с официального сайта (https://openvpn.net/community-downloads/). В нашем случае это OpenVPN-2.5.5-I602-amd64.msi (https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.5-I602-amd64.msi).

Запустите установку.

Если вы планируете, OpenVPN сервер работал в автоматическом режиме, можно не устанавливать OpenVPN GUI. Обязательно установите OpenVPN Services.

Начиная с версии OpenVPN 2.5, поддерживается драйвер WinTun от разработчиков WireGuard. Считается, что этот драйвер работает быстрее чем классический OpenVPN драйвер TAP. Установите драйвер Wintun, откажитесь от установки TAP-Windows6.

Установите OpenSSL утилиту EasyRSA Certificate Management Scripts.

Запустите установку.

По умолчанию OpenVPN устаналивается в каталог C:Program FilesOpenVPN.

После окончания установки появится новый сетевой адаптер типа Wintun Userspace Tunnel. Этот адаптер отключен, если служба OpenVPN не запущена.

Создаем ключи шифрования и сертификаты для OpenVPN

OpenVPN основан на шифровании OpenSSL. Это означает, что для обмена трафиком между клиентом и серверов VPN нужно сгенерировать ключи и сертификаты с использованием RSA3.

Откройте командную строку и перейдите в каталог easy-rsa:

cd C:Program FilesOpenVPNeasy-rsa

Создайте копию файла:

copy vars.example vars

Откройте файл vars с помощью любого текстового редактора. Проверьте пути к рабочим директориям.

Обязательно поправьте переменную EASYRSA_TEMP_DIR следующим образом:

set_var EASYRSA_TEMP_DIR "$EASYRSA_PKI/temp"

Можете заполнить поля для сертификатов (опционально)

set_var EASYRSA_REQ_COUNTRY "RU"
set_var EASYRSA_REQ_PROVINCE "MSK"
set_var EASYRSA_REQ_CITY "MSK"
set_var EASYRSA_REQ_ORG "IT-Company"
set_var EASYRSA_REQ_EMAIL " [email protected] "
set_var EASYRSA_REQ_OU " IT department "

Срок действия сертификатов задается с помощью:

#set_var EASYRSA_CA_EXPIRE 3650
#set_var EASYRSA_CERT_EXPIRE 825

Сохраните файл и выполните команду:

EasyRSA-Start.bat

Следующие команды выполняются в среде EasyRSA Shell:

Инициализация PKI:

./easyrsa init-pki

Должна появится надпись:

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: C:/Program Files/OpenVPN/easy-rsa/pki

Теперь нужно сгенерировать корневой CA:

./easyrsa build-ca

Задайте дважды пароль для CA:

CA creation complete and you may now import and sign cert requests.

Данная команда сформировала:

• Корневой сертификат центра сертификации: «C:Program FilesOpenVPNeasy-rsapkica.crt»
• Ключ центра сертификации «C:Program FilesOpenVPNeasy-rsapkiprivateca.key»

Теперь нужно сгенерировать запрос сертификата и ключ для вашего сервера OpenVPN:

./easyrsa gen-req server nopass

Утилита сгенерирует два файла:

req: C:/Program Files/OpenVPN/easy-rsa/pki/reqs/server.req
key: C:/Program Files/OpenVPN/easy-rsa/pki/private/server.key

Подпишем запрос на выпуск сертификата сервера с помощью нашего CA:

./easyrsa sign-req server server

Подтвердите правильность данных, набрав yes.

Затем введите пароль CA от корневого CA.

В каталоге issued появится сертификат сервера («C:Program FilesOpenVPNeasy-rsapkiissuedserver.crt»)

Теперь можно создать ключи Диффи-Хеллмана (займет длительное время):
./easyrsa gen-dh

Для дополнительной защиты VPN сервера желательно включить tls-auth. Данная технология позволяет использовать подписи HMAC к handshake-пакетам SSL/TLS, инициируя дополнительную проверку целостности. Пакеты без такой подписи будут отбрасываться VPN сервером. Это защитит вас от сканирования порта VPN сервера, DoS атак, переполнения буфера SSL/TLS.

Сгенерируйте ключ tls-auth:

cd C:Program FilesOpenVPNbin
openvpn --genkey secret ta.key

Должен появиться файл «C:Program FilesOpenVPNbinta.key». Переместите его в каталог C:Program FilesOpenVPNeasy-rsapki

Теперь можно сформировать ключи для клиентов OpenVPN. Для каждого клиента, который будет подключаться к вашему серверу нужно создать собственные ключи.

Есть несколько способов генерации ключей и передачи их клиентам. В следующем примере, мы создадим на сервере ключ клиента и защитим его паролем:

./easyrsa gen-req kbuldogov
./easyrsa sign-req client kbuldogov

Данный ключ («C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov.key») нужно передать клиенту и сообщить пароль. Клиент может снять защиту паролем для ключа:

openssl rsa -in "C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov.key"-out "C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov_use.key"

Если вы хотите сгенерировать ключ, не защищенный паролем, нужно выполнить команду:

./easyrsa gen-req имяклиента nopass

На сервере с OpenVPN вы можете создать неограниченное количество ключей и сертификатов для пользователей. Аналогичным образом сформируйте ключи и сертфикаты для других клиентов.

Вы можете отохвать скомпрометированные сертификаты клиентов:
cd C:Program FilesOpenVPNeasy-rsa
EasyRSA-Start.bat
./easyrsa revoke kbuldogov

Итак, мы сгенерировали набор ключей и сертификатов для OpenVPN сервера. Теперь можно настроить и запустить службу OpenVPN.

Конфигурационный файл OpenVPN сервера в Windows

Скопируйте типовой конфигурационный файл OpenVPN сервера:

copy "C:Program FilesOpenVPNsample-configserver.ovpn" "C:Program FilesOpenVPNconfig-autoserver.ovpn"

Откройте файл server.ovpn в любом текстовом редакторе и внесите свои настройки. Я использую следующий конфиг для OpenVPN:

# Указываем порт, протокол и устройство
port 1194
proto udp
dev tun
# Указываем пути к сертификатам сервера
ca "C:\Program Files\OpenVPN\easy-rsa\pki\ca.crt"
cert "C:\Program Files\OpenVPN\easy-rsa\pki\issued\server.crt"
key "C:\Program Files\OpenVPN\easy-rsa\pki\private\server.key"
dh "C:\Program Files\OpenVPN\easy-rsa\pki\dh.pem"
# Указываем настройки IP сети, адреса из которой будет будут получать VPN клиенты
server 10.24.1.0 255.255.255.0
#если нужно разрешить клиентам подключаться под одним ключом, нужвно включить опцию duplicate-cn (не рекомендуется)
#duplicate-cn
# TLS защита
tls-auth "C:\Program Files\OpenVPN\easy-rsa\pki\ta.key" 0
cipher AES-256-GCM
# Другая параметры
keepalive 20 60
persist-key
persist-tun
status "C:\Program Files\OpenVPN\log\status.log"
log "C:\Program Files\OpenVPN\log\openvpn.log"
verb 3
mute 20
windows-driver wintun

Сохраните файл.

OpenVPN позволяет использовать как TCP, так и UDP для подключения. В этом примере я запустил OpenVPN на 1194 UDP. Рекомендуется использовать протокол UDP, это оптимально как с точки зрения производительности, так и безопасности.

Не забудьте открыть на файерволе порты для указанного вами порта OpenVPN на клиенте и на сервере. Можно открыть порты в Windows Defender с помощью PowerShell.
Правило для сервера:

New-NetFirewallRule -DisplayName "AllowOpenVPN-In" -Direction Inbound -Protocol UDP –LocalPort 1194 -Action Allow

Правило для клиента:

New-NetFirewallRule -DisplayName "AllowOpenVPN-Out" -Direction Outbound -Protocol UDP –LocalPort 1194 -Action Allow

Теперь нужно запустить службу OpenVPN и изменить тип ее запуска на автоматический. Воспользуйтесь таким командами PowerShell, чтобы включить службу:

Set-Service OpenVPNService –startuptype automatic –passthru
Get-Service OpenVPNService| Start-Service

Откройте панель управления, и убедитесь, что виртуальный сетевой адаптер OpenVPN Wintun теперь активен. Если нет, смотрите лог «C:Program FilesOpenVPNlogserver.log»

Options error: In C:Program FilesOpenVPNconfig-autoserver.ovpn:1: Maximum option line length (256) exceeded, line starts with..

Данный конфиг позволит удаленным клиентам получить доступ только к серверу, но другие компьютеры и сервисы в локальной сети сервера для них недоступны. Чтобы разрешить клиентам OpenVPN получить доступ к внутренней сети нужно:

Включить опцию IPEnableRouter в реестре (включает IP маршрутизацию в Windows, в том числе включает маршрутизацию меду сетями Hyper-V): reg add «HKLMSYSTEMCurrentControlSetServicesTcpipParameters» /v IPEnableRouter /t REG_DWORD /d 1 /f

Добавьте в конфгурационный файл сервера OpenVPN маршруты до внутренней IP сети:

push "route 10.24.1.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"

Если нужно, назначьте клиенту адреса DNS серверов:

push "dhcp-option DNS 192.168.100.11"
push "dhcp-option DNS 192.168.100.12"

Если нужно завернуть все запросы клиента (в том числе Интернет трафик) на ваш OpenVPN сервер, добавьте опцию:

push "redirect-gateway def1"

Настройка OpenVPN клиента в Windows

Создайте на сервере шаблонный конфигурационный файла для клиента VPN (на базе iшаблона client.ovpn) со следующими параметрами (имя файла kbuldovov.ovpn)

client
dev tun
proto udp
remote your_vpn_server_address 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert kbuldogov.crt
key kbuldogov.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
connect-retry-max 25
verb 3

В директиве remote указывается публичный IP адрес или DNS имя вашего сервера OpenVPN.

Скачайте и установите клиент OpenVPN Connect для Windows (https://openvpn.net/downloads/openvpn-connect-v3-windows.msi).

Теперь на компьютер с клиентом OpenVPN нужно с сервера скопировать файлы:

• ca.crt
• kbuldogov.crt
• kbuldogov.key
• dh.pem
• ta.key
• kbuldogov.ovpn

Теперь импортируйте файл с профилем *.ovpn и попробуйте подключиться к вашему VPN серверу.

Если все настроено правильно, появится такая картинка.

Проверьте теперь лог OpenVPN на клиенте «C:Program FilesOpenVPN Connectagent.log»

Mon Dec 27 08:09:30 2021 proxy_auto_config_url
Mon Dec 27 08:09:31 2021 TUN SETUP
TAP ADAPTERS:
guid='{25EE4A55-BE90-45A0-88A1-8FA8FEF24C42}' index=22 name='Local Area Connection'
Open TAP device "Local Area Connection" PATH="\.Global{25EE4A55-BE90-45A0-88A1-8FA8FEF24C42}.tap" SUCCEEDED
TAP-Windows Driver Version 9.24
ActionDeleteAllRoutesOnInterface iface_index=22
netsh interface ip set interface 22 metric=1
Ok.
netsh interface ip set address 22 static 10.24.1.6 255.255.255.252 gateway=10.24.1.5 store=active
IPHelper: add route 10.24.1.1/32 22 10.24.1.5 metric=-1

Клиент успешно подключится к OpenVPN серверу и получил IP адрес 10.24.1.6.

Проверьте теперь лог на сервере («C:Program FilesOpenVPNlogopenvpn.log»). Здесь также видно, что клиент с сертификатом kbuldogov успешно подключится к вашему серверу.

2021-12-27 08:09:35 192.168.13.202:55648 [kbuldogov] Peer Connection Initiated with [AF_INET6]::ffff:192.168.13.202:55648
2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI_sva: pool returned IPv4=10.24.1.6, IPv6=(Not enabled)
2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI: Learn: 10.24.1.6 -> kbuldogov/192.168.13.202:55648
2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI: primary virtual IP for kbuldogov/192.168.13.202:55648: 10.24.1.6

Ошибки VPN

Иногда случаются проблемы с VPN подключением или VPN не работает. На данной странице вы можете найти описание возникающей ошибки впн и самостоятельно исправить ее.

Вы везунчик!

Поздравляем! Вы нашли скрытый промо-код со скидкой 75% на покупку анонимного VPN без логов.
Промо-код действует только 1 час.

Ошибки OpenVPN

Если вы не знаете как узнать ошибку, возникшую в ходе подключения, нажмите на следующую ссылку:

Ниже представлен список возможных ошибок и методы их устранения. Нажмите на ошибку, чтобы узнать как ее устранить. Названия ошибок соответствуют записям в окне лога.

Как узнать какая OpenVPN ошибка возникла?

Программа OpenVPN имеет лог подключения. При подключении к OpenVPN серверу программа записывает данные подключения. Эта информация никуда не передается и остается на вашем компьютере, чтобы вы могли понять из-за чего возникла ошибка впн. Чтобы вызвать окно лога, нажмите дважды левой кнопкой мыши на иконку OpenVPN в системном трее.

Когда соединение прошло успешно, и вы подключены к VPN серверу, то окно лога должно выглядеть так:

Не могу выбрать «Connect» при нажатии на иконку в системном трее

В списке есть только «Proxy Settings», «About» и «Exit», но нет пункта «Connect».

Это означает, что вы не скачали и/или не скопировали конфигурационный файл «client.ovpn» в «C:/Program Files/OpenVPN/config». Откройте еще раз Инструкцию по настройке OpenVPN соединения для вашей ОС и проверьте все шаги установки и настройки.

Connect to IP:Port failed, will try again in 5 seconds; No Route to Host

Данная ошибка означает, что у вас нет подключения к Интернету, либо его блокирует ваш Firewall или Антивирус.

Проверьте активно ли ваше Интернет подключение, отключите Firewall, Антивирус и подключитесь еще раз.

Cannot load certificate file client.crt

Данная ошибка связана с отсутствием сертификационных файлов в папке «C:Program FilesOpenVPNconfig».

В процессе установки было необходимо скачать архив с сертификатами и распаковать его в папку с программой. Откройте еще раз Инструкцию по настройке OpenVPN соединения для вашей ОС и проверьте все шаги установки и настройки.

All TAP-Win32 adapters on this system are currently in use

Эта впн ошибка связана с некорректной работой Windows и программы OpenVPN. Также эта OpenVPN ошибка может возникнуть вследствие отключения Интернета без отключения сначала OpenVPN соединения. Всегда отключайте сначала OpenVPN соединение и только затем Интернет.

Для устранения ошибки, зайдите в «Пуск -> Сетевые подключения». Найдите «Подключение по локальной сети. TAP-Win32 Adapter» и правой кнопкой мышки щелкните на ярлыке. Выберите «Отключить».

Затем, таким же образом, «Включите» данное подключение. После выполнения данных действий проблемы с VPN подключением должны исчезнуть.

ERROR: Windows route add command failed: returned error code 1

Данная ошибка связана с ограничением прав в Windows Vista, Seven.

Для устранения ошибки, необходимо выйти из OpenVPN GUI. Правой кнопкой мышки нажать на иконку OpenVPN GUI на рабочем столе и выбрать пункт меню «Свойства»

На вкладке «Совместимость» поставьте галочку «Выполнять эту программу от имени администратора».

Теперь запустите OpenVPN GUI еще раз и подключитесь к VPN серверу.

Initialization Sequence Completed With Errors

Данная ошибка связана с неправильной работой службы DHCP из-за антивирусов или фаерволов.

Ошибка наблюдалась постоянно у фаервола Outpost Firewall версии 2009 и ранее, наблюдается также у антивируса Касперского. Ниже представлено решение для антивируса Касперского. Сам алгоритм ничем не отличается от решения проблемы для других антивирусов и фаерволов.

Для устранения ошибки, необходимо зайти в «Пуск -> Панель Управления -> Сетевые подключения» и зайти в «Свойства» виртуального адаптера «TAP-Win 32 Adapter». На вкладке «Общие» в списке отключить Kaspersky Anti-Virus NDIS Filter и затем нажать «ОК».

Теперь подключитесь к VPN и подключение должно пройти успешно.

Источник

Установка и настройка OpenVPN сервера под Windows

OpenVPN – это набор open source программ, который заслуженно является одним из самых популярных и легких решений для реализации защищенной VPN сети. OpenVPN позволяет объединить в единую сеть сервер и клиентов (даже находящиеся за NAT или файерволами), или объединить сети удаленных офисов. Серверную часть OpenVPN можно развернуть практически на всех доступных операционных системах (пример настройки OpenVPN на Linux). Вы можете установить OpenVPN сервер даже на обычный компьютер с десктопной редакцией Windows 10.

В этой статье, мы покажем, как установить OpenVPN сервер на компьютер с Windows 10, настроить OpenVPN клиент на другом Windows хосте и установить защищенное VPN подключение.

Установка службы OpenVPN сервера в Windows

Скачайте MSI установщик OpenVPN для вашей версии Windows с официального сайта (https://openvpn.net/community-downloads/). В нашем случае это OpenVPN-2.5.5-I602-amd64.msi (https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.5-I602-amd64.msi).

Если вы планируете, OpenVPN сервер работал в автоматическом режиме, можно не устанавливать OpenVPN GUI. Обязательно установите OpenVPN Services.

Начиная с версии OpenVPN 2.5, поддерживается драйвер WinTun от разработчиков WireGuard. Считается, что этот драйвер работает быстрее чем классический OpenVPN драйвер TAP. Установите драйвер Wintun, откажитесь от установки TAP-Windows6.

Установите OpenSSL утилиту EasyRSA Certificate Management Scripts.

После окончания установки появится новый сетевой адаптер типа Wintun Userspace Tunnel. Этот адаптер отключен, если служба OpenVPN не запущена.

Создаем ключи шифрования и сертификаты для OpenVPN

OpenVPN основан на шифровании OpenSSL. Это означает, что для обмена трафиком между клиентом и серверов VPN нужно сгенерировать ключи и сертификаты с использованием RSA3.

Откройте командную строку и перейдите в каталог easy-rsa:

cd C:Program FilesOpenVPNeasy-rsa

Создайте копию файла:

copy vars.example vars

Откройте файл vars с помощью любого текстового редактора. Проверьте пути к рабочим директориям.

Обязательно поправьте переменную EASYRSA_TEMP_DIR следующим образом:

Можете заполнить поля для сертификатов (опционально)

Срок действия сертификатов задается с помощью:

Сохраните файл и выполните команду:

Следующие команды выполняются в среде EasyRSA Shell:

Должна появится надпись:

Теперь нужно сгенерировать корневой CA:

Задайте дважды пароль для CA:

Данная команда сформировала:

• Корневой сертификат центра сертификации: «C:Program FilesOpenVPNeasy-rsapkica.crt»
• Ключ центра сертификации «C:Program FilesOpenVPNeasy-rsapkiprivateca.key»

Теперь нужно сгенерировать запрос сертификата и ключ для вашего сервера OpenVPN:

./easyrsa gen-req server nopass

Утилита сгенерирует два файла:

Подпишем запрос на выпуск сертификата сервера с помощью нашего CA:

./easyrsa sign-req server server

Подтвердите правильность данных, набрав yes.

Затем введите пароль CA от корневого CA.

В каталоге issued появится сертификат сервера («C:Program FilesOpenVPNeasy-rsapkiissuedserver.crt»)

Теперь можно создать ключи Диффи-Хеллмана (займет длительное время):
./easyrsa gen-dh

Для дополнительной защиты VPN сервера желательно включить tls-auth. Данная технология позволяет использовать подписи HMAC к handshake-пакетам SSL/TLS, инициируя дополнительную проверку целостности. Пакеты без такой подписи будут отбрасываться VPN сервером. Это защитит вас от сканирования порта VPN сервера, DoS атак, переполнения буфера SSL/TLS.

Сгенерируйте ключ tls-auth:

cd C:Program FilesOpenVPNbin
openvpn —genkey secret ta.key

Должен появиться файл «C:Program FilesOpenVPNbinta.key». Переместите его в каталог C:Program FilesOpenVPNeasy-rsapki

Теперь можно сформировать ключи для клиентов OpenVPN. Для каждого клиента, который будет подключаться к вашему серверу нужно создать собственные ключи.

Есть несколько способов генерации ключей и передачи их клиентам. В следующем примере, мы создадим на сервере ключ клиента и защитим его паролем:

./easyrsa gen-req kbuldogov
./easyrsa sign-req client kbuldogov

Данный ключ («C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov.key») нужно передать клиенту и сообщить пароль. Клиент может снять защиту паролем для ключа:

openssl rsa -in «C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov.key»-out «C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov_use.key»

Если вы хотите сгенерировать ключ, не защищенный паролем, нужно выполнить команду:

./easyrsa gen-req имяклиента nopass

На сервере с OpenVPN вы можете создать неограниченное количество ключей и сертификатов для пользователей. Аналогичным образом сформируйте ключи и сертфикаты для других клиентов.

Вы можете отохвать скомпрометированные сертификаты клиентов:
cd C:Program FilesOpenVPNeasy-rsa
EasyRSA-Start.bat
./easyrsa revoke kbuldogov

Итак, мы сгенерировали набор ключей и сертификатов для OpenVPN сервера. Теперь можно настроить и запустить службу OpenVPN.

Конфигурационный файл OpenVPN сервера в Windows

Скопируйте типовой конфигурационный файл OpenVPN сервера:

copy «C:Program FilesOpenVPNsample-configserver.ovpn» «C:Program FilesOpenVPNconfig-autoserver.ovpn»

Откройте файл server.ovpn в любом текстовом редакторе и внесите свои настройки. Я использую следующий конфиг для OpenVPN:

Не забудьте открыть на файерволе порты для указанного вами порта OpenVPN на клиенте и на сервере. Можно открыть порты в Windows Defender с помощью PowerShell.
Правило для сервера:

New-NetFirewallRule -DisplayName «AllowOpenVPN-In» -Direction Inbound -Protocol UDP –LocalPort 1194 -Action Allow

Правило для клиента:

New-NetFirewallRule -DisplayName «AllowOpenVPN-Out» -Direction Outbound -Protocol UDP –LocalPort 1194 -Action Allow

Теперь нужно запустить службу OpenVPN и изменить тип ее запуска на автоматический. Воспользуйтесь таким командами PowerShell, чтобы включить службу:

Set-Service OpenVPNService –startuptype automatic –passthru
Get-Service OpenVPNService| Start-Service

Откройте панель управления, и убедитесь, что виртуальный сетевой адаптер OpenVPN Wintun теперь активен. Если нет, смотрите лог «C:Program FilesOpenVPNlogserver.log»

Смените в файле server.ovpn символы переноса строки на Windows CRLF (в notepad++ нужно выбрать Edit -> EOL Conversion -> Windows CR LF). Сохраните файл, перезапустите службу OpevVPNService.

Данный конфиг позволит удаленным клиентам получить доступ только к серверу, но другие компьютеры и сервисы в локальной сети сервера для них недоступны. Чтобы разрешить клиентам OpenVPN получить доступ к внутренней сети нужно:

Включить опцию IPEnableRouter в реестре (включает IP маршрутизацию в Windows, в том числе включает маршрутизацию меду сетями Hyper-V): reg add «HKLMSYSTEMCurrentControlSetServicesTcpipParameters» /v IPEnableRouter /t REG_DWORD /d 1 /f

Добавьте в конфгурационный файл сервера OpenVPN маршруты до внутренней IP сети:

Если нужно, назначьте клиенту адреса DNS серверов:

Если нужно завернуть все запросы клиента (в том числе Интернет трафик) на ваш OpenVPN сервер, добавьте опцию:

Настройка OpenVPN клиента в Windows

Создайте на сервере шаблонный конфигурационный файла для клиента VPN (на базе iшаблона client.ovpn) со следующими параметрами (имя файла kbuldovov.ovpn)

Теперь на компьютер с клиентом OpenVPN нужно с сервера скопировать файлы:

Теперь импортируйте файл с профилем *.ovpn и попробуйте подключиться к вашему VPN серверу.

Если все настроено правильно, появится такая картинка.

Проверьте теперь лог OpenVPN на клиенте «C:Program FilesOpenVPN Connectagent.log»

Клиент успешно подключится к OpenVPN серверу и получил IP адрес 10.24.1.6.

Проверьте теперь лог на сервере («C:Program FilesOpenVPNlogopenvpn.log»). Здесь также видно, что клиент с сертификатом kbuldogov успешно подключится к вашему серверу.

Правило для клиента:

New-NetFirewallRule -DisplayName «AllowOpenVPN-Out» -Direction Inbound -Protocol UDP –LocalPort 1194 -Action Allow

Вот спасибо.
Так-то, конечно умею, но step-by-step инструкция, да еще и «за так».
Спасибо.

Интересная статья, спасибо.
Жаль конечно, что проверить ни где не могу.
Так как нет хост-сервера на винде за бугром для данной проверки.
А за них как известно нужно платить…
Было бы здорово, если бы поделились данными серверами или хотя бы подсказали как их найти,
желательно бесплатные 🙂

Поставил неск лет назад OpenVPN.
Настроил. Забыл.
Дай думаю обновлю.
Обновил.
Всё упало и перестало работать.
Вернул старую версию.
Полез смотреть лог изменений. А там миллион изменений: какие-то флагиопции отменили, много всего.
Слишком пришлось бы переписывать конфиг и снова тестировать конфигурацию. А нужно было сразу вернуть сервис в строй.

здорова приятель. я живу в регионе где многие сайты и приложения под запретом если не трудно по братски у тебя есть бесплатная версия или прокси для опен впн скинь на почту пожалуйста и заранее спасибо , всех благ))

добрый день!
аналогично)) сначала я генерировал серты через 2.4.3 версию, все работало, пока моб.телефоны не перестали подключаться. Вышло обновление SSL
ок, обновил до 2.4.8 версии, пока все работает, моб.клиенты в том числе.
Решил поковырять на досуге новую версию 2.5.5, в корне все изменилось, даже генерация сертификатов теперь совершенно другая процедура

Народ, подскажите плиз, небольшая проблема, по вашей инструкции настраивал OpenVPN, все здорово работает, спасибо Вам, но столкнулся с задачей отозвать сертификат, и как то не получается это сделать из мануалов в инете для windows, OpenVPN 2.5.4…если быть точным согласно инструкциям мне необходимо cd C:Program FilesOpenVPNeasy-rsa и там запусттить vars, но запуска не происходит.Вы не сталкивались?

Чтобы отозвать сертфикат мне пришлось добавить в файл vars строку:
set_var EASYRSA_OPENSSL «C:/Program Files/OpenVPN/bin/openssl.exe»

Для отзыва сертификата нужно запустить RSA-Start.bat и выполнить команду:
./easyrsa revoke ZavalenaElena
Появится запрос на подтверждение отзыва сертфиката, пишите yes. Затем указываете пароль от CA.
Появится предупреждение:
Revocation was successful. You must run gen-crl and upload a CRL to your
infrastructure in order to prevent the revoked cert from being accepted.

Выполните команду:
./easyrsa gen-crl
Будет создан файл:
An updated CRL has been created.
CRL file: C:/Program Files/OpenVPN/easy-rsa/pki/crl.pem
Нужно добавить его в конфиг файл:

crl-verify «C:\Program Files\OpenVPN\easy-rsa\pki\crl.pem»

В текстовом файле «C:Program FilesOpenVPNeasy-rsapkiindex.txt» будет список всех сертфикатов
Действующие сертификаты имеют статус V в начале строки, отозванные — R.

Выручайте.Все сделал по инструкции.Не запускается сервер, прилагаю log
2022-01-28 18:29:31 WARNING: —topology net30 support for server configs with IPv4 pools will be removed in a future release. Please migrate to —topology subnet as soon as possible.
2022-01-28 18:29:31 —pull-filter ignored for —mode server
2022-01-28 18:29:31 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
2022-01-28 18:29:31 Windows version 10.0 (Windows 10 or greater) 64bit
2022-01-28 18:29:31 library versions: OpenSSL 1.1.1l 24 Aug 2021, LZO 2.10
2022-01-28 18:29:31 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-01-28 18:29:31 Need hold release from management interface, waiting…
2022-01-28 18:29:31 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-01-28 18:29:31 MANAGEMENT: CMD ‘state on’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘log all on’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘echo all on’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘bytecount 5’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘hold off’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘hold release’
2022-01-28 18:29:31 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
2022-01-28 18:29:31 Note: cannot open C:Program FilesOpenVPNlogstatus.log for WRITE
2022-01-28 18:29:31 Diffie-Hellman initialized with 2048 bit key
2022-01-28 18:29:31 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-01-28 18:29:31 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-01-28 18:29:31 interactive service msg_channel=580
2022-01-28 18:29:31 open_tun
2022-01-28 18:29:31 Register ring buffers failed using service: Попытка выполнить операцию инициализации, которая уже проведена. [status=0x4df]
2022-01-28 18:29:31 Failed to register adapter ring buffers
2022-01-28 18:29:31 MANAGEMENT: Client disconnected
2022-01-28 18:29:31 All wintun adapters on this system are currently in use or disabled.
2022-01-28 18:29:31 Exiting due to fatal error

Службу запускаете от SYSTEM или обычного пользователя?
Сетевой адаптер Openvpn WinTun в системе появился?
Какая версия Windows?

Спасибо, нашел решение на англ форуме, не нужно запускать службу OpenVPN в автоматический режим. Нужно ставить вручную, и тогда все ОК!

Так же, у меня выходила ошибка при генерации CA.crt
«Easy-RSA error:

Missing or invalid OpenSSL
Expected to find openssl command at: openssl»

Помогло следующее:
в файле vars раскомментировал и поменял путь к строчке:
set_var EASYRSA_OPENSSL «C:/Program Files/OpenVPN/bin/openssl.exe»

Мне почему не помогло…

#set_var EASYRSA_OPENSSL «openssl»
#
# This sample is in Windows syntax — edit it for your path if not using PATH:
#set_var EASYRSA_OPENSSL «C:/Program Files/OpenVPN/bin/openssl.exe»

В конфиг файле vars указал такую переменную:
set_var EASYRSA_OPENSSL «C:/Program Files/OpenVPN/bin/openssl.exe»
Все заработало

Сработало только после прописывания PATH в переменных с путем до SSL

Друг, поясни пожалуйста, что за PATH и куда именно ты его поставил?

У пользователя перестал запускаться OpenVPN Connect.exe от слова совсем (версия openvpn-connect-3.3.4.2600). При щелчке ничего не происходит.В журналах Windows пусто, в log файлах пусто.
Прововал все — переустановку клиента, очистку реестра, перезагрузки, безопасный режим — ничего не помогало, пока не попробовал очистить папку %Temp%
Оставлю тут, может кому понадобится.

Приветствую . Уставил, папки easy-rsa в корне нету) Куда шагать?

В установщие включили галку «EasyRSA Certificate Management Scripts»?
Какая версия openvpn?

Enter New CA Key Passphrase:
Re-Enter New CA Key Passphrase:
Extra arguments given.
genrsa: Use -help for summary.

Failed create CA private key.

Зы : Не судите строго, оч хочу научиться…

Путь до директории easy-rsa должен быть без пробелов, к примеру директория
«C:Program FilesOpenVPNeasy-rsa» содержит пробелы(Program Files).
Скопируй директорию easy-rsa в другую директорию, что в пути до неё не было пробелов, например:
«C:MyFileseasy-rsa»

Как у всех работает если в пошаговой инструкции нет ни слова что неболжно быть пробелов в пути,прям подгорает,исправьте инструкцию два дня сижу не могук понять в чем проблема оказывается в дериктории не должно быть пробелов

Вот это добавляли в конфиг файл?
set_var EASYRSA_TEMP_DIR «$EASYRSA_PKI/temp»
С этой опцией ошибка «Extra arguments given» не появляется. И переносить каталоги не нужно.

Можете дать ссылку на видеоурок
Заранее спасибо

а где собственно взять kbuldogov.crt?

вот тоже не понял

Enter New CA Key Passphrase:
Re-Enter New CA Key Passphrase:
usage: genrsa [args] [numbits]
-des encrypt the generated key with DES in cbc mode
-des3 encrypt the generated key with DES in ede cbc mode (168 bit key)
-idea encrypt the generated key with IDEA in cbc mode
-aes128, -aes192, -aes256
encrypt PEM output with cbc aes
-out file output the key to ‘file
-passout arg output file pass phrase source
-f4 use F4 (0x10001) for the E value
-3 use 3 for the E value
-engine e use engine e, possibly a hardware device.
-rand file;file;…
load the file (or the files in the directory) into
the random number generator

Failed create CA private key

Я разворачиваю сервис на виртуальный машинах подключенных к интернету через CSR 1000v, между выходом на сторону провайдера и виртуальным маршрутизатором есть ещё пара домашних маршрутизаторов, нужна ли какая-либо дополнительная настройка маршрутизаторов для работоспособности такой сети? Проброс портов на виртуальном роутере для выхода в сеть уже произвёл.

Нужно чтобы по пути от интернет-маршрутизатора ваш openvpn порт не блочился вашими железками.

Wed Mar 09 13:44:01 2022 UDP link local: (not bound)
Wed Mar 09 13:44:01 2022 UDP link remote: [AF_INET]192.168.100.131:1194
Wed Mar 09 13:44:01 2022 MANAGEMENT: >STATE:1646811841,WAIT.
Wed Mar 09 13:45:01 2022 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar 09 13:45:01 2022 TLS Error: TLS handshake failed
Wed Mar 09 13:45:01 2022 SIGUSR1[soft,tls-error] received, process restarting
Wed Mar 09 13:45:01 2022 MANAGEMENT: >STATE:1646811901,RECONNECTING,tls-error.
Wed Mar 09 13:45:01 2022 Restart pause, 20 second(s)
Wed Mar 09 13:45:21 2022 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Wed Mar 09 13:45:21 2022 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Wed Mar 09 13:45:21 2022 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.100.131:1194
Wed Mar 09 13:45:21 2022 Socket Buffers: R=[245760->245760] S=[81920->81920]
Wed Mar 09 13:45:21 2022 UDP link local: (not bound)
Wed Mar 09 13:45:21 2022 UDP link remote: [AF_INET]192.168.100.131:1194
Wed Mar 09 13:45:21 2022 MANAGEMENT: >STATE:1646811921,WAIT.

не конектится клиент «состояние подключение…(желтый)»

Интересно, как решили проблему?

Мать моя женщина!
Почему так все сложно?

Проверил в локальной сети , все прекрасно работает как на стороне сервера так и клиента. (с не большими ошибками) .
По интернету все так же проблема, пробросил порты в модемах Хуавей HG8245H на обеих сторонах. Но результатов не дало, либо не правильно пробросил, либо провайдер или еще какие то подводные камни

А откуда появился kbuldogov.crt ?

./easyrsa gen-req имяклиента nopass

Создаётся файл kbuldogov.req – файл, хранящий запрос о сертификате, а также файл kbuldogov.key – хранящий клиентский ключ.

Следующим шагом будет создание и подпись клиентского сертификата. Для этого введите в консоль команду:

./easyrsa sign-req client client1

А если ещё точнее, то:
./easyrsa sign-req client

Так.
./easyrsa sign-req client kbuldogov

Всё сделал по инструкции, но клиент пробует подключиться (начинает крутиться рыжее колесо в тумблере), но по истечении примерно минуты говорит, что не удаётся установить связь с сервером в заданное время. В чём может быть проблема? Или хотя бы куда смотреть?

Возможно дело в том, что я неправильно прописываю адрес сервера. Туда надо писать IP машины (192.123.123.123) или внутренний IP, который выделяется для сервера (10.8.0.1)?

На сервере вроде всё в порядке: Wintun показывает, что подключился. В логе openVPN на сервере следующее:

OpenVPN 2.5.7 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 27 2022
2022-06-17 14:59:30 Windows version 10.0 (Windows 10 or greater) 64bit
2022-06-17 14:59:30 library versions: OpenSSL 1.1.1o 3 May 2022, LZO 2.10
2022-06-17 14:59:30 Diffie-Hellman initialized with 2048 bit key
2022-06-17 14:59:30 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-06-17 14:59:30 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-06-17 14:59:30 interactive service msg_channel=0
2022-06-17 14:59:30 open_tun
2022-06-17 14:59:30 wintun device [OpenVPN Wintun] opened
2022-06-17 14:59:30 NETSH: C:Windowssystem32netsh.exe interface ip set address 12 static 10.8.0.1 255.255.255.252
2022-06-17 14:59:30 NETSH: C:Windowssystem32netsh.exe interface ip delete dns 12 all
2022-06-17 14:59:30 NETSH: C:Windowssystem32netsh.exe interface ip delete wins 12 all
2022-06-17 14:59:30 IPv4 MTU set to 1500 on interface 12 using SetIpInterfaceEntry()
2022-06-17 14:59:30 C:Windowssystem32route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
2022-06-17 14:59:30 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=5 and dwForwardType=4
2022-06-17 14:59:30 Route addition via IPAPI succeeded [adaptive]
2022-06-17 14:59:30 Could not determine IPv4/IPv6 protocol. Using AF_INET6
2022-06-17 14:59:30 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-06-17 14:59:30 setsockopt(IPV6_V6ONLY=0)
2022-06-17 14:59:30 Listening for incoming TCP connection on [AF_INET6][undef]:1194
2022-06-17 14:59:30 TCPv6_SERVER link local (bound): [AF_INET6][undef]:1194
2022-06-17 14:59:30 TCPv6_SERVER link remote: [AF_UNSPEC]
2022-06-17 14:59:30 MULTI: multi_init called, r=256 v=256
2022-06-17 14:59:30 IFCONFIG POOL IPv4: base=10.8.0.4 size=62
2022-06-17 14:59:30 IFCONFIG POOL LIST
2022-06-17 14:59:30 MULTI: TCP INIT maxclients=60 maxevents=64
2022-06-17 14:59:30 Initialization Sequence Completed

При этом лог сервера пустой.

Подключаейтесь на IP адрес хоста где запушен openVPN.
В первую очередь с клиента проверьте, что порт указанный в конфиг файле openvpn открыт и доступен по сети (не блокируется файерволом)

К серверу не подключается, не могу понять причины проблемы

2022-07-11 23:38:13 WARNING: —topology net30 support for server configs with IPv4 pools will be removed in a future release. Please migrate to —topology subnet as soon as possible.
2022-07-11 23:38:13 —pull-filter ignored for —mode server
2022-07-11 23:38:13 OpenVPN 2.5.7 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 27 2022
2022-07-11 23:38:13 Windows version 10.0 (Windows 10 or greater) 64bit
2022-07-11 23:38:13 library versions: OpenSSL 1.1.1o 3 May 2022, LZO 2.10
2022-07-11 23:38:13 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-07-11 23:38:13 Need hold release from management interface, waiting…
2022-07-11 23:38:13 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-07-11 23:38:13 MANAGEMENT: CMD ‘state on’
2022-07-11 23:38:13 MANAGEMENT: CMD ‘log all on’
2022-07-11 23:38:13 MANAGEMENT: CMD ‘echo all on’
2022-07-11 23:38:13 MANAGEMENT: CMD ‘bytecount 5’
2022-07-11 23:38:13 MANAGEMENT: CMD ‘hold off’
2022-07-11 23:38:13 MANAGEMENT: CMD ‘hold release’
2022-07-11 23:38:13 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
2022-07-11 23:38:13 Note: cannot open C:Program FilesOpenVPNlogstatus.log for WRITE
2022-07-11 23:38:13 Diffie-Hellman initialized with 2048 bit key
2022-07-11 23:38:13 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-07-11 23:38:13 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-07-11 23:38:13 interactive service msg_channel=696
2022-07-11 23:38:13 open_tun
2022-07-11 23:38:13 Register ring buffers failed using service: Попытка выполнить операцию инициализации, которая уже проведена. [status=0x4df]
2022-07-11 23:38:13 Failed to register <41805e89-4b75-46ad-ac2d-a3be8b6fe07e>adapter ring buffers
2022-07-11 23:38:13 MANAGEMENT: Client disconnected
2022-07-11 23:38:13 All wintun adapters on this system are currently in use or disabled.
2022-07-11 23:38:13 Exiting due to fatal error

Верхнюю проблему решил, но появилась новая и выглядят логи уже так

2022-07-12 01:04:46 WARNING: —topology net30 support for server configs with IPv4 pools will be removed in a future release. Please migrate to —topology subnet as soon as possible.
2022-07-12 01:04:46 —pull-filter ignored for —mode server
2022-07-12 01:04:46 OpenVPN 2.5.7 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 27 2022
2022-07-12 01:04:46 Windows version 10.0 (Windows 10 or greater) 64bit
2022-07-12 01:04:46 library versions: OpenSSL 1.1.1o 3 May 2022, LZO 2.10
2022-07-12 01:04:46 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-07-12 01:04:46 Need hold release from management interface, waiting…
2022-07-12 01:04:46 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-07-12 01:04:46 MANAGEMENT: CMD ‘state on’
2022-07-12 01:04:46 MANAGEMENT: CMD ‘log all on’
2022-07-12 01:04:46 MANAGEMENT: CMD ‘echo all on’
2022-07-12 01:04:46 MANAGEMENT: CMD ‘bytecount 5’
2022-07-12 01:04:46 MANAGEMENT: CMD ‘hold off’
2022-07-12 01:04:46 MANAGEMENT: CMD ‘hold release’
2022-07-12 01:04:46 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
2022-07-12 01:04:46 Note: cannot open C:Program FilesOpenVPNlogstatus.log for WRITE
2022-07-12 01:04:46 Diffie-Hellman initialized with 2048 bit key
2022-07-12 01:04:46 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-07-12 01:04:46 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-07-12 01:04:46 interactive service msg_channel=852
2022-07-12 01:04:46 open_tun
2022-07-12 01:04:46 Register ring buffers failed using service: Попытка выполнить операцию инициализации, которая уже проведена. [status=0x4df]
2022-07-12 01:04:46 Failed to register adapter ring buffers
2022-07-12 01:04:46 MANAGEMENT: Client disconnected
2022-07-12 01:04:46 Failed to open wintun adapter: OpenVPN Wintun
2022-07-12 01:04:46 Exiting due to fatal error

Попробуйте руками включить интерфейс…

См. комментарий выше:
Виталий 07.02.2022
Спасибо, нашел решение на англ форуме, не нужно запускать службу OpenVPN в автоматический режим. Нужно ставить вручную, и тогда все ОК!
Проблема на одном клиенте или на всех?

WARNING: —topology net30 support for server configs with IPv4 pools will be removed in a future release. Please migrate to —topology subnet as soon as possible. победил, расскомментировав в конфиге сервера «topology subnet»

Выходит ошибка при генерации CA.crt
«Easy-RSA error
Note: using Easy-RSA configuration from: ./vars
./easyrsa[2577]: openssl: not found

Missing or invalid OpenSSL
Expected to find openssl command at: openssl

C:OpenVPNeasy-rsa>EasyRSA-Start.bat
WARNING: openssl isn’t in your system PATH. The openssl binary must be
available in the PATH, defined in the ‘vars’ file, or defined in a
named environment variable. See README-Windows.txt for more info.

Welcome to the EasyRSA 3 Shell for Windows.
Easy-RSA 3 is available under a GNU GPLv2 license.

Invoke ‘./easyrsa’ to call the program. Without commands, help is displayed.
В vars указана
#set_var EASYRSA_OPENSSL «C:/OpenVPN/bin/openssl.exe»

Сделал нужно было в файле vars раскомментировать

OpenVPN 2.5.7
Не могу победить ошибку на сервере:
1. —cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add ‘—data-ciphers-fallback BF-CBC’ to your configuration and/or add BF-CBC to —data-ciphers.

2. Options error: You must define DH file (—dh)

Может кто подскажет — как исправить?

Часть конфига, касаемо ошибок:

dh «C:\Program Files\OpenVPN\ssl\dh.pem»
;(файл в наличии по данному адресу!)

;cipher AES-256-CBC
;—data-ciphers-fallback BF-CBC
;cipher AES-256-GCM
;cipher BF-CBC
;cipher none
cipher AES-128-CBC
;(как видно — перепробовал много вариантов..)

1) и клиент и сервер свежие?
2) попробуйте скопировать df.pem в файл с путем без пробелов. openvpn очень их не любит

Проблема была в символах конца строки…
Все баги вроде победил, то смог подключиться только через ТАР-интерфей, а через новый — никак!

Adapter ‘OpenVPN’ is using wintun driver, tap-windows6 expected. If you want to use this device, adjust —windows-driver.

ERROR: Wintun requires SYSTEM privileges and therefore should be used with interactive service. If you want to use openvpn from command line, you need to do SYSTEM elevation yourself (for example with psexec).
///
Короче — все решил. ))))
1. Конфигурационный файл лучше создать из пустого файла, править — вставляя нужные строки, луше в «Notepad++» с контролем в конце строк символов CRLF.
2. Чтоб задействовать «Wintun Userspace Tunnel»-адаптер вместо «TAP-Windows Adapter V9» необходимо дописать в конфиг строчку «windows-driver wintun», но конфиг можно будет после этого проверить запуском только через запуск службы OpenVPN, т.к. там требуются повышенные права!
…
Ну и конфиг без заремленных строк:

port 1194
proto udp
dev tun
dev-node OpenVPN
ca «C:\Program Files\OpenVPN\ssl\ca.crt»
cert «C:\Program Files\OpenVPN\ssl\cert.crt»
key «C:\Program Files\OpenVPN\ssl\cert.key»
dh «C:\Program Files\OpenVPN\ssl\dh.pem»
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth «C:\Program Files\OpenVPN\ssl\ta.key»
cipher AES-256-GCM
persist-key
persist-tun
status «C:\Program Files\OpenVPN\log\status.log»
log «C:\Program Files\OpenVPN\log\openvpn.log»
verb 3
explicit-exit-notify 1
windows-driver wintun
Напоминаю — это все для версии OpenVPN 2.5.7.

Человечище!
Кучу времени убил на все это, твоя конфига крута, но я видать запарился не на шутку и мне не сообразить в конфиге клиента что прописать?!
Не будешь ли ты так любезен, выложить и ее?!

client
;dev tap
dev tun
;dev-node MyTap
;proto tcp
proto udp
; Реальный белый интернет адрес сервера и порт
remote 192.168.0.118 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
;ca «C:\Program Files\OpenVPN\ssl\ca.crt»
;cert «C:\Program Files\OpenVPN\ssl\client-1.crt
;key «C:\Program Files\OpenVPN\ssl\client-1.key
remote-cert-tls server
;tls-auth «C:\Program Files\OpenVPN\ssl\ta.key» 1
cipher AES-256-GCM
verb 3
;mute 20
windows-driver wintun
auth-nocache

——BEGIN CERTIFICATE——
БЛА_БЛА_БЛАPiSgAwIBAgIUfF5G7jeV3/G0gGDlWojW+XaTnVUwDQYJKoZIhvcNAQEL
BQAwETEPMA0GA1UEAwwGQW5kcmV5MB4XDTIyMDgxNzA2NDI0NloXDTMyMDgxNDA2
NDI0NlowETEPMA0GA1UEAwwGQW5kcmV5MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
MIIBCgKCAQEA8/0oq/9BIoky+FkfMi9Mk89u8dqNomPl6P5VWBN/YF4NWcbbU85o
zWY3n6pHVMizSZVH1BS+i8+TWrwESyB8ElyIJAiecPqOb8yk07eoSAAbBs96MFCd
sW/CBp/xj2beGNrmlrqngmR3H7uiD+fC3PGgG+ddYiWSxY85+VKvzF++h93eo2+F
NqU1BuBI3ycUQfu7HXfhGYNVw27ijW2KT+vxXQrzCfvnaFVstUAp/gO3Ak91Zx4J
7OS1I4ChyBu39fcavoT+ReXDBtGty2z29c1l93l66NNnzf5jLeu9VGI45cXB1TXA
RI9At9dPFwhUextqE+zdV53pDjnsMyjqGwIDAQABo4GLMIGIMB0GA1UdDgQWBBRC
hffn227A9Pd5PFEF3ZbuLKEvszBMBgNVHSMERTBDgBRChffn227A9Pd5PFEF3Zbu
LKEvs6EVpBMwETEPMA0GA1UEAwwGQW5kcmV5ghR8XkbuN5Xf8bSAYOVaiNb5dpOd
VTAMBgNVHRMEBTADAQH/MAsGA1UdDwQEAwIBBjANBgkqhkiG9w0BAQsFAAOCAQEA
WZKJFjnAoGXorn3ti5NvnZybrYPTI/O2q0GPr1LetBpqQrBP8yg5GfdvRycFLpKD
Vp9isjV3nbfhP+zDGjsNBJBK6jX0q4WyJn/u9B4tHTKv6M6bz0JB+TT5ycpTKqm3
PMJKnrXrPDlHkPZ6omT0INfJFPUUZKAl/GLJFp3ywT0nn55hlQb4BHNqthZ5EvHw
j7NUX2pVxUMLcavwgCzBcseC7Kol4Vf0GbnzGEsVteTIXTuM+Rl/NLd0yap0HY6B
zXWQKty60A3Zc98ne3k/kmfcAChGIcKilfTFMINL3xfRfyFZ4mMGE+draQZgH5mO
rlj3J5y3JwGh7g7R0WAjcw==
——END CERTIFICATE——

——BEGIN CERTIFICATE——
БЛА_БЛА_БЛАjOgAwIBAgIRAK6HZO2gTHHNkjrUE9nCuTAwDQYJKoZIhvcNAQELBQAw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——END CERTIFICATE——

——BEGIN PRIVATE KEY——
БЛА_БЛА_БЛАDANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC9DjXoGX0Lz5R1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——END PRIVATE KEY——

——BEGIN OpenVPN Static key V1——
БЛА_БЛА_БЛАc304ce580a12d516238d69
1899af85088f6045fa93388fb420b4d6
3048d890a768e4a17e3fd9e3f783a9f0
7f05438f5c573f6d310360a9cd83a2c9
f7ebc975b32c5f922c55e33b71ffb2f3
bad3a5c2639710320fd84b1d089417c3
2b4c1193d75a6ed85e4ac120c8dce054
e4ef0467908f6a758adb0ba254d07021
70a43d1174b9583aae076f5cd67d185d
4fb52a22fb05c909e4c72e97ebd87dc3
3bce5edec038b8431fde423f3d4538f1
f5d49bcfc9a2dd938cf82a5193ba4b63
90cc79e9462830345276da12d84a7771
36f283f455369dac8b888bdf3f6110af
09e2a981b7d86e1b8fb938bd9feada6b
9452e4c60a39442a8c5b91bb17ff5a09
——END OpenVPN Static key V1——

Ключи и сертификаты можно отдельно расположить или интегрировать в конфиг клиента.

Опять не показывает. — Треугольные скобки.
Заменю их ФИГУРНЫМИ в ключах и сертификатах.
Естесвенно ключи и сертификаты нужно вставить СВОИ.
…

client
;dev tap
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote 192.168.0.118 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
;ca «C:\Program Files\OpenVPN\ssl\ca.crt»
;cert «C:\Program Files\OpenVPN\ssl\client-1.crt
;key «C:\Program Files\OpenVPN\ssl\client-1.key
remote-cert-tls server
;tls-auth «C:\Program Files\OpenVPN\ssl\ta.key» 1
cipher AES-256-GCM
verb 3
;mute 20
windows-driver wintun
auth-nocache

——BEGIN CERTIFICATE——
БЛА-БЛА-БЛА. UfF5G7jeV3/G0gGDlWojW+XaTnVUwDQYJKoZIhvcNAQEL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——END CERTIFICATE——

——BEGIN CERTIFICATE——
бЛА-БЛА-БЛА. gIRAK6HZO2gTHHNkjrUE9nCuTAwDQYJKoZIhvcNAQELBQAw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——END CERTIFICATE——

——BEGIN PRIVATE KEY——
БЛА-БЛА-БЛА. ANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC9DjXoGX0Lz5R1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——END PRIVATE KEY——

——BEGIN OpenVPN Static key V1——
БЛА. a12d516238d69b49e1
1899af85088f6045fa93388fb420b4d6
3048d890a768e4a17e3fd9e3f783a9f0
7f05438f5c573f6d310360a9cd83a2c9
f7ebc975b32c5f922c55e33b71ffb2f3
bad3a5c2639710320fd84b1d089417c3
2b4c1193d75a6ed85e4ac120c8dce054
e4ef0467908f6a758adb0ba254d07021
70a43d1174b9583aae076f5cd67d185d
4fb52a22fb05c909e4c72e97ebd87dc3
3bce5edec038b8431fde423f3d4538f1
f5d49bcfc9a2dd938cf82a5193ba4b63
90cc79e9462830345276da12d84a7771
36f283f455369dac8b888bdf3f6110af
09e2a981b7d86e1b8fb938bd9feada6b
9452e4c60a39442a8c5b91bb17ff5a09
——END OpenVPN Static key V1——

key-direction 1

Крайне признателен. Законнектился. Давно на линукс был настроен сервер, но там все сдохло и под новые версии софта не идут те конфиги.
Однако пришлось убирать проверку на ta.key никак не проходит, несколько раз новый файл генерил, ну никак не проходит проверка.
Теперь надо что ты ВПН сервер ко всей локальной сети отдавал доступ…
Если и тут поможете, буду безмерно признателен!

key-direction 1
в конфиге надеюсь не забыли указать.
Чтоб видеть локалку нужно включать маршрутизацию и прописывать маршруты!

Приветствую.
Настроил по инструкции. Подключение проходит.. Но не пингуется с клиента сервер. по РДП к серверу подключается, а на шары зайти не может. На андроиде тоже настроил.. коннектится.. на рабочий стол входит, а по сети не видит и не пингует.
Кроме сервера на серверную машину клиента ставить не надо?
в подключениях:
Wintun Userspace Tunnel — норм запущен и подключен
TAP-Windows Adapter V9 — кабель не подключен. — это проблема или нет?

Включайте маршрутизацию и добавляйте маршруты в конфиг!

TAP-Windows Adapter V9 вообще нужно было не ставить.
Кроме сервера на серверную машину клиента ставить не надо? — Это как так.
я не знаю что вы там соорудили, поэтому ответить не могу!

Кроме сервера на серверную машину клиента ставить не надо?
…
Смешались понятия!
Обычно СерверOpenVPN устанавливают на ту машину, к которой например требуется подключаться многим клиентам, например комп с фаерволом, через который офис выходит в Интернет!
В сечашнее время многие просто ставят роутеры, тогда СерверOpenVPN следует установить на железный Сервер офиса, например Файл-Сервер или сервер AD и DNS. В этом случае на роутере открывают нужный порт и пробрасывают(перенаправляют) запросы OpenVPN на этот сервер!
Так куда Вы еще на Сервер собрались ставить клиента. )))

Спасибо за ответ.
Специально не ставил клиента. После установки появилось два подключения. Может невнимательно ставил.
Не суть. Все равно оно отключено.
Я подключаюсь клиентом к серверу. Все замечательно. Подключаюсь на рабочий стол сервера по этому подключанию.. но я не могу пинговать сервер и не могу подключить с него сетевые шары. И клиенты друг друга не видят по сети. а по RDP видят.

Здравствуйте где Port (optional) какой код пишутся или что пишутся кто знает пожалуйста помогите.

Этот VPN не для ваших целей.

Пробую подключиться, висит на этом моменте. Брендмауэр выключен и на серве и на клиенте.
Если чрез OpenVPN Connect, то крутиться кружок рыжий, и вылетает ошибка превышено ожидание.

Подскажите, что не так?

2022-09-12 04:43:11 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
2022-09-12 04:43:11 Windows version 10.0 (Windows 10 or greater) 64bit
2022-09-12 04:43:11 library versions: OpenSSL 1.1.1l 24 Aug 2021, LZO 2.10
2022-09-12 04:43:11 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-09-12 04:43:11 Need hold release from management interface, waiting…
2022-09-12 04:43:12 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-09-12 04:43:12 MANAGEMENT: CMD ‘state on’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘log all on’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘echo all on’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘bytecount 5’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘hold off’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘hold release’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘password […]’
2022-09-12 04:43:12 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
2022-09-12 04:43:12 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:43:12 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:43:12 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:43:12 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:43:12 UDP link local: (not bound)
2022-09-12 04:43:12 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:43:12 MANAGEMENT: >STATE:1662946992,WAIT.
2022-09-12 04:44:12 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:44:12 TLS Error: TLS handshake failed
2022-09-12 04:44:12 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:44:12 MANAGEMENT: >STATE:1662947052,RECONNECTING,tls-error.
2022-09-12 04:44:12 Restart pause, 5 second(s)
2022-09-12 04:44:17 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:44:17 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:44:17 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:44:17 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:44:17 UDP link local: (not bound)
2022-09-12 04:44:17 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:44:17 MANAGEMENT: >STATE:1662947057,WAIT.

Вот что спустя время
2022-09-12 04:43:11 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
2022-09-12 04:43:11 Windows version 10.0 (Windows 10 or greater) 64bit
2022-09-12 04:43:11 library versions: OpenSSL 1.1.1l 24 Aug 2021, LZO 2.10
2022-09-12 04:43:11 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-09-12 04:43:11 Need hold release from management interface, waiting…
2022-09-12 04:43:12 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-09-12 04:43:12 MANAGEMENT: CMD ‘state on’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘log all on’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘echo all on’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘bytecount 5’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘hold off’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘hold release’
2022-09-12 04:43:12 MANAGEMENT: CMD ‘password […]’
2022-09-12 04:43:12 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
2022-09-12 04:43:12 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:43:12 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:43:12 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:43:12 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:43:12 UDP link local: (not bound)
2022-09-12 04:43:12 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:43:12 MANAGEMENT: >STATE:1662946992,WAIT.
2022-09-12 04:44:12 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:44:12 TLS Error: TLS handshake failed
2022-09-12 04:44:12 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:44:12 MANAGEMENT: >STATE:1662947052,RECONNECTING,tls-error.
2022-09-12 04:44:12 Restart pause, 5 second(s)
2022-09-12 04:44:17 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:44:17 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:44:17 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:44:17 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:44:17 UDP link local: (not bound)
2022-09-12 04:44:17 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:44:17 MANAGEMENT: >STATE:1662947057,WAIT.
2022-09-12 04:45:17 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:45:17 TLS Error: TLS handshake failed
2022-09-12 04:45:17 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:45:17 MANAGEMENT: >STATE:1662947117,RECONNECTING,tls-error.
2022-09-12 04:45:17 Restart pause, 5 second(s)
2022-09-12 04:45:22 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:45:22 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:45:22 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:45:22 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:45:22 UDP link local: (not bound)
2022-09-12 04:45:22 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:45:22 MANAGEMENT: >STATE:1662947122,WAIT.
2022-09-12 04:46:22 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:46:22 TLS Error: TLS handshake failed
2022-09-12 04:46:22 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:46:22 MANAGEMENT: >STATE:1662947182,RECONNECTING,tls-error.
2022-09-12 04:46:22 Restart pause, 5 second(s)
2022-09-12 04:46:27 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:46:27 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:46:27 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:46:27 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:46:27 UDP link local: (not bound)
2022-09-12 04:46:27 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:46:27 MANAGEMENT: >STATE:1662947187,WAIT.
2022-09-12 04:47:28 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:47:28 TLS Error: TLS handshake failed
2022-09-12 04:47:28 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:47:28 MANAGEMENT: >STATE:1662947248,RECONNECTING,tls-error.
2022-09-12 04:47:28 Restart pause, 5 second(s)
2022-09-12 04:47:33 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:47:33 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:47:33 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:47:33 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:47:33 UDP link local: (not bound)
2022-09-12 04:47:33 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:47:33 MANAGEMENT: >STATE:1662947253,WAIT.
2022-09-12 04:48:33 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:48:33 TLS Error: TLS handshake failed
2022-09-12 04:48:33 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:48:33 MANAGEMENT: >STATE:1662947313,RECONNECTING,tls-error.
2022-09-12 04:48:33 Restart pause, 10 second(s)
2022-09-12 04:48:43 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:48:43 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:48:43 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:48:43 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:48:43 UDP link local: (not bound)
2022-09-12 04:48:43 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:48:43 MANAGEMENT: >STATE:1662947323,WAIT.
2022-09-12 04:49:44 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:49:44 TLS Error: TLS handshake failed
2022-09-12 04:49:44 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:49:44 MANAGEMENT: >STATE:1662947384,RECONNECTING,tls-error.
2022-09-12 04:49:44 Restart pause, 20 second(s)
2022-09-12 04:50:04 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:50:04 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:50:04 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:50:04 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:50:04 UDP link local: (not bound)
2022-09-12 04:50:04 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:50:04 MANAGEMENT: >STATE:1662947404,WAIT.
2022-09-12 04:51:04 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:51:04 TLS Error: TLS handshake failed
2022-09-12 04:51:04 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:51:04 MANAGEMENT: >STATE:1662947464,RECONNECTING,tls-error.
2022-09-12 04:51:04 Restart pause, 40 second(s)
2022-09-12 04:51:44 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:51:44 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-09-12 04:51:44 TCP/UDP: Preserving recently used remote address: [AF_INET]37.146.57.249:1723
2022-09-12 04:51:44 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-09-12 04:51:44 UDP link local: (not bound)
2022-09-12 04:51:44 UDP link remote: [AF_INET]37.146.57.249:1723
2022-09-12 04:51:44 MANAGEMENT: >STATE:1662947504,WAIT.
2022-09-12 04:52:44 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-09-12 04:52:44 TLS Error: TLS handshake failed
2022-09-12 04:52:44 SIGUSR1[soft,tls-error] received, process restarting
2022-09-12 04:52:44 MANAGEMENT: >STATE:1662947564,RECONNECTING,tls-error.
2022-09-12 04:52:44 Restart pause, 80 second(s)

By serveradmin.ru
Расскажу вам про решение проблемы с Openvpn Client на Windows, которая меня донимала последний год примерно, может чуть меньше. Вчера терпение лопнуло и я разобрался с ней раз и навсегда.

Проблема плавающая и выражалась она в том, что время от времени одно из настроенных подключений openvpn не подключалось. Ошибка была примерно такая:
MANAGEMENT: Socket bind failed on local address [AF_INET]127.0.0.1:25349
Ошибка возникала случайным образом на различных соединениях.

По тексту не очень понятно, в чём дело. Первое, что приходит в голову — указанный порт уже кем-то занят. Но netstat показывает, что ничего не занято. При этом любое другое подключение openvpn сработает нормально. А какое-то одно ни в какую. У меня около 5-ти подключений используется в разное время. Помогает только перезагрузка. Несколько раз пытался разобраться, но так как ошибка не очень информативна, быстро решить вопрос не получалось. Спасала банальная перезагрузка. Я думал, что она возможно как-то связана с тем, что у меня добавлено несколько сетевых интерфейсов для openvpn, а в дефолте обычно только одно устанавливается.

Дело вот в чём. После какого-то обновления Windows, она стала резервировать некоторые диапазоны портов для работы Hyper-V. Посмотреть эти диапазоны можно командой:
# netsh int ipv4 show excludedportrange tcp

И как оказалось, там есть диапазон локальных портов, который пересекается с диапазоном, который использует OpenVPN. Решение вопроса — изменить его в OpenVPN GUI:
Settings ⇨ Advanced ⇨ Management interface ⇨ Port offset.
После этого проблема исчезла.

Такая вот ерунда сожрала кучу моего времени. В логах самой винды никакой информации нет. По логу openvpn невозможно понять, в чём дело. А оказывается винда каким-то своим механизмом бронирует целые диапазоны портов и не даёт их использовать. При этом никак в системе не помечает их занятыми, иначе бы ошибка была другая. Что-то в духе local address [AF_INET]127.0.0.1:25349 is busy. А тут просто ошибка, которая говорит о том, что сокет не поднимается. Причин этому может быть много. Банальная нехватка прав или что-то ещё.

Перестали подключаться клиенты
в логе ошибка verify error depth=0 error=crl has expired openvpn
проблема в просроченном c:/Program Files/OpenVPN/easy-rsa/pki/crl.pem
нужно увеличить срок его действия с помощью парамертра default_crl_days= 3650 в настройках ssl
и перевыпустить список отозванных сертифкаторв
./easyrsa gen-crl

Доброго времени суток!
Подскажите, пожалуйста, по OpenVPN. Думаю, что проблема в DNS Leak.

Сильно прошу не пинать, делал это в первый раз. Хотелось бы разобраться и начать пользоваться OpenVPN для личных целей. Выбрал эту технологию, т.к. многие ее хвалят за стабильность, безопасность и удобство эксплуатации при правильной настройке (в их числе и автор канала).

Моя история.
Для опыта попробовал установить OpenVPN сервер на Windows 10 Home (ноут с ней был под рукой).
Начал с этой инструкции: (#1) _https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide . Оказалось, что эта инструкция устарела (не было нужных батников в папке с файлами OpenVPN). Нашел вашу- (#2) https://winitpro.ru/index.php/2021/12/28/ustanovka-openvpn-servera-windows/ . По этой пошло все гладко, но застрял на генерации ключей. Оказалось, что нет openssl утилиты в файлах, которые получил от установщика (OpenVPN 2.5.7 — Released 31 May 2022 — _https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.7-I602-amd64.msi). После долгого гугления и экспериментов пришел к выводу, что проблема с EasyRSA. Скачал с гитхаба EasyRSA 3.1.0 — https://github.com/OpenVPN/easy-rsa/releases/tag/v3.1.0 , распаковал в папку C:Program FilesOpenVPNeasy-rsa (предварительно переименовал оригинальную easy-rsa в easy-rsa_old). Это помогло. После чего я сгенерировал ключи и сделал для сервера все по инструкции #2. С оговоркой, что на начальном этапе в установщике я выбрал драйверы WinTun и Tap (а не только WinTun, как написано в инструкции). В итоге на WinTun так и не заработало, поэтому решил использовать Tap. Но это не основной вопрос. На данном этапе мне удалось подключиться к серверу со смартфона через мобильный интернет (другой провайдер, у сервера статика, порт открыт). Так же на время одолжил ноут с Win10, c которого тоже подключилось (через wifi точку доступа вышеупомянутого смартфона). Однако, не было доступа в интернет с обоих устройств, хотя доступ к сервисам сервера был (поднял тестовый web-сервер для проверки). Иду гуглить… Нахожу инструкцию #3 — _https://supporthost.in/how-to-install-and-configure-openvpn-on-windows-10/ , из которой я почерпнул, что надо поставить галочку ‘Allow other network users to connect through this computer’s Internet connection” option’ (как на скрине — _https://supporthost.in/wp-content/uploads/2021/12/win10-openvpn28.png). У клиентов моего сервера доступ в интернет появился. Ура! Однако, сайты, которые доступны из сети провайдера моего vpn сервера и НЕ доступны из сети мобильного оператора, все так же не открываются с клиентов (ноут и смартфон, которые подключены по схеме, пописанной ранее) с ошибкой DNS_PROBE_FINISHED_NXDOMAIN. Перешел к гуглению. Пришел к выводу, что присутствует утечка DNS. Проверил на _https://www.dnsleaktest.com/ : ip у клиентов отображается серверный при активном VPN-соединении, но «Standart test» показывает DNS мобильного оператора, а не Gооgle (как напрямую с ноута, на котором сервер). Пофиксить не удалось. Для устранения этой проблемы использовал следующие настройки в конфиге сервера:
;push «redirect-gateway def1 bypass-dhcp»
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»
push «block-outside-dns» # Block access to any other DNS
Закомментированную первую строку тоже пробовал вместо второй (первая была в дефолтном конфиге), последнюю нашел одном из форумов.

Буду рад любым конструктивным советам. Сразу скажу, что для личных целей собираюсь использовать Ubuntu или Debian. Но на горизонте виднеется задача, в которой будет нужно настроить OpenVPN на Win Server 2016.

откуда вы взяли файл CRT для клиента ?? генерируются только файлы KEY по вашей инструкции.

Источник

View Full Version : [ubuntu] VPN Confiuration

Powered by vBulletin® Version 4.2.2 Copyright © 2023 vBulletin Solutions, Inc. All rights reserved.

Страницы: [1]   Вниз

0 Пользователей и 1 Гость просматривают эту тему.

Страницы: [1]   Вверх

Вчера обнаружил, что на мой домашний сервер пытаются подобрать пароль к RDP. Спросил наших безопасников с работы, да, порт сканировали, но пароль подбирают не они… Надо что-то делать с этим, и я даже знаю что.

Ударим шифрованием по злобным брутфорсерам! Ставим OpenVPN 2.5.1 сервер на Windows Server 2016.

• Встретимся с Easy-RSA 3.
• Решим неочевидный баг с директорией временных файлов.
• Освоим OpenVPN Connect, в том числе на Android.
• Запилим адаптер OpenVPN WinTun.

Установка OpenVPN Server

Скачиваем дистрибутив для установки OpenVPN:

Community Downloads

Доступна версия OpenVPN 2.5.1. Скачиваю Windows 64-bit MSI installer, файл OpenVPN-2.5.1-I601-amd64.msi.

Запускаем инсталлятор OpenVPN.

Открывается мастер установки, предлагают выбрать тип установки, естественно, нажимаем Customize. Установка по умолчанию нас не устроит.

OpenVPN GUI отключаю. Мне нужно, чтобы OpenVPN на сервере работал автоматически.

А OpenVPN Service, наоборот, включаю. OpenVPN у меня будет работать как служба Windows.

Документацию и примеры конфигурации оставляю. Конфигурационные примеры будут использоваться в качестве шаблонов.

Начиная с версии OpenVPN 2.5 появилась поддержка драйвера WinTUN от разработчиков WireGuard. Говорят, что работает быстрее чем TAP-Windows6. Поэтому драйвер TAP-Windows6 отключаю и включаю Wintun.

ПРИМЕЧАНИЕ: для включения драйвера Wintun необходимо в файле конфигурации сервера включить параметр:

windows-driver wintun

Утилиты OpenSSL EasyRSA 3 Certificate Management Scripts включаю. Install Now.

Начинается процесс установки OpenVPN.

Установка успешно завершена. Close.

Установка выполнена в директорию C:Program FilesOpenVPN.

После установки у нас появляется новый сетевой адаптер Wintun Userspace Tunnel.

Адаптер отключён.

Создание ключей и сертификатов

Запускаем командную строку под администратором и переходим в рабочую директорию C:Program FilesOpenVPNeasy-rsa.

cd C:Program FilesOpenVPNeasy-rsa

В этой папке есть всё необходимое для генерации сертификатов.

Для работы в Windows нас интересует файл EasyRSA-Start.bat.

Выполняем EasyRSA-Start.bat.

Запускается оболочка EasyRSA Shell.

Инициализируем новую конфигурацию:

./easyrsa init-pki

Появляется новая директория C:Program FilesOpenVPNeasy-rsapki.

Генерируем ключ и сертификат центра сертификации. Внимание, сейчас мы наступим на грабли, исправим ошибку и снова вернёмся к генерации файлов для центра сертификации.

./easyrsa build-ca

Нас попросят для раза ввести пароль. Придумываем и вводим.

Получаем ошибку.

Extra arguments given.
genrsa: Use -help for summary.

Easy-RSA error:

Failed create CA private key

Исправим этот баг. Мне не совсем понятно, почему нельзя было всё сделать сразу по-человечески, чтобы люди не встречали эту ошибку. Копируем файл C:Program FilesOpenVPNeasy-rsavars.example, называем копию C:Program FilesOpenVPNeasy-rsavars.

Редактируем C:Program FilesOpenVPNeasy-rsavars. В данном файле можно много чего прописать, но я не буду на этом сейчас останавливаться подробно. Находим строку:

#set_var EASYRSA_TEMP_DIR	"$EASYRSA_PKI"

И заменяем её на:

set_var EASYRSA_TEMP_DIR	"$EASYRSA_PKI/temp"

Собственно, ошибка и заключалась в том, что оболочка по какой-то причине не могла создать временный файл.

Генерируем ключ и сертификат центра сертификации:

./easyrsa build-ca

Нас попросят для раза ввести пароль. Придумываем и вводим. После нас просят указать Common Name для центра сертификации, указываю «internet-lab.ru».

Операция проходит успешно.

Создаётся сертификат центра сертификации:

• C:Program FilesOpenVPNeasy-rsapkica.crt

Сертификат создаётся на 10 лет, это значение можно переопределить в файле vars.

И ключ центра сертификации:

• C:Program FilesOpenVPNeasy-rsapkiprivateca.key

Ключ секретный, никому не показываем. он будет храниться на сервере.

Генерируем ключ и запрос на сертификат сервера, назовём сервер именем «server«:

./easyrsa gen-req server nopass

Нас просят указать Common Name для сервера, указываю «internet-lab.ru».

Операция проходит успешно.

Создаётся запрос на сертификат сервера:

• C:Program FilesOpenVPNeasy-rsapkireqsserver.req

И ключ сервера:

• C:Program FilesOpenVPNeasy-rsapkiprivateserver.key

Ключ секретный, никому не показываем. он будет храниться на сервере.

Для создания сертификата сервера нужно подписать запрос на сертификат:

./easyrsa sign-req server server

Для подписи нужно ввести слово «yes» и указать пароль от центра сертификации.

Создаётся сертификат сервера:

• C:Program FilesOpenVPNeasy-rsapkiissuedserver.crt

Сертификат сервера создаётся на 825 дней, это значение можно переопределить в файле vars.

Теперь создадим клиентский сертификат. По хорошему клиентский ключ следует запаролить, чтобы исключить утечку при передаче. Для этого есть несколько способов.

Первый

1. На клиентской машине генерируем запрос на сертификат клиента и ключ без пароля:

   ./easyrsa init-pki
   ./easyrsa gen-req client nopass

2. Переносим REQ файл запроса на сертификат клиента на машину с нашим CA, импортируем, подписываем, отсылаем сгенерированный сертификат CRT обратно клиенту:

   ./easyrsa import-req /path/to/client.req client
   ./easyrsa sign-req client client

Второй

1. а машине с CA генерируем сертификат клиента и ключ с паролем:

   ./easyrsa gen-req client
   ./easyrsa sign-req client client

2. Переносим файлы клиенту, сообщаем пароль. Клиент снимает пароль с полученного ключа:

   openssl rsa -in client.key -out clientnew.key

Третий

Но поскольку я генерирую ключ сам для себя, то воспользуюсь небезопасным третьим способом.

Генерируем ключ и запрос на сертификат клиента, назовём клиента именем «client«:

./easyrsa gen-req client nopass

Нас просят указать Common Name для клиента, указываю «v.pupkin».

Операция проходит успешно.

Создаётся запрос на сертификат клиента:

• C:Program FilesOpenVPNeasy-rsapkireqsclient.req

И ключ клиента:

• C:Program FilesOpenVPNeasy-rsapkiprivateclient.key

Для создания сертификата клиента нужно подписать запрос на сертификат:

./easyrsa sign-req client client

Для подписи нужно ввести слово «yes» и указать пароль от центра сертификации.

Создаётся сертификат клиента:

• C:Program FilesOpenVPNeasy-rsapkiissuedclient.crt

Сертификат сервера создаётся на 825 дней, это значение можно переопределить в файле vars.

Генерируем ключ Диффи-Хеллмана:

./easyrsa gen-dh

Операция займёт некоторое время.

Создаётся файл:

• C:Program FilesOpenVPNeasy-rsapkidh.pem

Я на сервере собираюсь использовать tls-auth для дополнительной проверки целостности, это обеспечит дополнительный уровень безопасности протокола SSL/TLS при создании соединения:

• Сканирование прослушиваемых VPN-сервером портов
• Инициация SSL/TLS-соединения несанкционированной машиной на раннем этапе
• DoS-атаки и флуд на порты OpenVPN
• Переполнение буфера SSL/TLS

При использовании tls-auth на клиенте не понадобится ключ Диффи-Хеллмана, но пусть будет. Генерируем ключ tls-auth. Для этого запускаем командную строку под администратором и выполняем:

cd C:Program FilesOpenVPNbin
openvpn --genkey secret ta.key

В папке C:Program FilesOpenVPNbin создаётся файл ta.key.

Переносим его в папку C:Program FilesOpenVPNeasy-rsapki.

Минимальный набор сертификатов сгенерирован.

Настройка OpenVPN сервера

Создадим конфигурационный файл сервера C:Program FilesOpenVPNconfig-autoserver.ovpn:

copy "C:Program FilesOpenVPNsample-configserver.ovpn" "C:Program FilesOpenVPNconfig-autoserver.ovpn"

Открываем блокнотом и редактируем:

notepad "C:Program FilesOpenVPNconfig-autoserver.ovpn"

Лучше изучить конфигурационный файл, я предлагаю свой вариант конфига:

port 1194
proto tcp
dev tun
ca "C:\Program Files\OpenVPN\easy-rsa\pki\ca.crt"
cert "C:\Program Files\OpenVPN\easy-rsa\pki\issued\server.crt"
key "C:\Program Files\OpenVPN\easy-rsa\pki\private\server.key"  # This file should be kept secret
dh "C:\Program Files\OpenVPN\easy-rsa\pki\dh.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
duplicate-cn
keepalive 10 120
tls-auth "C:\Program Files\OpenVPN\easy-rsa\pki\ta.key" 0 # This file is secret
cipher AES-256-GCM
persist-key
persist-tun
status "C:\Program Files\OpenVPN\log\status.log"
log         "C:\Program Files\OpenVPN\log\openvpn.log"
verb 4
mute 20
windows-driver wintun

У меня здесь указаны пути к ключам и сертификатам, используется порт TCP 1194. Параметр duplicate-cn позволяет подключаться всем клиентам по одному общему сертификату, но это небезопасно и не рекомендуется. Используйте только в тестовых целях. Я использую для того, чтобы с помощью одного и того же сертификата подключиться к OpenVPN серверу и с клиентской машины и со смартфона. Параметр windows-driver wintun подключает использование драйвера WinTun. И что им стоило этот параметр указать в примере конфигурации? Остальное по умолчанию.

ВНИМАНИЕ: в конфигурационных файлах допускается в путях использование прямого слеша:

ca «C:/Program Files/OpenVPN/easy-rsa/pki/ca.crt»

или двойного обратного слеша:

ca «C:\Program Files\OpenVPN\easy-rsa\pki\ca.crt»

Запуск OpenVPN сервера

Переходим к службам:

services.msc

Находим службу OpenVPNService.

Настраиваем на автоматический запуск при загрузке сервера.

Запускаем (перезапускаем) службу.

Согласно настройкам сервера в папке C:Program FilesOpenVPNlog должны появиться логи. Это один из инструментов администратора OpenVPN сервера.

Активировался сетевой адаптер OpenVPN Wintun.

Согласно настройкам сервера IP адрес 10.8.0.1.

Проверяем поднялся ли порт tcp 1194:

netstat -tan | find "1194"

Порт должен прослушиваться.

Настройка firewall

Теперь нужно настроить firewall. Открываем Windows Defender Firewall with Advanced Security.

Переходим в Inbound Rules.

Создаём правило — New Rule…

Тип правила — Port. Next.

Протоколы и порты — TCP 1194. Как в настройках сервера. Next.

Действия — Allow the connection. Next.

Для всех сетей. Next.

Указываем название правила — OpenVPN. Next.

Правило создано, теперь firewall не блокирует входящие TCP соединения на 1194 порту.

Настройка OpenVPN клиента на ПК Windows

На компьютере клиента устанавливаем OpenVPN Connect.

Get OpenVPN

Я скачиваю версию для Windows.

Запускаем установку.

Next.

Принимаем лицензионное соглашение. Next.

Install.

OpenVPN Connect устанавливается.

Установка завершена. Finish.

На рабочем столе появляется иконка OpenVPN Connect.

На сервере файл примера конфигурации client.ovpn копируем как internet-lab.ru.ovpn.

И редактируем:

client
dev tun
proto tcp
remote internet-lab.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
verb 0
connect-retry-max 25

Здесь нужно указать протокол, порт адрес сервера и прочие параметры. Пути к ключам и сертификатам относительные.

Создаём директорию, например, C:openvpn. Копируем в неё с сервера файлы:

• ca.crt
• client.crt
• client.key
• dh.pem
• ta.key
• internet-lab.ru.ovpn

Запускаем OpenVPN Connect.

Agree. Переключаемся на File.

Перетаскиваем мышкой в окно файл C:openvpninternet-lab.ru.ovpn, или указываем через кнопку Browse.

Ставим галку «Connect after import».

Коннектимся.

Соединение с OpenVPN сервером установлено.

В логах сервера видим, что соединился юзер v.pupkin.

Настройка OpenVPN клиента на смартфоне Android

Копируем на телефон все те же файлы, что и для клиента.

Устанавливаем приложение OpenVPN Connect.

Запускаем.

Agree.

Выбираем File. Указываем путь к файлу internet-lab.ru.ovpn.

Import.

Ставим галку «Connect after import».

Соединение с OpenVPN сервером установлено.

В логах сервера видим, что соединился второй юзер v.pupkin.

Отзыв сертификата

cd C:Program FilesOpenVPNeasy-rsa
EasyRSA-Start.bat
./easyrsa revoke client

Ссылки

Установка OpenVPN сервера на Windows

first time setting up OpenVPN …

removed the comments on the config file

Log:

2021-12-08 16:18:06 OpenVPN 2.5.4 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 20 2021
2021-12-08 16:18:06 Windows version 10.0 (Windows 10 or greater) 64bit
2021-12-08 16:18:06 library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2021-12-08 16:18:06 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2021-12-08 16:18:06 Need hold release from management interface, waiting...
2021-12-08 16:18:06 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2021-12-08 16:18:06 MANAGEMENT: CMD 'state on'
2021-12-08 16:18:06 MANAGEMENT: CMD 'log all on'
2021-12-08 16:18:06 MANAGEMENT: CMD 'echo all on'
2021-12-08 16:18:06 MANAGEMENT: CMD 'bytecount 5'
2021-12-08 16:18:06 MANAGEMENT: CMD 'hold off'
2021-12-08 16:18:06 MANAGEMENT: CMD 'hold release'
2021-12-08 16:18:06 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2021-12-08 16:18:06 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-12-08 16:18:06 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2021-12-08 16:18:06 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-12-08 16:18:06 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.2.105:10194
2021-12-08 16:18:06 Socket Buffers: R=[65536->65536] S=[65536->65536]
2021-12-08 16:18:06 UDP link local: (not bound)
2021-12-08 16:18:06 UDP link remote: [AF_INET]192.168.2.105:10194
2021-12-08 16:18:06 MANAGEMENT: >STATE:1638976686,WAIT,,,,,,
2021-12-08 16:19:06 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2021-12-08 16:19:06 TLS Error: TLS handshake failed
2021-12-08 16:19:06 SIGUSR1[soft,tls-error] received, process restarting
2021-12-08 16:19:06 MANAGEMENT: >STATE:1638976746,RECONNECTING,tls-error,,,,,
2021-12-08 16:19:06 Restart pause, 5 second(s)

server:

port 10194
proto udp
dev tun
ca "C:/Users/Tiavor/OpenVPN/config/ca.crt"

cert "C:/Users/Tiavor/OpenVPN/config/server.crt"

key "C:/Users/Tiavor/OpenVPN/config/server.key"

dh "C:/Users/Tiavor/OpenVPN/config/dh.pem"

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-crypt "C:/Users/Tiavor/OpenVPN/config/ta.key"

data-cipher-fallback AES-256-CBC
max-clients 1
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

client:

client
dev tun
proto udp
remote 192.168.2.105 10194
resolv-retry infinite
nobind
persist-key
persist-tun

ca "E:\Programme\OpenVPN\config\ca.crt"

cert "E:\Programme\OpenVPN\config\Client1.crt"

key "E:\Programme\OpenVPN\config\Client1.key"

remote-cert-tls server

tls-crypt "E:\Programme\OpenVPN\config\ta.key"

data-ciphers-fallback AES-256-CBC

verb 3

these are basically the sample files provided with the normal windows install.

I changed:

• «ciphers AES-256-CBC» to «data-ciphers-fallback AES-256-CBC»

• edited the files to the absolute paths, had to add an additional line break after ca for it to work for some reason

• «tls-auth …ta.key 1» to «tls-crypt …ta.key»

• port 1194 to 10194 just to not use the default port

though changing to tls-crypt didn’t change anything, same result.

firewall on the server is configured.