Как настроить openvpn сервер с udp портом для клиентов с серыми ip?

Question

[hunter0358]

Поднимаю свой aws lightsail инстанс на debian, присваиваю ему статический ip. Устанавливаю ovpn сервер, прописываю udp порт, открываю этот порт на инстансе. Заканчиваю натсройку ovpn сервера и скачиваю себе конфиг файл, пытаюсь подключиться. С UDP не получается подключиться, перенастроил с TCP, подключаюсь, но режет скорость почти до 0 (примерно с 8 вечера до ночи, не могу понять с чем связано). Искал причины в интернете, нарвался на статью, что UDP не работает, если провайдер выдает вам серый ip адрес. Проверил ip адрес, действительно серый (от разговора с провайдером нет толку, не могут они выдавать белый ip, а менять не поменяешь провайдера). До момента как я решил поднять свой vpn сервер, покупал просто подписку у разных поставщиков (у нас в регионе таких много). Если открыть текст клиента *.ovpn, то у них работали на udp портах, как они это сделали не могу понять. Сам я раньше этим не занимался (новичок). Делал все по видео. Помогите пожалуйста, как можно настроить сервер так, чтобы он работал через UDP, а не TCP с условием серого ip адреса?
https://www.youtube.com/watch?v=VBWydSqksFY

Comments

[Владимир Юрченков]

А зачем вам UDP, он не на столько безопасен..быстрее да, не спорю.

[hunter0358]

Владимир Юрченков, для скорости он мне и нужен )

[res2001]

Владимир Юрченков,

он не на столько безопасен

Чем же, интерено, TCP безопаснее UDP? Тем что гарантирует доставку пакетов? Но это к безопасности не имеет отношения. Доставку пакетов поверх UDP гарантирует собственный протокол OpenVPN.

[Владимир Юрченков]

res2001, если пакет не дошел по какой-то причине до нужного узла, при этом сообщил об этом, это является безопасностью.

И да, если ваша еда из макдака доехала до вас в целости, это и есть безопасность.

[res2001]

Владимир Юрченков, Это не безопасность. Это гарантия доставки пакетов. Да эту гарантию обеспечивает TCP и не обсепечивает UDP. Но в данном случае это не важно, т.к. эту гарантию дает протокол OpenVPN, и она таки есть при использовании OpenVPN поверх UDP.

Ваша еда может доехать до вас в целой упаковке, но от нее откусят по дороге кусок или плюнут туда по дороге - вот это больше похоже на безопасность (точнее на не безопасность), если уж проводить аналогии.

[mureevms]

нарвался на статью, что UDP не работает, если провайдер выдает вам серый ip адрес

Работает. Либо в статье написана хрень, либо вы ее не верно поняли.

Недоступность 875/UDP порта может объясняться тем, что он привелегированный и провайдер его блокирует, попробуйте сменить на дефолтный 1194/UDP. Если не поможет, предлагаю проверить коннект с другого провайдера по обоим этим портам. Раз сталкивался с таким, что UDP вообще был заблочен.

Касательно обрезки скорости, надо искать причины. Чем проверяли скорость? Что в логах сервера при обрезке скорости?

Приложите конфиг и клиента, и сервера, а то не понятно пушится ли клиенту DGW.

Настраивали ли фаервол на сервере, а конкретно NAT и разрешение пересылки пакетов между интерфейсами?

Моя статья про OpenVPN, вникните в суть настройки. Сделайте настройки из раздела "Минимальная настройка Iptables для ...", для чего - зависит от того как вы настраиваете OVPN. Нам этого неизвестно, поскольку нет конфига.

[hunter0358]

mureevms,
0. Пробовал 1194/UDP и 443/UDP
1. скорость проверял speedtest.net
2. Как открыть лог сервера aws lightsail?
3. Как открыть конфиг сервера openvpn на debian 10?
4. Конфиг клиента:
client
dev tun
proto udp
remote 13.37.115.71 875
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3

5. Как настроить фаервол на сервере для nat?

[mureevms]

hunter0358, у вас есть SSH доступ к серверу? Как вы вообще настроили на нем OVPN, если не знаете как посмотреть конфиг?

[hunter0358]

mureevms, есть. На компьютере сгенерирвал ключ, когда открывал инстанс закинул в него и зашел через консоль: ssh admin@
А дальше уже как по видео.
Я только начал учиться этому

[mureevms]

hunter0358, значит, конфиг лежит где-то в каталоге /etc/openvpn/. Покажите все файлы .conf

[hunter0358]

mureevms, какими командами это сделать?

[hunter0358]

mureevms,
помоему нашел

[mureevms]

hunter0358, просмотрите все содержимое /etc/openvpn/, там должен быть хоть один файл .conf, его/их и надо показать. Вероятно скрипт его положил в каталог server. Т.е. /etc/openvpn/server/*.conf

[hunter0358]

mureevms,

[mureevms]

Попробуйте удалить строку, начинающуюся с local.
Изменить порт и протокол на

port 443
proto tcp

Добавить строки, чтобы сервис начал писать логи:

status /var/log/openvpn-status.log 1
status-version 3
log-append /var/log/openvpn-server.log

Затем перезапустить сервис командой sudo systemctl restart openvpn@server.service и попробовать подключиться. Если подключения не произойдет, покажите логи клиента и сервера. Лог сервера можно найти по пути /var/log/openvpn-server.log

[hunter0358]

mureevms,

[mureevms]

Смотрите логи в /var/log/syslog, сам сервис OVPN не стартует. Что-то с конфигом

[mureevms]

hunter0358, Еще загляните в /var/log/openvpn-server.log, там тоже может быть полезная информация

[hunter0358]

mureevms,

[mureevms]

hunter0358, перед командой повышайте привелегии, используя sudo

[hunter0358]

mureevms,

Answer 1

[Drno]

Тут дело не в сером IP. скорее всего проблема в конфигах клиента или сервера

Запустите кинфиг на клиенет через openVPN клиент и дайте лог, на что он там ругается при подключении?
Какой порт используется для openvVPN сервера? он в фаерволле то открыт?

Comments

[hunter0358]

Вот лог:
[Mar 14, 2022, 12:22:11] OpenVPN core 3.git::d3f8b18b win x86_64 64-bit built on Feb 16 2022 16:25:17
⏎[Mar 14, 2022, 12:22:11] Frame=512/2048/512 mssfix-ctrl=1250
⏎[Mar 14, 2022, 12:22:11] UNUSED OPTIONS
4 [resolv-retry] [infinite]
5 [nobind]
6 [persist-key]
7 [persist-tun]
11 [ignore-unknown-option] [block-outside-dns]
12 [block-outside-dns]
13 [verb] [3]
⏎[Mar 14, 2022, 12:22:11] EVENT: RESOLVE ⏎[Mar 14, 2022, 12:22:11] Contacting 13.37.115.71:875 via UDP
⏎[Mar 14, 2022, 12:22:11] EVENT: WAIT ⏎[Mar 14, 2022, 12:22:11] WinCommandAgent: transmitting bypass route to 13.37.115.71
{
"host" : "13.37.115.71",
"ipv6" : false
}

⏎[Mar 14, 2022, 12:22:11] Connecting to [13.37.115.71]:875 (13.37.115.71) via UDPv4
⏎[Mar 14, 2022, 12:22:21] Server poll timeout, trying next remote entry...
⏎[Mar 14, 2022, 12:22:21] EVENT: RECONNECTING ⏎[Mar 14, 2022, 12:22:21] EVENT: RESOLVE ⏎[Mar 14, 2022, 12:22:21] Contacting 13.37.115.71:875 via UDP
⏎[Mar 14, 2022, 12:22:21] EVENT: WAIT ⏎[Mar 14, 2022, 12:22:21] WinCommandAgent: transmitting bypass route to 13.37.115.71
{
"host" : "13.37.115.71",
"ipv6" : false
}

⏎[Mar 14, 2022, 12:22:21] Connecting to [13.37.115.71]:875 (13.37.115.71) via UDPv4
⏎[Mar 14, 2022, 12:22:31] Server poll timeout, trying next remote entry...
⏎[Mar 14, 2022, 12:22:31] EVENT: RECONNECTING ⏎[Mar 14, 2022, 12:22:31] EVENT: RESOLVE ⏎[Mar 14, 2022, 12:22:31] Contacting 13.37.115.71:875 via UDP
⏎[Mar 14, 2022, 12:22:31] EVENT: WAIT ⏎[Mar 14, 2022, 12:22:31] WinCommandAgent: transmitting bypass route to 13.37.115.71
{
"host" : "13.37.115.71",
"ipv6" : false
}

⏎[Mar 14, 2022, 12:22:31] Connecting to [13.37.115.71]:875 (13.37.115.71) via UDPv4
⏎[Mar 14, 2022, 12:22:41] EVENT: CONNECTION_TIMEOUT BYTES_OUT : 1620
PACKETS_OUT : 30
CONNECTION_TIMEOUT : 1
N_RECONNECT : 2
⏎[Mar 14, 2022, 12:22:41] EVENT: DISCONNECTED ⏎

875 порт udp
в фаерволе он открыт

[res2001]

hunter0358, Ошибка с таймаутом, чаще всего говорит о том, что нет связи с удаленным сервисом.
Связи может не быть по разным причинам, в т.ч. и при блокировки трафика фаерволом.

[Drno]

hunter0358, попробуйте дефолтный порт для openVPN

[hunter0358]

res2001, чьим фаерволом? но ведь через TCP работает. Если это не связано с серым айпи клиента, то как можно решить вопрос?

[hunter0358]

Drno, пробовал, не получается

[Drno]

hunter0358, еще момент. я незнаю как там на AWS, но на многих хостингах кроме фаерволла в панели упр, обычно еще влючен фаерволл на самом VPS...
хотя если бы был 2рой фаерволл, то TCP бы тоже не работало)

[Drno]

hunter0358, а что за клиент подрубается? линь,винда,тел?
на винде у меня лично были траблы, в итоге остановился на клиенте этой версии... openvpn-install-2.4.8-I602-Win7

[Drno]

hunter0358, если хотите могу дать свой конфиг, попробуйте подрубиться. мне не жалко)

[hunter0358]

Drno, win 10 клиент из оф сайта, с андроида такая же история TCP работает, UDP нет. На роутер ставил, такая же байда: TCP получилось, UDP нет

[Drno]

hunter0358, у меня с конфигом работает с любых устройств... правда я в итоге остановился на TcP. т.к. Микротик дома )

[hunter0358]

Drno, у меня товарищ на другом конце шарика использовал все теже насройки UDP как и я (и в инстансе и в openvpn) у него UDP работает. Значит проблема не в VPS )

[hunter0358]

Drno, Что такое Микротик? )

[res2001]

hunter0358,

Если это не связано с серым айпи клиента, то как можно решить вопрос?

Серый IP на клиенте - никак на процесс не влияет. Важен белый IP на сервере. На клиенте при этом может быть любой IP, лишь бы он имел выход в интернет. Решение я вам написал в своем ответе.

чьим фаерволом?

Любым. Хоть на фаером на конечных узлах (клиенте или сервере), хоть любым промежуточным фаерволом.

[Drno]

hunter0358, роутер хороший)

[Drno]

hunter0358, ну если у товарища работает, значит ваш провайдер чет блочит...
может на 443 порту заработает..
вообще поэтому и советуют - TCP+443 порт. т.к. это стандартный порт для веба

[hunter0358]

Drno, я и на 443 пробовал. TCP 443 работает, но скорость убивает. А скорость мне нужна (

[Drno]

hunter0358, ну странно просто что убивает, т.к. у меня 80мб(на 100мб) канале выдает.
на самом деле если канал гамно - то там нет особой разницы между udp\tcp

Answer 2

[res2001]

OpenVPN лучше работает на UDP, у них есть статья почему это именно так, гуглите. Но это не значит, что вариант с TCP не работоспособен, просто там есть определенные "особенности".
Арендуйте VDS с белым IP и на нем разместите VPN сервер.
Не только для ВПН, но и вообще для любого сервиса, который должен быть доступен из интернет необходим белый IP.
Можно, конечно, попробовать договорится с оператором о пробросе портов, но, по моему, это не реально.

Comments

[hunter0358]

Я присвоил инстансу белый ip. не думаю что на VDS с такими же условиями чтото поменяется.

[res2001]

hunter0358,

присвоил инстансу белый ip

О чем речь вообще?
Белый IP вам должен выдать оператор связи, который через него выпускает ваш комп в интернет.

[hunter0358]

res2001, это невозможно как и описано в вопросе

[res2001]

hunter0358,

это невозможно как и описано в вопросе

Я это понял. Поэтому и пишу вам про внешний VDS с белым IP.
Без белого внешнего IP адреса OpenVPN не будет работать. Или вы должны иметь возможность настроить проброс порта, используемого OpenVPN с сервера NAT на сервер OpenVPN.
Это, кстати, не ограничение OpenVPN - серые адреса не могут маршрутизироваться в интернете и подобные пакеты, если они попадут в интернет, тут же будут убиты первым же промежуточным шлюзом.

[hunter0358]

А разве Public ip это не белый адрес (скриншот в вопросе)? У меня товарищ настроил все также зеркально как и я udp порты, у него все хоршо работает. Единственное отличие, что мы в разных странах и у него провайдер белый айпи раздал, а у меня серый )

[res2001]

hunter0358, Public IP - да это тот IP с которого комп попадает в интернет.
Но этот Public IP не обязательно должен быть присвоен сетевому интерфейсу компьютера. Чаще всего Public IP находится на роутере. В этом случае вы должны в настройках NAT пробросить порт, используемый OpenVPN с роутера на комп. Если роутером вы не управляете, то остается возможность договорится с тем, кто управляет роутером о пробросе прота. Если договорится не возможно - надо искать обходные варианты. Обходной вариант я описал в ответе. Кстати, вы можете взять VDS бесплатно на тест на какое-то время, многие хостеры VDS дают такую возможность, настроить там OpenVPN и проверить работоспособность ВПН, а потом уже принимать решение об аренде.

[hunter0358]

res2001,
"В этом случае вы должны в настройках NAT пробросить порт, используемый OpenVPN с роутера на комп." -Можно подробней? я просто не до конца вникаю о чем идет речь ) (новичок - как я и говорил)
и чем vds отличается от vps? для данной проблемы как решается этот вопрос чисто технически? )

[res2001]

hunter0358, Смотрите, когда на компе серый адрес, он не может на прямую адресоваться в интернете. Поэтому где-то этот серый адрес должен подменяться белым адресом. Этот процесс происходит с помощью NATа - Network Address Translation, это служба, которая занимается подменой адресов. Вот с помощью этой службы и настраивается проброс портов. Как правило в домашних роутерах NAT включен по умолчанию, можете посмотреть как там это выглядит. Подробности настройки NAT стоит смотреть в документации к роутеру или к тому ПО, которое используется для этого (если NAT не на роутере, а на компе). Проброс портов - это одна из стандартных возможностей NAT.
Если серый IP вам выдает оператор, то NAT находится у оператора и, конечно, доступа к нему вы не имеете.

и чем vds отличается от vps

Вообще это не вполне устоявшиеся термины. В принципе они означают примерно одно и то же. Различия скрываются под используемой технологией виртуализации. Если это контейнерная технология, то вы ограничены в выборе ОС, которая устанавливается внутрь контейнера, и в этом случае ограничен набор используемого софта. Если это полноценная виртуализация, то внутрь можно поставить практически любую ОС, иметь права администратора в этой ОС и устанавливать любой софт.
Для поднятия OpenVPN обычно достаточно VDS с самым минимальным объемом ресурсов, который может дать оператор VDS. В качестве ОС может быть любой бесплатный линукс без GUI. Конечно, нужно уметь работать с линуксом в командной строке.
Если арендовать VDS с виндой, то ресурсов потребуется больше для самой винды плюс еще придется платить за лицензию на винду.

Забыл про еще один вариант - гуглите "free openvpn". По этому запросу найдете несколько сервисов, которые бесплатно предоставляют услуги ВПН сервера. Поскольку это бесплатно, то никто никакой гарантии производительности не дает, и даже не гарантирует, что завтра этот сервер будет доступен. Если вам это подходит, то останется только скачать готовый конфиг и подсунуть его вашему OpenVPN клиенту.

[hunter0358]

res2001, res2001, Серый ip выдает мне провайдер. VPS который сейчас я использую выходит через белый ip. С VPS у нас проблем нет. (т.к. мы уже проверяли: подключались к нему через UDP с другого региона, где провайдер выдает белый IP) Теперь остается решить проблему таким образом: как настроить openvpn сервер таким образом, чтобы он работал с UDP портом для клиентов у которых провайдер выдает серый ip? Я знаю, что так делают, но не знаю как. Вот конфиг от поставщика, у которого я раньше брал и он работал на ура:
client
dev tun
proto udp
remote gussteam.servepics.com 875
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3

К сожалению, настроек сервера он не преподнес.
Поменять провайдера нет возможности, он один на территории.

[res2001]

hunter0358, Какой IP у клиента не имеет значения. В клиентском конфиге ничего не меняется при этом. Ваш конфиг выглядит работоспособным.