Задать вопрос
@wlad1164

Настройка OpenVPN для работы с tls\ssl?

Прошу помощи, подскажите куда копать.
Имеется сервер VPN и 4 клиента (1-моб телефон,2-домашний ПК, 3 и 4 рабочие ПК) ПК 3 и 4 находятся в одной локальной сети
Все подключены к серверу, но на ПК 3 и 4 не работают некоторые сайты, браузеры выдают ошибку связанную с TLS \ SSL
Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS. Если это будет повторяться, обратитесь к владельцу веб-сайта.

Конфиг сервера:
port 1194
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-auth ta.key 0
topology subnet
client-to-client
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"
push "route 1.1.1.1 255.255.255.255 vpn_gateway"
push "route 8.8.8.8 255.255.255.255 vpn_gateway"
push "route 149.154.164.0 255.255.252.0 vpn_gateway"
push "route 178.62.9.0 255.255.255.0 vpn_gateway"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

Все конфиги клиентов идентичны, 1 и 2 работают без проблем, 3 и 4 с ошибкой, подозреваю что дело в сетевом экране за которым находятся 3 и 4 , но разве весь трафик не должен заворачиваться в VPN ? Не понимаю почему так происходит...
  • Вопрос задан
  • 2271 просмотр
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
@UPSA
anykey. Я не программист, я просто ленивый.
Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS. Если это будет повторяться, обратитесь к владельцу веб-сайта.

На всех браузерах? OPenVPN не причем )
Проверь антивирусы....
Эти "редиски" при включенной опции проверка сертификатов подсовывают свои сертификаты - зачем то ?!!!?
Открываем страницу в браузере. Перед адресом есть замочек. Пытаемся посмотреть сертификат сервера (на разных браузерах по разному). И иногда в сертификате написано что нет доверия поставщику сертификата. Используя поисковик ищем корневой сертификат AVAST, Kaspersky...(с ними были как то танцы с бубном). И добавляем их как доверенные центры сертификации.

ИЛИ ищем в настройках как отключить проверку SSL/TLS.
Ответ написан
@freezl
Для заворачивания всего трафика в VPN надо прописать push "redirect-gateway def1" в конфиге сервера, а у Вас эта опция закомментирована. + к этому настроить nat на сервере, чтобы он подменял адреса источника в пакетах и отправлял их в интернет.
При данном конфиге сдаётся мне, что вчерез vpn идёт только dns-трафик на 8.8.8.8 и 1.1.1.1 + 2 подсети 149.154.164.0/22 и 178.62.9.0/24. Так и было задумано?
Для примера можете открыть https://2ip.ru , запомнить адрес. После чего включить ovpn, если был выключен или наоборот, и открыть сайт в новой вкладке - адрес должен измениться (должен отображаться IP адрес VPN сервера)
Ответ написан
@wlad1164 Автор вопроса
Как временный вариант завернул трафик google внутрь VPN
# Часть серверов GOOGLE
push "route 216.58.192.0 255.255.224.0 vpn_gateway"
push "route 172.217.0.0 255.255.0.0 vpn_gateway"
push "route 64.233.160.0 255.255.224.0 vpn_gateway"

Вопрос все еще открыт...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы