Почему клиент openvpn не читает нормально конфиг файл от сервера?

Question

[nik210]

Привет.
1) Я поднял на Голландском серваке (ubuntu) openvpn, сгенерировал конфиг файл.
2) Скинул конфиг файл на свой домашний сервак (Debian GNU/Linux 8 (jessie).
3) запускаю VPN соединение openvpn --config /root/box.ovpn и получаю ошибку

Options error: Unrecognized option or missing parameter(s) in /root/box.ovpn:17: tls-crypt (2.3.4)
Use --help for more information.

17 строка это вторая строка сертификата , получается openvpn неправильно читает строку с сертификатом, хотя все теги написаны правильно

client
dev tun
proto udp
remote айпи порт
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
verb 3
<ca>
-----BEGIN CERTIFICATE-----
BIIDQjdCAiqgARIBAgIvDc6nXUjiUHWI8T5kn1o8FW3LyT0wpQYJKoZzhvc1AQEL
9QAw Вот на этой строке openvpn и ругается     MDQ1ODM1WhcNMzAwMTI5
1111111111111111111111111111111111111111111111111111111111111111
бла-бла-бла22222222222222222222222222222222222222222222222222222
sieb9NyTsxFtQL/IvXKZO0dcLivYUw==
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
.....
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
.....
-----END OpenVPN Static key V1-----
</tls-crypt>

Answer 1

[res2001]

Ошибка не там где вы указали, а в теге tls-crypt.
Какая версия openvpn на клиенте? tls-crypt появился только в версии 2.4
Используйте tls-auth.

Comments

[nik210]

сервер OpenVPN 2.4.4
клиент OpenVPN 2.3.4
никак не получается обновить OpenVPN на клиенте Debian GNU/Linux 8 (jessie) 4.19.62-sunxi
попробовал другой домашний сервак UBUNTU 19 там openVPN клиент версии 2.4.7, так он легко подключился

прописал tls-auth, дело сдвинулось с мертвой точки, клиент теперь пишет
Sat Feb 1 16:02:45 2020 TLS Error: TLS handshake failed
Sat Feb 1 16:02:45 2020 SIGUSR1[soft,tls-error] received, process restarting
Sat Feb 1 16:02:45 2020 Restart pause, 2 second(s)
Sat Feb 1 16:02:47 2020 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sat Feb 1 16:02:47 2020 UDPv4 link local: [undef]
Sat Feb 1 16:02:47 2020 UDPv4 link remote: [AF_INET]айпи_сервака:порт_сервака
Sat Feb 1 16:03:47 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

[res2001]

nik210, У вас старый релиз debian. Попробуйте руками скачать deb пакет от следующего релиза, возможно там уже 2.4.
Если используете tls-auth, то и на сервере то же нужно его использовать.

[nik210]

после 4 часов извращенного секса обновил debian8 до debian10, openVPN стал версией 2.4.7 и всё заработало

Answer 2

[Germanjon]

Чисто теоретически: несколько строк с сертификатом могут рассматриваться как одна. Поэтому сделайте head -n 17 /root/box.ovpn - что даёт?

Comments

[nik210]

root@cubieboard:~# head -n 17 /root/box.ovpn
client
dev tun
proto udp
remote айпи порт
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3

-----BEGIN CERTIFICATE-----
BIIDQjdCAiqgARIBAgIvDc6nXUjiUHWI8T5kn1o8FW3LyT0wpQYJKoZzhvc1AQEL
root@cubieboard:~#