Изпечатай

[icemans]

Проблемът ми е, че отскоро се опитвам да подкарам OpenVPN клиент под Кубунту, но мисля, че проблемът ми е в липсата на ТАП интерфейс. Инсталирам си OpenVPN с apt-get install - всичко уж си минава ОК! После си добавям нещата необходими в /etc/openvpn/ , но при опит да подкарам config файла - нещата не се получават. С ifconfig не виждам TAP интерфейс, което според мене е проблема. Дайте някой съвет - Благодаря!

[zeridon]

Тап интерфейс имаш стандартно не това ти е проблема.

Погледни какво пише в логовете.

Дай и конфига да видим какво може да се каже по него

[icemans]

Добре, не би ли трябвало с ifconfig да го виждам този TAP?!

[plamen_f]

tap или tun ползваш?

Нормално под линукс се ползва тун.

Я дай освен conf файла си в /etc/openvpn и лог-а от /var/log/openvpn.log

Добре е също да дадеш и изхода от ifconfig след като си се опитал да вдигнеш openvpn.

[plamen_f]

Опа - писал си.

Да трябва. Но ТАП се препоръчва при конфигурация за мост.

[icemans]

Значи това ми дава, когато се опитам да го подкарам:

sudo openvpn /etc/openvpn/home1.conf
Sun Jan 24 23:05:12 2010 OpenVPN 2.1_rc19 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Oct 13 2009
Sun Jan 24 23:05:12 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jan 24 23:05:12 2010 Cannot load certificate file /etc/openvpn/home1.crt": error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
Sun Jan 24 23:05:12 2010 Exiting

конфиг файла:

client

dev tap

#dev-node OVPN  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

proto udp

remote х.х.х.х 1194 #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config

resolv-retry infinite

nobind

persist-key

persist-tun

ca /etc/openvpn/ca.crt"

cert /etc/openvpn/home1.crt" # Change the next two lines to match the files in the keys directory.  This should be be different for each client.

key /etc/openvpn/home1.key"  # This file should be kept secret

ns-cert-type server

mute-replay-warnings

cipher BF-CBC        # Blowfish (default) encrytion

comp-lzo

verb 1

ifconfig

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:26:18:76:05:1c
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::226:18ff:fe76:51c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:27326 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31274 errors:0 dropped:0 overruns:0 carrier:2
          collisions:0 txqueuelen:1000
          RX bytes:18339226 (18.3 MB)  TX bytes:4799349 (4.7 MB)
          Interrupt:251

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:6714 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6714 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:195557 (195.5 KB)  TX bytes:195557 (195.5 KB)

По принцип сървъра е пуснат на Windows XP и с този конфиг файл се осъществява връзката под Уиндоус!

П.П. Нямам /var/log/openvpn.log

[zeridon]

Sun Jan 24 23:05:12 2010 Cannot load certificate file /etc/openvpn/home1.crt": error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib

оправи си пътя/правата до сертификата

[plamen_f]

Така да почнем под ред:

1. Не си публикувай така адрес на сървър - добре е за теб
2. Ти имаш ли сертификатите които са необходими - генерират се от администратора на VPN сървъра. В случая ако кажем, че потребителя ти е home1 трябва да имаш:
ca.crt
home1.crt
home1.key

Cannot load certificate file /etc/openvpn/home1.crt": error:02001002:system library:fopen:No such file or directory

Това как да го разбирам - там имаш ли ги файловете?


3. Ако ползваш ta ауторизация ще ти трябва разбира се и ta.key

4. Ето ти един примерен conf файл за обратната ситуация (такъв ми е под ръка но повярвай ми разлика няма;) ):

Код:

## client.conf
client
pull
dev tun
proto udp
remote SERVER_IP 1194
tun-mtu 1500
mssfix
#При линукс сложи тези файлове в /etc/openvpm/keys например и опиши пътя до тях
ca		"C:\\Program Files\\OpenVPN\\config\\SERVER\\ca.crt"
cert		"C:\\Program Files\\OpenVPN\\config\\SERVER\\home1.crt"
key		"C:\\Program Files\\OpenVPN\\config\\SERVER\\home.key"
tls-auth 	"C:\\Program Files\\OpenVPN\\config\\PASAT\\ta.key" 1
cipher BF-CBC
comp-lzo
verb 4
mute 20
keepalive 10 60
ns-cert-type server
# status /var/log/openvpn-status.log
# log-append /var/log/openvpn.log

5. Когато инсталира openvpn имаше ли проблеми?

[icemans]

Хм, да това за публикуването на адреса не се съобразих,  защото бързах да ги постна. По принцип както казах това е работещ конфиг файл, но под Уиндоус. Разбира се, че имам всички необходими сертификати - лично аз съм конфигурирал сървъра и съм издал сертификатите. Всичко необходимо се намира в /etc/openvpn/...!?

[icemans]

5. Когато инсталира openvpn имаше ли проблеми?

По принцип когато го инсталирах с apt-get нямах никакви проблеми! После реших да пробвам и сopenvpn-2.1.1.tar.gz - разархивирах - ./configure - OK, но после с make и make install - нещо не се получи!

[plamen_f]

Еми проблема ти е в конфига както виждаш.
Първо си оправи пътищата и файловете.

Щом си нямал проблем с apt-а е нямало нужда от другите неща.

Мисля да лягам, но ако имаш проблем още пусни тук ситуацията или на ЛС. По-добре е тук - може и на друг да помогнем.

BTW - Щом нямаш още openvpn.log значи не може въобще да стартира - не намира необхоимите файлове.

[icemans]

Еми проблема ти е в конфига както виждаш.
Първо си оправи пътищата и файловете.

Извинявай, но все още не мога да разбера къде точно е проблема?! След като файловете ми са в /etc/openvpn/ не са ли правилно описани в конфиг файла?

[plamen_f]

Хм
Ето ти един конфиг опростен за клиент под линукс:

Код:

## client.conf
client
pull
dev tun
proto udp
remote SERVER_IP 1194
ca		/etc/openvpn/keys/ca.crt
cert		/etc/openvpn/keys/ubuntu-1.crt
key		/etc/openvpn/keys/ubuntu-1.key
tls-auth 	/etc/openvpn/keys/ta.key 1
cipher BF-CBC
comp-lzo
verb 4
mute 20
keepalive 10 60
ns-cert-type server
status /var/log/openvpn-status.log
log-append /var/log/openvpn.log

Като ти разглеждам файла виждам едни кавички останали по редовете:

ca /etc/openvpn/ca.crt"

cert /etc/openvpn/home1.crt" # Change the next two lines to match the files in the keys directory.  This should be be different for each client.

key /etc/openvpn/home1.key"  # This file should be kept secret

Явно са ти останали при копиране от бозата. Това обаче не обяснява защо не може да ти захапе client.conf

Ето какво кават хората по въпроса:

"HELP, I CAN'T CONNECT" and receive a Connection Failed error.

Answer
    If you are running Windows, right-click on the gui icon and select "View Log". If you see something along the lines of this:

        Wed Mar 21 22:37:36 2007 Cannot load certificate file C:\Program Files\WiTopia.Net\config\First_Last.crt:error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
        Wed Mar 21 22:37:36 2007 Exiting

    It means you didn't save your signed certificate to the right location or it didn't download properly. Try performing a Search/Find on your computer (including desktop) for your firstname_lastname.crt (using your name, of course) file. or you can try a general *.crt search.

       

Същото е и за Линукс.

Я дай изхода от ls -l /etc/openvpn преди да почнем да преинсталираме openvpn.
И вдигни verb поне на 4.

[shteryana]

Тъй, по ред на номерата -

1) Зареден ли е tuntap драйвера в ядрото и/или разрешено ли е автоматичното лоад-ване на модули?
2) с какъв потребител стартираш openvpn клиента - по подразбиране ти трябват root права (ест. най-добре да ползваш sudo) за да можеш да отвориш tap интерфейс; другия вариант е да разрешиш на всички потребители да отварят tap интерфейси
3) след като отвориш tap интерфейса, openvpn клиента ще се опита да дропне привилегиите си до тези на user nobody, group nobody (или поне с default конфигурацията е така, ако в твоята конфигурация го няма е добре да го добавиш -

Код:

> cat openvpn-cfg.ovpn
...
# Downgrade privileges after initialization (non-Windows only)
user nobody
group nobody
...

- те трябва да съществуват на системата; или пък смени съответните настройки в конфиурацията

Успех!

[icemans]

Хм! Нещата тръгнаха след като махнах " от пътя на файла, което наистина не бях забелязал, добавих

status /var/log/openvpn-status.log
log-append /var/log/openvpn.log

и промених verb на 4. Незнам от кое точно е тръгнало, но според мене от промяната на пътя до файла! Благодаря на всички за отделеното време. Сега остава и да накарам някой браузър да се държи като IE, защото приложението което ползвам от сървъра е уеб базирано, но има едно управление което явно е javascript и като се опитам да го отворя ми казва - Available in IE?