OpenVPN не работает по TCP?

Question

[Temp-User_0000]

OpenVPN сервер работает только если proto udp. Если proto tcp, то ошибка:

root@DESKTOP-VLF5FL3:~# sudo service openvpn restart
 * Stopping virtual private network daemon                                                                       [ OK ]
 * Starting virtual private network daemon                                                                       [fail]
root@DESKTOP-VLF5FL3:~#

. Позже я узнал, что openvpn использует свою версию протокала tcp и надо вместо proto tcp указывать proto tcp-server или proto tcp-client. Но такая донастройка не особо помогла. Система Linux, дистрибутив Ubuntu, полное название дистрибутива: WSL Ubuntu-x64 Bash Windows 10 x64. Мой

конфиг

;local a.b.c.d
port 65532
proto tcp-server
;proto udp
dev tap
;dev tun
up "/etc/openvpn/up.sh br0 eth1"
;dev-node MyTap
ca ca.crt
cert TrainzCityVPN.crt
key TrainzCityVPN.key  # This file should be kept secret
dh dh4096.pem
;topology subnet
;server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
server-bridge 192.168.2.1 255.255.255.0 192.168.2.100 192.168.2.150
server-bridge
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-256-CBC
;compress lz4-v2
;push "compress lz4-v2"
comp-lzo
;max-clients 100
user nobody
group nogroup
persist-key
persist-tun
log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log
verb 3
mute 20
explicit-exit-notify 1

Полный конфиг: https://pastebin.com/dQfzP6Kc

Что делать и как настроить OpenVPN Server?!

Answer 1

[res2001]

Как минимум нужно увидеть, что openvpn пишет в журнал на счет ошибки: /var/log/openvpn/openvpn.log
По вашему описанию нет возможности это узнать.

Нет никакой своей версии TCP. На сервере openvpn выставляете tcp-server, на клиенте tcp-client. Хотя должно работать и просто tcp в обоих случаях. Когда я последний раз настраивал TCP для openvpn, указывал просто tcp и все работало. Так же можно использовать tcp4 или tcp6, если нужно работать только с конкретной версией протокола. Аналогично и для udp.
Почему вы используете интерфейс tap, вместо tun? Есть какие-то причины? Обычно используют tun.

Comments

[Temp-User_0000]

res2001,

Как минимум нужно увидеть, что openvpn пишет в журнал на счет ошибки: /var/log/openvpn/openvpn.log
По вашему описанию нет возможности это узнать.

Я изменил proto tcp-server на proto tcp4-server и в файле

/var/log/openvpn/openvpn.log было так:

Options error: --explicit-exit-notify can only be used with --proto udp
Use --help for more information.

Я закоментировал параметр explicit-exit-notify 1 и стало

так

Sat Feb 22 14:25:01 2020 OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 14 2019
Sat Feb 22 14:25:01 2020 library versions: OpenSSL 1.1.1  11 Sep 2018, LZO 2.08
Sat Feb 22 14:25:01 2020 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Sat Feb 22 14:25:01 2020 NOTE: starting with OpenVPN 2.1, '--script-security 2' or higher is required to call user-defined scripts or executables
Sat Feb 22 14:25:01 2020 Diffie-Hellman initialized with 4096 bit key
Sat Feb 22 14:25:01 2020 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 22 14:25:01 2020 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 22 14:25:01 2020 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Sat Feb 22 14:25:01 2020 Exiting due to fatal error

Я вернул proto udp и чудо параметр explicit-exit-notify 1 и логи такими-же

остались,

Sat Feb 22 14:28:14 2020 OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 14 2019
Sat Feb 22 14:28:14 2020 library versions: OpenSSL 1.1.1  11 Sep 2018, LZO 2.08
Sat Feb 22 14:28:14 2020 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Sat Feb 22 14:28:14 2020 NOTE: starting with OpenVPN 2.1, '--script-security 2' or higher is required to call user-defined scripts or executables
Sat Feb 22 14:28:14 2020 Diffie-Hellman initialized with 4096 bit key
Sat Feb 22 14:28:14 2020 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 22 14:28:14 2020 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 22 14:28:14 2020 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Sat Feb 22 14:28:14 2020 Exiting due to fatal error

хотя показывало, что всё

в порядке

root@DESKTOP-VLF5FL3:~# sudo service openvpn restart
 * Stopping virtual private network daemon                                                                                                 [ OK ]
 * Starting virtual private network daemon                                                                                                    [ OK ]
root@DESKTOP-VLF5FL3:~#

Что это значит и что делать?

Может ли WSL (а именно на нём и поднимется) помешать работе сервера openvpn?!

[res2001]

Temp-User_0000,

Options error: --explicit-exit-notify can only be used with --proto udp

Как написано в логе этот параметр не совместим с TCP и используется только для UDP.
На счет WSL: у меня не было опыта запуска openvpn под wsl. Из того, что удалось нагуглить - WSL не поддерживает интерфейсы tun/tap для виртуальных сетевых адаптеров, которые использует openvpn. Поэтому, похоже, под wsl это не будет работать.
Но openvpn прекрасно работает под виндой без wsl, как клиент так и сервер.

[Temp-User_0000]

res2001,

Как написано в логе этот параметр не совместим с TCP и используется только для UDP.

Это понятно!

На счет WSL: у меня не было опыта запуска openvpn под wsl. Из того, что удалось нагуглить - WSL не поддерживает интерфейсы tun/tap для виртуальных сетевых адаптеров, которые использует openvpn. Поэтому, похоже, под wsl это не будет работать.

OpenVPN работает на KVM VDS и не работает на OpenVZ VPS. Видимо WSL - это виндовая пародия на openvz.

Но openvpn прекрасно работает под виндой без wsl, как клиент так и сервер.

А аутентификация по LDAP или pam MySQL на виндовс работает?!

[YMakeev]

OpenVPN работает и на OpenVZ VPS.
Просто провайдер обычно блокирует tap/tun и поэтому ничего не взлетает.
В моем случае в FAQ было записано, что нужен тикет на активацию. Поддержка по запросу включила и все пошло.

А во втором случае не включили, т.к. это тарифное ограничение провайдера...

[Radjah]

> Может ли WSL (а именно на нём и поднимется) помешать работе сервера openvpn?!
Temp-User_0000, нативный openvpn для windows не те ощущения даёт?

[res2001]

Temp-User_0000,

Видимо WSL - это виндовая пародия на openvz.

Нет.

А аутентификация по LDAP или pam MySQL на виндовс работает?!

А что может помешать? Это чисто программные userspace решения.

Answer 2

[r0ck3r]

proto tcp должно хватить, как уже ответили выше. Вероятно, что Вашим файрволом разрешены подключения к порту OpenVPN только по протоколу UDP. Убедитесь сначала, что соединение с портом вообще происходит. Это можно сделать при помощи telnet, например так:
telnet имя_сервера порт_сервера