Автор Тема: Simply, настройка OpenVPN клиента. (Прочитано 1129 раз)

Mikle · « : 16.06.2025 10:20:24 »

Новичёк!
Запускаю клиента

# openvpn server.confответ от systemctl

● openvpn.service - OpenVPN daemons
     Loaded: loaded (/lib/systemd/system/openvpn.service; disabled; vendor pres>
     Active: active (exited) since Mon 2025-06-16 12:05:38 +07; 14min ago
       Docs: man:openvpn(8)
             https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
             https://community.openvpn.net/openvpn/wiki/HOWTO
    Process: 8564 ExecStart=/etc/openvpn/openvpn-startup (code=exited, status=0>
   Main PID: 8564 (code=exited, status=0/SUCCESS)
        CPU: 22ms

июн 16 12:05:37 AltS systemd[1]: Starting OpenVPN daemons...
июн 16 12:05:38 AltS systemd[1]: Finished OpenVPN daemons.

как я понимаю стартанул и остановился?
почему остановился?
полез в логи, но по пути /var/log/ никаких логов OpenVPN не нашол! нету папки openvpn!
причём запуск произвожу из учётки root

asy · « **Ответ #1 :** 16.06.2025 10:52:05 »

Цитата: Mikle от 16.06.2025 10:20:24

Новичёк!
не нашол!

НовичОк!
нашЁл

asy · « **Ответ #2 :** 16.06.2025 10:56:45 »

Цитата: Mikle от 16.06.2025 10:20:24

как я понимаю стартанул и остановился?
почему остановился?

Его кто-то настраивал? По идее openvpn работает в chroot, Используется сокет /var/lib/openvpn/dev/log. Умеет ли там лог ловить systemd-шный journal - не знаю. Да и работает ли он в chroot при systemd - надо уточнить...

Mikle · « **Ответ #3 :** 16.06.2025 11:22:48 »

Цитата: asy от 16.06.2025 10:56:45

Умеет ли там лог ловить systemd-шный journal

похоже не умеет.
в файле конфигурации изменил путь к логу, лог пишется...

Цитата: asy от 16.06.2025 10:56:45

Его кто-то настраивал?

Настраивал.
Переименовал server.conf in client.conf
в первой строке добавил client
при запуске

Код: [Выделить]

# openvpn --config /etc/openvpn/client.confв лог пишется

Код: [Выделить]

Options error: --server and --client cannot be used together
Use --help for more information.

не понимаю..., указано же в конфиге сто клиент!?

Код: [Выделить]

client
port 1194
proto udp

asy · « **Ответ #4 :** 16.06.2025 11:39:43 »

Более традиционно в ALT openvpn настраивается или через Alterator/etcnet, или через Network Manager. Запускается, соответсвтенно, через что настроено. Хотя и сам по себе работать тоже должен, но лично я ни через его собственный init-скрипт, ни через systemd-шный unit-файл не запускал.

Mikle · « **Ответ #5 :** 16.06.2025 11:48:16 »

Цитата: asy от 16.06.2025 11:39:43

Более традиционно в ALT openvpn настраивается или через Alterator/etcnet, или через Network Manager.

Точно! Дружище! Как я сам то не сообразил, он же в настройках Network Manager есть. Пойду попинаю... Благодарю!
Попинал (((
Невозможно открыть .var\lib/ssl/certs/ca-root.pem
действительно chroot
где бы найти подробную инструкцию?
походу и все сертификаты нужно туда перекидывать, и конфиг там лежит....

rits · « **Ответ #6 :** 16.06.2025 13:18:16 »

Настройка OpenVPN клиента.

Средствами ОС (etcnet)
Создать каталог tun0 в директории /etc/net/ifaces c с правами 700 (доступ только владельцу)
# mkdir /etc/net/ifaces/tun0
# chmod 700 /etc/net/ifaces/tun0
переходим в каталог tun0
# cd /etc/net/ifaces/tun0
и создаем два текстовых файла
# touch options ovpnoptions
в /etc/net/ifaces/tun0/options - добавим текст

Код: [Выделить]

ONBOOT=yes
TYPE=ovpn
BOOTPROTO=static

в /etc/net/ifaces/tun0/ovpnoptions - добавим текст

Код: [Выделить]

client
dev-type tun
proto tcp-client
remote 13.0.10.162 1194
resolv-retry infinite
keepalive 20 180
nobind
user openvpn
group openvpn
ca   /etc/net/ifaces/tun0/ca.crt
cert /var/lib/ssl/certs/server.crt
key  /var/lib/ssl/private/server.key
script-security 2
status /var/log/ovpn-status.log
log /var/log/ovpn.log
verb 3
#comp-lzo #зависит от сервера

Месторасположение ключей полученных от владельца сервера OpenVPN прописано в файле /etc/net/ifaces/tun0/ovpnoptions он же является конфигурационным файлом OpenVPN клиента:
ca /etc/net/ifaces/tun0/ca.crt
cert /var/lib/ssl/certs/server.crt
key /var/lib/ssl/private/server.key
Месторасположение может быть любым.
Запуск и остановка клиента производится командами ifup tun0 / ifdown tun0
Автозапуск клиента VPN tun0 прописывается в файле /etc/net/ifaces/tun0/options строчка ONBOOT=yes.

Стандартная установка - (как сервис рекомендуется)
Заполняем файл настройки
# nano /etc/openvpn/client/client.conf

Код: [Выделить]

client
dev tun
proto tcp
remote 27.49.18.72
resolv-retry infinite
keepalive 10 60
nobind
user openvpn
group openvpn
ca   /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key  /etc/openvpn/keys/server.key
status /var/log/ovpn-status
log /var/log/ovpn.log
verb 3

# tree -L 3 /etc/openvpn/
/etc/openvpn/
├── ccd -> ../../var/lib/openvpn/etc/openvpn/ccd
├── client
├── keys
├── openvpn-startup
└── server

Разместить ключи по каталогам /etc/openvpn/keys
# ls -l /etc/openvpn

-rw-r--r-- 1 root openvpn 448 янв 23 22:53 client.conf
drwxr-x--- 2 root openvpn 4096 мар 31 09:03 keys

# ls -l /etc/openvpn/keys/
-rw------- 1 root root 1208 янв 23 22:59 ca.crt
-rw------- 1 root root 3732 дек 4 2014 server.crt
-rw------- 1 root root 916 дек 4 2014 server.key

# systemctl enable openvpn-client@client.service
# systemctl start openvpn-client@client.service

Mikle · « **Ответ #7 :** 19.06.2025 12:51:47 »

Цитата: rits от 16.06.2025 13:18:16

Средствами ОС (etcnet)

сделал
вот лог

Код: [Выделить]

2025-06-19 16:45:51 Note: --cipher is not set. OpenVPN versions before 2.5 defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
2025-06-19 16:45:51 OpenVPN 2.6.12 x86_64-alt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD]
2025-06-19 16:45:51 library versions: OpenSSL 1.1.1w  11 Sep 2023, LZO 2.10
2025-06-19 16:45:51 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2025-06-19 16:45:51 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2025-06-19 16:45:51 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.83.101:1194
2025-06-19 16:45:51 UDPv4 link local: (not bound)
2025-06-19 16:45:51 UDPv4 link remote: [AF_INET]192.168.83.101:1194
2025-06-19 16:45:51 NOTE: chroot will be delayed because of --client, --pull, or --up-delay
2025-06-19 16:45:51 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

расшифруйте пожалуйста о чём тут речь то?

Mikle · « **Ответ #8 :** 19.06.2025 12:56:50 »

Цитата: rits от 16.06.2025 13:18:16

/etc/net/ifaces/tun0/ovpnoptions

в моём файле

Код: [Выделить]

proto udpпринципиально? на сервере и клиенте udp, и вообще в чём разница, что такое tcp and udp я понимаю, разница в работе впн какая будет? не понимаю.

Код: [Выделить]

dev-type tunне надо указывать tun0?
и кстати команда ifconfig показывает что tun отсутствует $:-\$

Mikle · « **Ответ #9 :** 19.06.2025 12:58:43 »

Цитата: rits от 16.06.2025 13:18:16

Стандартная установка - (как сервис рекомендуется)

не понял о чём речь

rits · « **Ответ #10 :** 20.06.2025 11:42:21 »

Цитата: Mikle от 19.06.2025 12:58:43

Цитата: rits от 16.06.2025 13:18:16
Стандартная установка - (как сервис рекомендуется)
не понял о чём речь

Афоризма для внутреннего употребления, вылезла наружу )
По умолчанию установил openvpn, подсунул конфиг с ключами и средствами systemd управляешь процессом.
С помощью etcnet удобней, быть может, но его настройка для меня показалась не "стандартной".

Цитата: Mikle от 19.06.2025 12:56:50

proto udp

У меня везде tcp

Цитата: Mikle от 19.06.2025 12:56:50

не надо указывать tun0?

Код: [Выделить]

 --dev-type device-type
              Which device type are we using? device-type should be tun (OSI Layer 3) or tap (OSI Layer 2). Use this option only if the TUN/TAP device used with --dev does not begin with tun or tap.

перевод man openvpn
--dev-type device-type
Какой тип устройства мы используем? device-type должен быть tun (OSI Layer 3) или tap (OSI Layer 2). Используйте эту опцию только в том случае, если устройство TUN/TAP, используемое с --dev, не начинается с tun или tap

Цитата: DeepSeek

dev tun
Классический вариант, поддерживается всеми версиями OpenVPN.
Просто указывает тип интерфейса (tun или tap).

dev-type tun
Более явный синтаксис, появился в более новых версиях OpenVPN.
Позволяет дополнительно уточнить тип устройства (tun или tap).

параметр 'script-security 2' - нужен для etcnet, у меня без него не запускался тунель, видно доп скрипты обслуживают работу vpn через etcnet и приложение сыплет в лог предупреждения, что это не безопасно

Цитата: Mikle от 19.06.2025 12:51:47

Средствами ОС (etcnet)

сделал
вот лог

гуглоперевод:

Код: [Выделить]

2025-06-19 16:45:51 Примечание: --cipher не установлен. Версии OpenVPN до 2.5 по умолчанию использовали BF-CBC в качестве резервного варианта, когда согласование шифра в этом случае не удалось. Если вам нужен этот резервный вариант, добавьте '--data-ciphers-fallback BF-CBC' в свою конфигурацию и/или добавьте BF-CBC в --data-ciphers.
2025-06-19 16:45:51 OpenVPN 2.6.12 x86_64-alt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD]
2025-06-19 16:45:51 версии библиотеки: OpenSSL 1.1.1w 11 сентября 2023 г., LZO 2.10
2025-06-19 16:45:51 ПРЕДУПРЕЖДЕНИЕ: Не включен ни один метод проверки сертификата сервера. Подробнее см. на http://openvpn.net/howto.html#mitm.
2025-06-19 16:45:51 ПРИМЕЧАНИЕ: текущий параметр --script-security может разрешить этой конфигурации вызывать пользовательские скрипты
2025-06-19 16:45:51 TCP/UDP: сохранение недавно использованного удаленного адреса: [AF_INET]192.168.83.101:1194
2025-06-19 16:45:51 Локальная ссылка UDPv4: (не привязана)
2025-06-19 16:45:51 Удаленная ссылка UDPv4: [AF_INET]192.168.83.101:1194
2025-06-19 16:45:51 ПРИМЕЧАНИЕ: chroot будет отложен из-за --client, --pull или --up-delay
2025-06-19 16:45:51 ПРИМЕЧАНИЕ: понижение UID/GID будет отложено из-за --client, --pull или --up-delay

Форум сообщества
Альт Линукс