OpenVPN на KDESKTOP (клиентское родключение)

[flint1975]

OpenVPN сервер настроен на школьном сервере, апгрейд до p6
Все сделано согласно инструкции Salomatina http://forum.altlinux.org/index.php/topic,8557.msg115513.html#msg115513
при настройке клиента, kdesktop 6.0.1 апдейт по сегодня.
интерфейс tun:0 не появляется!

Код: [Выделить]

[root@BVGSERV private]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether c8:60:00:9b:75:94 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.10/24 brd 192.168.1.255 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:09:3b:f0:1a:40 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.10/24 brd 10.0.0.255 scope global eth1
Не могу понять в чем дело!

[asket]

Интерфейс не появляется в случае неудачного запуска OpenVPN. Выложите лог OpenVPN сразу после попытки подключения.

[flint1975]

а где его искать?
или в messages?

[asket]

Код: [Выделить]

cat /etc/openvpn/*.conf  | grep  logвыведет вам строчку из конфига с расположением лога. Если таковой строчки нет, то добавьте

Код: [Выделить]

log   /путь/до/лога/openvpn.log

[flint1975]

Вот чего нарыл в messages

Код: [Выделить]

Jul  4 19:58:47 BVGSERV openvpn[11582]: OpenVPN 2.1.4 x86_64-alt-linux-gnu [SSL] [LZO2] [EPOLL] built on Nov 30 2010
Jul  4 20:02:25 BVGSERV openvpn[14250]: event_wait : Interrupted system call (code=4)
Jul  4 20:02:25 BVGSERV openvpn[14250]: TCP/UDP: Closing socket
Jul  4 20:02:25 BVGSERV openvpn[14250]: SIGTERM[hard,] received, process exiting
Jul  4 20:02:25 BVGSERV openvpn[14773]: OpenVPN 2.1.4 x86_64-alt-linux-gnu [SSL] [LZO2] [EPOLL] built on Nov 30 2010
Jul  4 20:02:25 BVGSERV openvpn[14773]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Jul  4 20:02:25 BVGSERV openvpn[14773]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul  4 20:02:25 BVGSERV openvpn[14773]: WARNING: file '/var/lib/ssl/private/yamaha.key' is group or others accessible
Jul  4 20:02:25 BVGSERV openvpn[14773]: LZO compression initialized
Jul  4 20:02:25 BVGSERV openvpn[14773]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Jul  4 20:02:25 BVGSERV openvpn[14773]: Socket Buffers: R=[126976->131072] S=[126976->131072]
Jul  4 20:02:26 BVGSERV openvpn[14773]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Jul  4 20:02:26 BVGSERV openvpn[14773]: Local Options hash (VER=V4): '41690919'
Jul  4 20:02:26 BVGSERV openvpn[14773]: Expected Remote Options hash (VER=V4): '530fdded'
Jul  4 20:02:26 BVGSERV openvpn[14774]: NOTE: chroot will be delayed because of --client, --pull, or --up-delay
Jul  4 20:02:26 BVGSERV openvpn[14774]: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Jul  4 20:02:26 BVGSERV openvpn[14774]: UDPv4 link local: [undef]
Jul  4 20:02:26 BVGSERV openvpn[14774]: UDPv4 link remote: 85.113.41.39:1194
Jul  4 20:02:26 BVGSERV openvpn[14774]: TLS: Initial packet from 85.113.41.39:1194, sid=3efc08c3 be12f5b6
Jul  4 20:02:26 BVGSERV openvpn[14774]: VERIFY OK: depth=1, /C=RU/O=Gradient-service/OU=Gradient-service_Certification_Authority/CN=Gradient-service_Root_Certification_Authority
Jul  4 20:02:26 BVGSERV openvpn[14774]: VERIFY OK: depth=0, /C=RU/O=gradient-service/OU=IT_department/CN=gate.lab1c.com
[root@BVGSERV log]#

Однако там раньше есть и другие ошибки:

Код: [Выделить]

Jul  4 20:00:59 BVGSERV openvpn[11583]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Jul  4 20:00:59 BVGSERV openvpn[11583]: TLS Error: TLS handshake failed
Jul  4 20:00:59 BVGSERV openvpn[11583]: TCP/UDP: Closing socket


[asket]

Код: [Выделить]

Jul  4 20:00:59 BVGSERV openvpn[11583]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)Либо проблема с сетью, либо не сопадает локальное время на сервере и на клиенте, либо разница в настройке TLS-шифрования.
Приведите конфиги сервера и клиента, а так же проверьте локальное время на компах.

[Salomatin]

Вот чего нарыл в messages

Наверное проще и быстрее будет, в виде небольшой лаборантской работы,  поставить у себя (хоть виртуально) сервер OpenVPN и подключиться к нему клиентом строго по инструкции, а не пробовать пробиваться на чужой сервер.
Добьетесь результата, сразу будет понятно где ошибка у вас сейчас. Логи сравнивать проще будет и все другое.
А так трудно понять, что у вас не так.

[asy]

Вот чего нарыл в messages

Я так понимаю, на сервере ? А что на клиенте ? Кстати, Network Manager умеет запускать OpenVPN, можно через него попробовать.

[flint1975]

Оба сервера мои! я и делаю это в рамках лабораторной работы! для работы я пока прокинул тоннель через pptp
Самое интересное pptp  между этими машинами устанавливается только через etcnet, Network manager - говорит ошибка соединения!
Время - может быть! Сейчас проверю!

[asket]

Все же рекомендую не доверяться альтератору (он, как и любой вэб-интерфейс, довольно ограничен в настройках) и настроить сервер и клиент при помощи конфигов, и управление туннелем передать etcnet - гораздо более гибкая и управляемая схема.

[flint1975]

Я так понимаю, на сервере ? А что на клиенте ?

Извиняюсь, сразу не заметил, это были логи клиента. На сервере все хорошо!

[asket]

Это вряд ли. Если идет ошибка TLS, то сыпет обычно в оба лога- и клиента и сервера.

[rabochyIT]

а где его искать?
или в messages?

/etc/net/tun0/ifaces/options - настройки создаются автоматом

не поднимается скорее всего из за неправильно созданных ключей

[flint1975]

Собственно, я так и не понял что было в моем случае не так, но подняв новый openvpn сервер на кентавре (а не на школьном 5 апгрэйженом до p6) все получилось! соединение состоялось.
Однако вылезло несколько багов, которые я просто пока не нашел как решить:
1. Не нашел конфигов openvpn сервера /etc/openvpn  и /var/lib/openvpn/etc - какие-то бестолковые (в смысле пустые)
2. Возникли трудности с маршрутами:
  2.1. При настройке tun0 (маршрут по умолчанию отключен, мне нужен только доступ до vpn клиентов и сеть между ними) прописав на клиенте маршрут до внутренней сети, где расположен vpn-server получил возможность пинговать с клиента внутреннюю сеть за vpn, однако пингануть обратно, с сервера в сторону клиента не получилось, даже прописывая маршруты вручную.
 2.2. Поскольку мне нужна сеть между клиентами, удобнее было использовать tap. Перенастроил, но не смог штатными настройками прописать ip адрес интерфейса tap0. Пришлось выполнять на сервере

Код: [Выделить]

ip a a 10.10.0.1/24 dev tap0
ip r a [сеть клиента] via 10.10.0.1 В связи с этим вопрос: Что такое в альтераторе "Адрес шлюза:"?
И как правильнее добавить это в автозапуск: настройкой openvpn сервера; скриптом в rc.local или как-то еще?

И еще несколько багов: модуль альтератора не запоминает последние настройки (вернее не читает текущую конфигурацию при открытии), у меня настроен tap и включен, а при открытии этого модуля появляется интерфейс tun и нет галочки, что он включен. А когда переключаешься на tap, то все ОК.
И непонятный пункт "Мост:" с выпадающим пустым списком в случае редактирования конфигурации tap.