Проблема с настройкой OpenVPN сервера и клиента. Как исправить?

Question

[Кирилл Трифин]

Здравствуйте!

Пытаюсь настроить OpenVPN-server на удаленном сервере и OpenVPN-client на локальной машине для совместного использования.

При использовании клиентского конфига в Linux с помощью NetworkManager, создается VPN-туннель, весь трафик заворачивается в tun0 и все работает ожидаемым образом.

Но никак не получается использовать этот конфиг из командной строки. После выпонения команды "openvpn --config path/to/client.conf" поднимается интерфейс tun0, прописываются маршруты, но хосты из внешней сети не доступны.

Обратил внимание на то, что маршруты создаваемые NetworkManager немного отличаются от тех, что создаются по умолчанию (различия по метрикам и маскам подсетей). Попробовал вручную настроить маршрутизацию, в точности повторяющую правила NetworkManager, но это не принесло успеха.

Лог запуска клиента

Подозреваю, что банально чего-то не хватает в файлах конфигурации.
Что я делаю не так? Как заставить OpenVPN-client заработать из командной строки?

UPD Дополню, что на сервере используется Debian 10, на локальной машине LMDE4.

Comments

[y0sh]

а в клиентском лог-файле что пишет?

[ValdikSS]

Вам уже ответили на этот вопрос на другом ресурсе 2 недели назад, зачем задавать его снова?

[Кирилл Трифин]

y0sh, пишет обычное "Initiatization Sequence Completed" - соединение установлено, можно пользоваться VPN-туннелем.

[y0sh]

bugnikork,
если в клиентском файле verb 2, то в логе будет запись про используемый cipher и auth

Answer 1

[Drno]

В конфиге сервера указано несколько возможных типов шифрования.
Вы выбрали вариант из этих возможных, поэтому и заработало

Answer 2

[d-stream]

Обычная практика: на каждой стороне прописывается список поддерживаемых/разрешенных алгоритмов и их параметров. А в момент "снюхивания" сторон между собой (как раз фаза согласования) они и выбирают тот вариант в который обе умеют.
Тем самым если задать на клиентской стороне единственный вариант - он и будет использован.

Answer 3

[meDveD_spb]

Data channel ciphers
Data channel ciphers encrypt network data packets.
This colon separated list contains the allowed data channel ciphers with decreasing priority. OpenVPN Access Server chooses the first cipher from this list that the client announces as supported. This list should always include at least AES-128-GCM or AES-256-GCM to avoid compatibility problems.
Valid ciphers include AES-256-GCM, AES-128-GCM, Chacha20-Poly1305, AES-128-CBC, AES-256-CBC and BF-CBC (deprecated). The AEAD ciphers (AES-GCM and Chacha20-Poly1305) are the preferred modern ciphers for speed and security.

Examples:
Prefer Chacha20-Poly1305 over AES when a client supports it on a server hardware without AES support (e.g. Raspberry Pi):
Chacha20-Poly1305:AES-256-GCM:AES-128-GCM:AES-256-CBC

Allow BF-CBC
AES-256-GCM:AES-128-GCM:AES-256-CBC:BF-CBC

Support legacy clients that do not announce ciphers. This affects only OpenVPN 2.3.x clients (or older) that are compiled with --enable-small