OpenVPN клиент не подключается к серверу, что не так?

Question

[vasRmba]

На сервере Win 7 64

конфиг

dev tun
proto udp
port 1194
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
topology subnet
server 10.8.0.0 255.255.255.0
cipher AES-128-CBC
comp-lzo
mssfix
keepalive 10 120
verb 3

На клиенте Win7 32

конфиг

port 1194
client
dev tun
proto udp
remote 10.8.0.1 1194
ca ca.crt
cert client.crt
key client.key
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3

лог клиента

Fri Jul 31 13:04:07 2015 MANAGEMENT: >STATE:1438337047,RECONNECTING,tls-error,,
Fri Jul 31 13:04:07 2015 Restart pause, 2 second(s)
Fri Jul 31 13:04:09 2015 WARNING: No server certificate verification method has been enabled. See openvpn.net/howto.html#mitm for more info.
Fri Jul 31 13:04:09 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jul 31 13:04:09 2015 UDPv4 link local: [undef]
Fri Jul 31 13:04:09 2015 UDPv4 link remote: [AF_INET]10.8.0.1:1194
Fri Jul 31 13:04:09 2015 MANAGEMENT: >STATE:1438337049,WAIT,,,
Fri Jul 31 13:05:09 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jul 31 13:05:09 2015 TLS Error: TLS handshake failed
Fri Jul 31 13:05:09 2015 SIGUSR1[soft,tls-error] received, process restarting
Fri Jul 31 13:05:09 2015 MANAGEMENT: >STATE:1438337109,RECONNECTING,tls-error,,
Fri Jul 31 13:05:09 2015 Restart pause, 2 second(s)
Fri Jul 31 13:05:11 2015 WARNING: No server certificate verification method has been enabled. See openvpn.net/howto.html#mitm for more info.
Fri Jul 31 13:05:11 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jul 31 13:05:11 2015 UDPv4 link local: [undef]
Fri Jul 31 13:05:11 2015 UDPv4 link remote: [AF_INET]10.8.0.1:1194
Fri Jul 31 13:05:11 2015 MANAGEMENT: >STATE:1438337111,WAIT,,,

запускаю от админа

Answer 1

[Сергей]

А это не явно указание на ошибку?

"Fri Jul 31 13:04:09 2015 WARNING: No server certificate verification method has been enabled. See openvpn.net/howto.html#mitm for more info."

По ссылке ходили? Исправить пытались?

Comments

[vasRmba]

Да, по ссылке ходил, там документация) Исправить не пытался, ибо не знаю как.

[Сергей]

vasRmba: Там конкретная ссылка на Вашу ошибку. Выполните то что написано.

[ldv]

Сергей: сейчас основная проблема с
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
а не Warning'ом

[Сергей]

ldv: Да это как раз и не проблема. Обычное дело при реконнектах и долгой неактивности

[ldv]

Сергей: сервером является ноутбук без белого IP

[Сергей]

Блин, да вы что, люди. Ну явно же по английски написано: "No server certificate verification method has been enabled" в переводе через гугл: "Ни один метод проверки сертификата сервера не был включен"
грубо говоря должны быть строки типа:

tls-auth ta.key 0
tls-server
tls-timeout 120

А в вашем конфиге этого нет.

[Сергей]

ldv: Я не имел ввиду железо. Я говорил о сервере OPENVPN и о клиенте OPENVPN. Софт, а не железо.

[ldv]

Сергей: на какой ip по вашему должен подключаться клиент?

[Сергей]

ldv: Вы у меня спрашиваете?? В конфиге стоит remote 10.8.0.1 1194 - вот пусть на него и подключается

[ldv]

Сергей: 10.8.0.1 - это адрес сервера в VPN сети

[ldv]

Сергей: реального белого ip у сервера нет, клиент не сможет к нему подключиться в принципе

[Сергей]

ldv: И что ему мешает это сделать? Вы вообще уверены что он через интернет это делает? Может он в локалке две сети соединяет

[ldv]

Сергей: перечитайте комменты к моему ответу

Answer 2

[Viktor]

Гугл четко выводит на эту статью. Добавим рабочий вариант для истории.
Сервер:
cat /etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 172.16.31.0 255.255.255.0
ifconfig-pool-persist ipp.txt 0
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
tls-server
status openvpn-status.log
verb 3
client-to-client
client-config-dir /etc/openvpn/ccd
reneg-sec 0 ; не разрывать соединение каждый час для обновления ключа "не безопастно"

Добавляем по необходимости
push "route 192.168.0.0 255.255.255.0" ; говорим клиентам что за сеть за сервером, чтоб они добавили маршрут в роутинг
push "explicit-exit-notify 3"

Если нам нужны сети за клиентами openvpn, добавляем

route 192.168.115.0 255.255.255.0 172.16.31.1 ; рассказываем серверу что за сети у клиентов (office1) чтоб знал маршрутизацию
route 192.168.33.0 255.255.255.0 172.16.31.1 ; их может быть очень много (office2)

Настройки что бы клиенты получали постоянно один и тот же адрес VPN
имена office1, office2 берутся из название ключа когда создаете сертификат клиента

Клиент office1 с внутренней сетью 192.168.115.Х
cat /etc/openvpn/ccd/office1
ifconfig-push 172.16.31.2 172.16.31.1
iroute 192.168.115.0 255.255.255.0

Клиент 2 с внутренней сетью 192.168.33.Х
cat /etc/openvpn/ccd/office2
ifconfig-push 172.16.31.3 172.16.31.1
iroute 192.168.33.0 255.255.255.0

Настройки клиента

cat /etc/openvpn/client.conf
client
dev tun
proto udp
remote Х.Х.Х.Х 1194 # Внешний адрес сервера
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
ca /etc/openvpn/ca.crt # Ключ сервера
cert /etc/openvpn/office1.crt # Ключи клиента
key /etc/openvpn/office1.key # Ключи клиента
comp-lzo
verb 3
mute 20
#tun-mtu 1380 # если ping есть а нечего не качается внутри сети, снижаем mtu