Почему не идет подключение телефона Yealink к OpenVPN?

Question

[Dmitriy Q]

Пытаюсь подогнать новый сертификат для подключения старых моделей Yealink к OpenVPN:
Неудачно:

Fri Sep  8 17:30:04 2023 us=340109 MULTI: multi_create_instance called
Fri Sep  8 17:30:04 2023 us=340153 Re-using SSL/TLS context
Fri Sep  8 17:30:04 2023 us=340161 LZO compression initializing
Fri Sep  8 17:30:04 2023 us=340198 Control Channel MTU parms [ L:1624 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Fri Sep  8 17:30:04 2023 us=340209 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 AF:3/1 ]
Fri Sep  8 17:30:04 2023 us=340232 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Fri Sep  8 17:30:04 2023 us=340238 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Fri Sep  8 17:30:04 2023 us=340253 TCP connection established with [AF_INET]10.10.150.1:4941
Fri Sep  8 17:30:04 2023 us=340258 TCPv4_SERVER link local: (not bound)
Fri Sep  8 17:30:04 2023 us=340262 TCPv4_SERVER link remote: [AF_INET]10.10.150.1:4941
Fri Sep  8 17:30:05 2023 us=348223 10.10.150.1:4941 TLS: Initial packet from [AF_INET]10.10.150.1:4941, sid=6bcc8e77 8fec1aab
Fri Sep  8 17:30:05 2023 us=450254 10.10.150.1:4941 Connection reset, restarting [0]
Fri Sep  8 17:30:05 2023 us=450282 10.10.150.1:4941 SIGUSR1[soft,connection-reset] received, client-instance restarting
Fri Sep  8 17:30:05 2023 us=450325 TCP/UDP: Closing socket

Успешное подключение:

Fri Sep  8 17:32:35 2023 us=752703 10.10.150.1:3013 Outgoing Data Channel: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep  8 17:32:35 2023 us=752723 10.10.150.1:3013 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Fri Sep  8 17:32:35 2023 us=752729 10.10.150.1:3013 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep  8 17:32:35 2023 us=752764 10.10.150.1:3013 Incoming Data Channel: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep  8 17:32:35 2023 us=752769 10.10.150.1:3013 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Fri Sep  8 17:32:35 2023 us=752773 10.10.150.1:3013 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep  8 17:32:35 2023 us=752777 10.10.150.1:3013 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
WRwrWRwrWrWRwrWRwRwrWRwRFri Sep  8 17:32:35 2023 us=857201 10.10.150.1:3013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Sep  8 17:32:35 2023 us=857232 10.10.150.1:3013 [client] Peer Connection Initiated with [AF_INET]10.10.150.1:3013
Fri Sep  8 17:32:35 2023 us=857250 client/10.10.150.1:3013 MULTI_sva: pool returned IPv4=10.8.0.19, IPv6=(Not enabled)
Fri Sep  8 17:32:35 2023 us=857273 client/10.10.150.1:3013 MULTI: Learn: 10.8.0.19 -> client/10.10.150.1:3013
Fri Sep  8 17:32:35 2023 us=857278 client/10.10.150.1:3013 MULTI: primary virtual IP for client/10.10.150.1:3013: 10.8.0.19
Fri Sep  8 17:32:38 2023 us=290482 client/10.10.150.1:3013 PUSH: Received control message: 'PUSH_REQUEST'
Fri Sep  8 17:32:38 2023 us=290514 client/10.10.150.1:3013 SENT CONTROL [client]: 'PUSH_REPLY,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.19 255.255.255.0' (status=1)

Что ещё необходимо поправить? Не пойму что не нравится в первом случае.

Comments

[Drno]

проверяй типы шифрования
и LZO (точно ли с ним будет работать)

[res2001]

Это логи клиента или сервера? А что на противоположной стороне?
Где конфиги?

[Dmitriy Q]

res2001, логи сервера

конфиг сервера

port 2194
proto tcp
dev tun
ca privnet/ca.crt
cert privnet/server.crt
key privnet/server.key
dh privnet/dh1024.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 5
log-append /var/log/openvpn.log
duplicate-cn

конфиг клиента

client
dev tun
dev-type tun

proto tcp
remote 213.XYZ.ABC.DEF 2194
resolv-retry infinite
nobind
persist-key
persist-tun

ca /config/openvpn/keys/ca.crt
cert /config/openvpn/keys/client2.crt
key /config/openvpn/keys/client2.key

;ns-cert-type server
;tls-auth ta.key 1
;cipher x

comp-lzo
verb 3

Причем в конфиге клиента изменились только клиентский сертификат и ключ. Со старыми - всё заводится. С новыми заводится и на Е2.

[res2001]

Dmitriy Q, Что в логах клиента? Если поменялся лишь сертификат, то видимо проблема в нем. Наверное, что-то не соответствует хотелкам сервера. Включите логи на клиенте и давайте сюда ошибку с клиента.

[Дмитрий Червонобаб]

Drno, точно будет

[Дмитрий Червонобаб]

Dmitriy Q, напишите, пожалуйста, версии ПО, с какой работало, с какой не работает.
Мы после апдейта софта то же столкнулись с этой проблемой, но особо с ней не боролись, просто даунгрейдились, кажется.

[Dmitriy Q]

Дмитрий Червонобаб, в том и дело что на те же аппараты накатываю конфиги!
И старые модели Т19, Т20, Т21 и Т22 не подключаются и всё!
Ещё нюанс что подсовывал старые серты и ключи и на их основе генерировал клиентские конфиги.
Потом создал всё с нуля заново - заработало.
Новые Е2 и новее уже жрут в виде конфигов ovpn - где все серты и ключи внутри, только переименовать надо в vpn.cnf и запаковать в tar.

[Дмитрий Червонобаб]

Dmitriy Q, моим аппаратам лет семь. Все это время конфиг в tar с сертами внутри. Я даже не знал, что бывают другие варианты.