Есть рабочий сервер OpenVPN на debian, на котором я случайно удалил ca.key, пришлось заново генерировать все ключи и сертификаты. Конфиги не менялись. До удаления всё работало: весь трафик от клиента уходил в тоннель, доступ к локальным ресурсам был, инет работал.
Теперь же ошибки, но только с мобильных устройств (android и iphone):
TLS: Initial packet from [AF_INET]
TLS_ERROR: BIO read tls_read_plaintext error: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
С мобильных устройств работает RDP, доступ к шаре (пробовал с android через es explorer), инет не работает, не работает доступ к шаре через приложение (synology), с компа всё работает без проблем.
Конфиги iptables и OpenVPN не менялись ни у клиента, ни на сервере.
Сервер
port 9194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
crl-verify crl.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.0.1"
keepalive 10 120
tls-auth ta.key 0
cipher BF-CBC
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 4
mute 10
Клиент
client
dev tun
proto udp
remote xx.xx.xx.xx 9194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert support.crt
key support.key
ns-cert-type server
tls-client
tls-timeout 120
tls-auth ta.key 1
cipher BF-CBC
comp-lzo
verb 3
iptables
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source xx.xx.xx.xx