Настройка OpenVPN для работы с tls\ssl?

Question

[wlad1164]

Прошу помощи, подскажите куда копать.
Имеется сервер VPN и 4 клиента (1-моб телефон,2-домашний ПК, 3 и 4 рабочие ПК) ПК 3 и 4 находятся в одной локальной сети
Все подключены к серверу, но на ПК 3 и 4 не работают некоторые сайты, браузеры выдают ошибку связанную с TLS \ SSL

Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS. Если это будет повторяться, обратитесь к владельцу веб-сайта.

Конфиг сервера:

port 1194
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-auth ta.key 0
topology subnet
client-to-client
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"
push "route 1.1.1.1 255.255.255.255 vpn_gateway"
push "route 8.8.8.8 255.255.255.255 vpn_gateway"
push "route 149.154.164.0 255.255.252.0 vpn_gateway"
push "route 178.62.9.0 255.255.255.0 vpn_gateway"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

Все конфиги клиентов идентичны, 1 и 2 работают без проблем, 3 и 4 с ошибкой, подозреваю что дело в сетевом экране за которым находятся 3 и 4 , но разве весь трафик не должен заворачиваться в VPN ? Не понимаю почему так происходит...

Comments

[wlad1164]

Ради эксперимента взял конфиг с ПК-2 и положил его на ПК-3, при попытке открыть эти сайты та же ошибка.

Answer 1

[Александр]

Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS. Если это будет повторяться, обратитесь к владельцу веб-сайта.

На всех браузерах? OPenVPN не причем )
Проверь антивирусы....
Эти "редиски" при включенной опции проверка сертификатов подсовывают свои сертификаты - зачем то ?!!!?
Открываем страницу в браузере. Перед адресом есть замочек. Пытаемся посмотреть сертификат сервера (на разных браузерах по разному). И иногда в сертификате написано что нет доверия поставщику сертификата. Используя поисковик ищем корневой сертификат AVAST, Kaspersky...(с ними были как то танцы с бубном). И добавляем их как доверенные центры сертификации.

ИЛИ ищем в настройках как отключить проверку SSL/TLS.

Comments

[wlad1164]

Из опробованных да (Opera 12, Opera 53, MS EDGE, Мозила, Хром)
Антивируса нет (только штатный windows 10)
У меня есть подозрение что в трафик вклиниваются админы сети
В трафик без vpn 100% подменяются dsn и еще много чего, на трафик внутри vpn вроде как влиять они не должны, но почему так получается непонятно....

[Александр]

С сертификатами все нормально? В Виндосе иногда обновления идут: ... обновление корневых сертификатов.
И без VPN сайты открываются?

некоторые сайты

Все https:// или некоторые https:// ?
Windows лицензионный? )))

Ну самое невероятное )))
1) А время на машинах нормальное? Если время не совпадает тоже может не грузится.
2) А КриптоПро установлен? Именно на таких машинах глючит.
3) Проверка админами шлюза сайтов ... Если обычный трафик то шлюз проверяет и дает добро, а вот если шифрованный - они его режут.

[wlad1164]

Александр, http открываются все (ну по крайней мере те что пытался)
https открываются не все
Что интересно:
для примера сайт google.com
Если не входить в акаунт, сайт работает, если попытаться войти - ошибка.
И самое смешное:
1.VPN отключен, заходим на google.com все работает, выходим из аккаунта, все работает
2.Включаем VPN, заходим на сайт google все работает, нажимаем кнопку "Войти" (пр верхний угол) , сразу ошибка
3.Отключаем VPN, заходим на сайт google все работает, входим в аккаунт, все работает
4. Включаем VPN , не можем зайти на google.com т.к. ошибка SSL\TLS ...
Занавес...

1.да, время верное
2.Эм... не знаю что такое КриптоПро, думаю не установлен (если речь о рабочих ПК) установлена чистая windows 10 pro
3.Это они делают точно, но как они влазят внутрь VPN ? и почему другой шифрованный трафик проходит без проблем, и случай описанный выше тому подтверждение.
К примеру не работают google (с авторизацией) microsoft, rutracekr (точнее его зеркала точные адреса не помню)

[Александр]

Кстати попробуй поменять

cipher AES-256-CBC

Я когда то не смог согласовать windows с VPN из-за обновления связанного с усилением параметров ssl/tls. Пришлось лезть глубоко правила учетной политики ... вот бы вспомнить ...кажется... настройки сетевых интерфейсов и разрешения шифровать по другому...

[Александр]

Эта ошибка браузеров - им что то не нравится...

3.Это они делают точно, но как они влазят внутрь VPN ? и почему другой шифрованный трафик проходит без проблем, и случай описанный выше тому подтверждение.

Возможно блокируют файлы с расширением *.cer

В браузере Chome. C включенным VPN. Сразу после Ошибке. Слево от адреса Поле с Замочком. Возможно будет красным. Короче там поле есть ))). Левой кнопкой. Там в строке будет = сертификат. Нажать.
Там будет: Для чего выдан, Кем выдан, Когда выдан, Срок действия.
Обратить внимание:
1) Что ты видишь сертификат.
2) Срок действия не истек
3) Выдан... Нет надписей что непонятно кому выдан.
4) Кем выдан... нет надписей ... не понятно кем выдан
5) Тестируем google = значит и сертификат должен быть от него.

Answer 2

[Максим]

Для заворачивания всего трафика в VPN надо прописать push "redirect-gateway def1" в конфиге сервера, а у Вас эта опция закомментирована. + к этому настроить nat на сервере, чтобы он подменял адреса источника в пакетах и отправлял их в интернет.
При данном конфиге сдаётся мне, что вчерез vpn идёт только dns-трафик на 8.8.8.8 и 1.1.1.1 + 2 подсети 149.154.164.0/22 и 178.62.9.0/24. Так и было задумано?
Для примера можете открыть https://2ip.ru , запомнить адрес. После чего включить ovpn, если был выключен или наоборот, и открыть сайт в новой вкладке - адрес должен измениться (должен отображаться IP адрес VPN сервера)

Comments

[wlad1164]

Мне не нужно заворачивать в VPN весь трафик, поэтому опция закомментирована.
В данном случае в VPN заворачиваются все DNS запросы+ 2 сайта, остальной трафик идет мимо тунеля

[Александр]

а попробуй убить ...

push "route 1.1.1.1 255.255.255.255 vpn_gateway"
push "route 8.8.8.8 255.255.255.255 vpn_gateway"

Пусть DNS идет нормально ...

[wlad1164]

Александр, не вариант, ибо сайты вроде того же vk.com будут заворачиваться на локальный IP с сообщением мол "ты куда пошел? А ну веди себя хорошо"

[wlad1164]

Александр, ради спортивного интереса сейчас сделаю)))

[Максим]

wlad1164, правильно понимаю, что Вы делаете для себя обход блокировок на рабочем месте?

Answer 3

[wlad1164]

Как временный вариант завернул трафик google внутрь VPN

# Часть серверов GOOGLE
push "route 216.58.192.0 255.255.224.0 vpn_gateway"
push "route 172.217.0.0 255.255.0.0 vpn_gateway"
push "route 64.233.160.0 255.255.224.0 vpn_gateway"

Вопрос все еще открыт...

Comments

[Максим]

vpn_gateway не обязательно - и без него всё прописывается корректно.
А проксей у Вас не стоит случаем? На работе вполне может через wpad или групповыми политиками раздаваться прокся.