OpenVPN / VirtualBox — как создать сервер OpenVPN на виртуалке с Astra Linux?

Question

[Chainsaw2100]

Здравствуйте.
Нужно настроить на виртуальной машине с Astra Linux сервер OpenVPN, чтобы:
1) иметь доступ к общим сетевым ресурсам
2) проксировать весь траффик с хоста через ВПН на ВМ
Что удалось сделать:
настроил OpenVPN на сервере, получил сертификаты для клиента, установил OpenVPN на хост, перекинул туда сертификаты клиента.
На хосте стоит W7 64
Следовал этому гайду:
https://www.youtube.com/watch?... 0%9F%D0%9A

Что имею сейчас:
Сервер запускается, однако клиент OpenVPN возвращает:
Wed Sep 08 19:39:59 2021 read UDP: Unknown error (code=10054)
Необходимый порт открыт в брандмауэре, однако порт сканнеры говорят, что он закрыт (мб из-за NAT).

Что бы хотелось узнать:
В правильном направлении ли я копаю, может быть можно сделать что-то проще, и что вообще делать?
Важно: все происходит на одной машине.
Содержимое server.conf: https://pastebin.com/Jst9gZBc
client.conf: https://pastebin.com/bc62BBYQ
ошибка:
Ifconfig
Сначала там был my-server, изменил на 192.168.99.1 - ситуация не изменилась. Указал 192.168.99.2 - получил ошибку TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Грешу на то, что на клиенте не удается открыть 1194 порт для входящих соединений. То есть в правилах он прописан, однако с виртуалки telnet'ом подключится не получается и в netstat - a он почему-то не указан.
Iptables https://pastebin.com/faLN0wQP
Ufw disable не помог
Спасибо

Comments

[Valentin Barbolin]

Грешу на то, что на клиенте не удается открыть 1194

Исходящий порт выбирается динамически и не должен быть 1194.

Сначала там был my-server, изменил на 192.168.99.1 - ситуация не изменилась. Указал 192.168.99.2

Судя по выводу из /sbin/ifconfig - на сервере серые адреса. Ты тестируешь VPN в локальной сети?

Iptables https://pastebin.com/faLN0wQP

Лучше покажи какие правила применились через команду iptables -nvL

[Chainsaw2100]

Andrey Barbolin, спасибо за ответ.
Все происходит на одном компьютере, если что.
Наверное да. Между хостом и виртуалкой 2 адаптера - Nat и Host-only adapter. Тестирую по второму.
Пинг проходит с обеих сторон.

[Valentin Barbolin]

Chainsaw2100, Никаких правил в firewall нет, все разрешено.
В ifconfig нет интерфейса tun, значит демон openVPN не запущен.

В server.conf server 192.168.99.0 255.255.255.0 не должна пересекаться с сетью сервера (eth1).

Разбирайся с демоном opneVPN, смотри лог почему он не стартанул.

[Chainsaw2100]

Там в последнем скриншоте есть tun0, причем пробовал подключаться к обоим ip - inet и destination

Answer 1

[Chainsaw2100]

Ошибка была в режимах сети - стояли Nat и Host-only, поменял на Bridged, указал IP сервера и все заработало.

Answer 2

[ramiil]

Посмотрите этот мануал, за исключением дистрибутив-специфичных вещей в начале, настройка на большинстве линуксов будет происходить примерно так.
https://www.dmosk.ru/instruktions.php?object=openv...
Проверьте, что провайдер не фильтрует вам порты, это очень вероятно. При необходимости смените порт на сервере.

Comments

[Chainsaw2100]

Спасибо за ответ.
Я, наверное, не отметил изначально, но все происходит на одной машине, в одной локальной сети. Провайдер ведь даже теоретически не может быть даже как-то причем?

[Drno]

Chainsaw2100, если Вы ломитесь по локальному ИП - то провайдер точно не при чем
В конфиге клиента - нет указаний на домен\IP сервера, куда ему ломиться то?
"remote my-server-1 1194"
Должно быть "192.168.1.2 1194" IP для примера взят конечно

[Chainsaw2100]

Drno, указывал и 192.168.99.1 и 192.168.99.2

[Drno]

Chainsaw2100, у вас хост - винда. в виртуалке линукс. у него есть IP, его и надо указывать...
попробуйте поменять на TCP и сменить порт, например у мен TCP и порт 10000

Ну и отключите временно фаерволлы на обоих машинах

Режим сети у виртуалки какой - "сетевой мост" ?

[Chainsaw2100]

Drno, указывал оба ip из интерфейса tun0 (на скриншоте). Менял на TCP - безрезультатно. Фаерволлы и брандмауэры отключены. Режима 2 - Nat и Host-only adapter.

[Drno]

Chainsaw2100, нужен режим сети - сетевой мост. ПРи других оно не будет работать. Чтоб виртуалка и Хост в одной сети оказались... иначе там сеть то изолируется...

[Chainsaw2100]

Drno, поменял на сетевой мост, указал IP машины, а не туннеля и получил ошибку, но теперь уже из-за шифра, спасибо!

[Drno]

Chainsaw2100, да не за что