1

Temat: OpenVPN w trybie TUN - generowanie *.ovpn

Witam.
Wczoraj w końcu postanowiłem uruchomić VPN na moim TL-WDR4300 v1 według poradnika Cezarego (o tego). Zaktualizowałem oprogramowanie do najnowszej wersji 18.06-SNAPSHOT i zabrałem się za konfigurację i generowanie certyfikatów. Wszystko poszło sprawnie i bez problemów.
Problem zaczął się w momencie konfigurowania klienta na iPhonie. Program OpenVPN Connect wymaga konfiguracji zapisanej w pliku *.ovpn.
Próbowałem różnego rodzaju przykładów znalezionych w sieci ale niestety nie udało mi się połączyć z serwerem VPN. Podpowie ktoś jak poprawnie wygenerować taki plik?
dodam jeszcze, że router na którym stoi VPN jest podłaczowy do routera/modemu od Netii choć wydaje mi się, że poprawnie przekierowałem port (opis)

mój plik ovpn

client
port 1194
remote ookrisserv.ddns.net
dev tun
proto udp
nobind
auth-nocache
persist-key
persist-tun
verb 2
key-direction 1

<ca>
-----BEGIN CERTIFICATE-----
[plik ca.crt]
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
[plik iphone.cert]
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
[plik iphone.key]
-----END PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
[plik ta.key]
-----END OpenVPN Static key V1-----
</tls-auth>

log z aplikacji na telefonie

2018-08-21 09:02:39 EVENT: RESOLVE
2018-08-21 09:02:39 Contacting [xx.xx.xx.xx]:1194/UDP via UDP
2018-08-21 09:02:39 EVENT: WAIT
2018-08-21 09:02:39 Connecting to [adres routera z ddns]:1194 (xx.xx.xx.xx) via UDPv4
2018-08-21 09:02:49 Server poll timeout, trying next remote entry...
2018-08-21 09:02:49 EVENT: RECONNECTING
2018-08-21 09:02:49 EVENT: RESOLVE
2018-08-21 09:02:49 Contacting [xx.xx.xx.xx]:1194/UDP via UDP
2018-08-21 09:02:49 EVENT: WAIT
2018-08-21 09:02:49 Connecting to [adres routera z ddns]:1194 (xx.xx.xx.xx) via UDPv4
2018-08-21 09:03:00 Server poll timeout, trying next remote entry...
2018-08-21 09:03:00 EVENT: RECONNECTING
2018-08-21 09:03:00 EVENT: RESOLVE
2018-08-21 09:03:00 Contacting [xx.xx.xx.xx]:1194/UDP via UDP
2018-08-21 09:03:00 EVENT: WAIT
2018-08-21 09:03:00 Connecting to [adres routera z ddns]:1194 (xx.xx.xx.xx) via UDPv4
2018-08-21 09:03:10 Server poll timeout, trying next remote entry...
2018-08-21 09:03:10 EVENT: RECONNECTING
2018-08-21 09:03:10 EVENT: RESOLVE
2018-08-21 09:03:10 Contacting [xx.xx.xx.xx]:1194/UDP via UDP
2018-08-21 09:03:10 EVENT: WAIT
2018-08-21 09:03:10 Connecting to [adres routera z ddns]:1194 (xx.xx.xx.xx) via UDPv4
2018-08-21 09:03:21 Server poll timeout, trying next remote entry...
2018-08-21 09:03:21 EVENT: RECONNECTING
2018-08-21 09:03:21 EVENT: RESOLVE
2018-08-21 09:03:21 Contacting [xx.xx.xx.xx]:1194/UDP via UDP
2018-08-21 09:03:21 EVENT: WAIT
2018-08-21 09:03:21 Connecting to [adres routera z ddns]:1194 (xx.xx.xx.xx) via UDPv4
2018-08-21 09:03:32 Server poll timeout, trying next remote entry...
2018-08-21 09:03:32 EVENT: RECONNECTING
2018-08-21 09:03:32 EVENT: RESOLVE
2018-08-21 09:03:32 Contacting [xx.xx.xx.xx]:1194/UDP via UDP
2018-08-21 09:03:32 EVENT: WAIT
2018-08-21 09:03:32 Connecting to [adres routera z ddns]:1194 (xx.xx.xx.xx) via UDPv4
2018-08-21 09:03:39 EVENT: CONNECTION_TIMEOUT [ERR]
2018-08-21 09:03:39 Raw stats on disconnect:
 BYTES_OUT : 2394
 PACKETS_OUT : 57
 CONNECTION_TIMEOUT : 1
 N_RECONNECT : 5
2018-08-21 09:03:39 Performance stats on disconnect:
 CPU usage (microseconds): 112027
 Network bytes per CPU second: 21369
 Tunnel bytes per CPU second: 0
2018-08-21 09:03:39 EVENT: DISCONNECTED
2018-08-21 09:03:39 Raw stats on disconnect:
 BYTES_OUT : 2394
 PACKETS_OUT : 57
 CONNECTION_TIMEOUT : 1
 N_RECONNECT : 5
2018-08-21 09:03:39 Performance stats on disconnect:
 CPU usage (microseconds): 112027
 Network bytes per CPU second: 21369
 Tunnel bytes per CPU second: 0
WinISO.pl - Archiwum polskich wersji systemów Windows, Windows Serwer i Office

2

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

$ ping  ookrisserv.ddns.net
PING ookrisserv.ddns.net (78.8.116.80) 56(84) bytes of data.
^C
--- ookrisserv.ddns.net ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 9205ms

On jest uruchomiony w ogóle?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3 (edytowany przez ookris 2018-08-21 08:39:13)

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Wygląda na to, że tak. Noip.com twierdzi, że ostatnie odświeżenie było o Aug 20, 2018 05:41 PDT.
Może router od netii coś jeszcze blokuje?

WinISO.pl - Archiwum polskich wersji systemów Windows, Windows Serwer i Office

4

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Dla pewności: na netii przekierowałeś 1194 UDP na ip routera na wanie? Otworzyłeś port 1194 na usb na wanie na routerze?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Konfiguracja Netiaspotu to jakaś tragedia. Nidy IP w noip.com jest aktualne, porty są przekierowane a do strony i tak nie idzie się dostać hmm
Przestawiłem nawet firewall na "minimalne bezpieczeństwo" i dalej nic.
Jeśli jest tu ktoś kto potrafi ogarnąć ten "sprzęt" od Neti to niech się wypowie.
Ewentualnie jak ustawić DDNS w OpenWRT tak aby aktualizował adres IP będąc podpiętym do routera od Neti?

WinISO.pl - Archiwum polskich wersji systemów Windows, Windows Serwer i Office

6

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Z ddns nie ma żadnego problemu - jako źródło robisz web i adres bierze z internetu a nie z interfejsu. Ale to nic nie pomoże na problemy z przekierowaniem w netii.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7 (edytowany przez ookris 2018-08-22 10:00:24)

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Cezary napisał/a:

Z ddns nie ma żadnego problemu - jako źródło robisz web i adres bierze z internetu a nie z interfejsu.

Dzięki, będę działał
--edit--
Tak w woli ścisłości
Mam OpenWrt 18.06-SNAPSHOT r7260-4b4a6308e7 / LuCI openwrt-18.06 branch (git-18.228.31946-f64b152) i powinienem skorzystać z opisu w OpenWrt 18.06 twojego poradnika?

WinISO.pl - Archiwum polskich wersji systemów Windows, Windows Serwer i Office

8

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Przepraszam, że pisze post za postem ale chcę być pewny.

Ja napisał/a:

Tak w woli ścisłości
Mam OpenWrt 18.06-SNAPSHOT r7260-4b4a6308e7 / LuCI openwrt-18.06 branch (git-18.228.31946-f64b152) i powinienem skorzystać z opisu w OpenWrt 18.06 twojego poradnika?

WinISO.pl - Archiwum polskich wersji systemów Windows, Windows Serwer i Office

9

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

No tak, zmienił się sposób generowania certyfikatów, więc i tak tylko w jeden sposób jesteś stanie to zrobić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

10

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Podepnę się pod temat, mam problem z sklejeniem takiego pliku, przy generowaniu kluczy nie mam nigdzie pliku ta.key, trzeba go jakos oddzielnie wygenerować ? nie mam go w folderze /etc/easy-rsa/keys

11

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

A korzystasz w ogóle z ta.key? openvpn --genkey --secret /etc/openvpn/ta.key i masz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

12

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Cezary napisał/a:

A korzystasz w ogóle z ta.key? openvpn --genkey --secret /etc/openvpn/ta.key i masz.

Raczej nie korzystam, jestem w tym totalnie zielony, rok temu próbowałem zrobić sobie vpn ale poległem.

Po tej komendzie dalej nie mam tego pliku.

13

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

A ja twierdzę że jest:

root@MiFi:~# ls /etc/openvpn/ta.key
ls: /etc/openvpn/ta.key: No such file or directory
root@MiFi:~# openvpn --genkey --secret /etc/openvpn/ta.key
root@MiFi:~# ls /etc/openvpn/ta.key
/etc/openvpn/ta.key
root@MiFi:~# 
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

14

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Cezary napisał/a:

A ja twierdzę że jest:

root@MiFi:~# ls /etc/openvpn/ta.key
ls: /etc/openvpn/ta.key: No such file or directory
root@MiFi:~# openvpn --genkey --secret /etc/openvpn/ta.key
root@MiFi:~# ls /etc/openvpn/ta.key
/etc/openvpn/ta.key
root@MiFi:~# 

Ah... wybacz, szukałem w /etc/easy_rsa/key.

Połaczył się jednak mam jeden warning i ikonka aplikacji jest na żółto
Sat Sep 15 09:19:42 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Druga sprawa: rozumiem że łącząc sie spoza sieci domowej adres serwera powinienem ustalic taki jaki mam na routerze upc ? Mimo że laczy mi sie zewnatrz to nie moge spingować routera ani wejsc na niego

openvpn.pz_home_server.server='10.0.0.1 255.255.255.0' <= ten adres ?

15

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Powinieneś podać adres publiczny ip i na dodatek przekierować odpowiednie porty na routerze UPC a na routerze otworzyć je na wanie (jeżeli masz połączony przez wan a nie lan). Zakładając że masz publiczny adres na routerze upc, bo jak nie to nic z tego nie będzie.

Robiłeś sam konfigurację serwera? Więc powinieneś wiedzieć czego używasz do autoryzacji. Pokaż pełne konfigi serwera i klienta.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

16

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

A jest jakas możliwośc oprócz dzwonienia do upc sprawdzenia czy mam ip publiczne ?

uci show openvpn:
openvpn.pz_home_server=openvpn
openvpn.pz_home_server.enabled='1'
openvpn.pz_home_server.dev='tun'
openvpn.pz_home_server.port='1194'
openvpn.pz_home_server.proto='udp'
openvpn.pz_home_server.keepalive='10 60'
openvpn.pz_home_server.verb='3'
openvpn.pz_home_server.log='/tmp/openvpn.log'
openvpn.pz_home_server.dh='/etc/openvpn/dh2048.pem'
openvpn.pz_home_server.key='/etc/openvpn/serwer.key'
openvpn.pz_home_server.cert='/etc/openvpn/serwer.crt'
openvpn.pz_home_server.ca='/etc/openvpn/ca.crt'
openvpn.pz_home_server.server='10.0.0.1 255.255.255.0'

Czy powinienem miec tutaj jeszcze konfigi klientow ? Oprocz samych kluczy ?

17

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Konfig serwer to konfig serwera, po co miał byś mieć tak konfigi klientów? Na kliencie zrób identyczną konfigurację.

Router UPC nie wyświetla ci jaki masz adres ip?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

18

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Widzę.

Mam zrobić coś na ten wzór ? Sory że sie pytam.. ale dziś juz 10 razy przywracałem ustawienia routera....

openvpn.client1=openvpn
openvpn.client1.enabled='1'
openvpn.client1.dev='tun'
openvpn.client1._server.port='1194'
openvpn.client1.proto='udp'
openvpn.client1.keepalive='10 60'
openvpn.client1.verb='3'
openvpn.client1.log='/tmp/openvpn.log'
openvpn.client1.dh='/etc/openvpn/dh2048.pem'
openvpn.client1.key='/etc/openvpn/client1.key'
openvpn.client1.cert='/etc/openvpn/client1.crt'
openvpn.client1.ca='/etc/openvpn/ca.crt'
openvpn.client1.server='10.0.1.1 255.255.255.0'

openvpn.client2=openvpn
openvpn.client2.enabled='1'
openvpn.client2.dev='tun'
openvpn.client2._server.port='1194'
openvpn.client2.proto='udp'
openvpn.client2.keepalive='10 60'
openvpn.client2.verb='3'
openvpn.client2.log='/tmp/openvpn.log'
openvpn.client2.dh='/etc/openvpn/dh2048.pem'
openvpn.client2.key='/etc/openvpn/client2.key'
openvpn.client2.cert='/etc/openvpn/client2.crt'
openvpn.client2.ca='/etc/openvpn/ca.crt'
openvpn.client2.server='10.0.1.2 255.255.255.0'

Czy raczej tak (skrótowo):
openvpn.pz_home_server.dh='/etc/openvpn/dh2048.pem'
openvpn.pz_home_server.key='/etc/openvpn/client2.key'
openvpn.pz_home_server.cert='/etc/openvpn/client2.crt'
etc.. ?

19

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Nie ma opcji "server" jest "remote" za to. Zobacz: http://eko.one.pl/?p=openwrt-openvpntun

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

20 (edytowany przez moonmaker05 2018-09-15 10:06:25)

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

ok widze swój bład, tylko chodzi mi oto czy za openvpn. ma byc nazwa hosta czy klienta ?

no i zapewne brakuje mi tam jeszcze   uci set openvpn.pz_home_server.remote_cert_tls=server

21

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

To tylko nazwa sekcji konfiguracyjnej uci i nic wspólnego z konfigurację samego openvpn nie ma. Możesz zrobić alamakota i też będzie ok.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

22

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

root@VigoradoNetwork:/etc/easy-rsa/keys# uci show openvpn
openvpn.pz_home_server=openvpn
openvpn.pz_home_server.enabled='1'
openvpn.pz_home_server.dev='tun'
openvpn.pz_home_server.port='1194'
openvpn.pz_home_server.proto='udp'
openvpn.pz_home_server.keepalive='10 60'
openvpn.pz_home_server.verb='3'
openvpn.pz_home_server.log='/tmp/openvpn.log'
openvpn.pz_home_server.dh='/etc/openvpn/dh2048.pem'
openvpn.pz_home_server.ca='/etc/openvpn/ca.crt'
openvpn.pz_home_server.server='10.0.0.1 255.255.255.0'
openvpn.pz_home_server.client='1'
openvpn.pz_home_server.remote_cert_tls='server'
openvpn.pz_home_server.cert='/etc/openvpn/magda_laptop.crt'
openvpn.pz_home_server.key='/etc/openvpn/magda_laptop.key'
openvpn.pz_home_server.remote='10.0.1.2 1194'

Czy mi sie wydaje ale nadpisalo ta konfiguracje serwera vpn ?

23

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Raczej pomieszałeś konfiguracje obu. Ponawiam pytanie: PO CO robisz konfigurację klienta na serwerze?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

24

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Skoro robie caly czas konfiguracje serwera to jaka inna komenda mam to robic ? Albo w ktorym miejscu ? Nie rozumiem tego.

25

Odp: OpenVPN w trybie TUN - generowanie *.ovpn

Po co dodałeś do konfiguracji serwera opcję "remote" i certyfikaty klienta? Bo ty to zrobiłeś, samo się nie dodało.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.