Почему OpenVPN не может сделать TLS?

Question

[ZoriN89]

Привет всем, такая вот проблема поставил сервер OpenVPN для себя , нашел даже скрипт автоустановки (Но уже и вариант вручную без скриптов тоже пробовал) но все одно к одному в итоге не получается пройти TLS рукопожатие у клиента в ошибке

Fri May 01 20:05:52 2020 TLS: Initial packet from [AF_INET]тут_ип_моего_сервера:13555, sid=ae9503b4 52f4177f
Fri May 01 20:06:52 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri May 01 20:06:52 2020 TLS Error: TLS handshake failed

Что пробовал делать, включал net ipv4 forward в sysctl.conf, переустанавливал openvpn с нуля раз 5, делал по разным абсолютно инструкциям в том числе через пару скриптов авто установки. Сам процесс такой я ставлю сервер, делаю ключи, делаю клиенту ключи пытаюсь соединиться, соединение начинается но на моменте TLS ошибка.

Вот конфиг сервера

server.conf

local тут внешний ip адрес сервера
port 13555
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
duplicate-cn
auth SHA512
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
#push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
#fragment 1200
#mssfix 1200
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 10
log openvpn-log.log
#crl-verify crl.pem

вот конфиг клиента
client.ovpn

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote тут_внешний_Ip_моего_сервера 13555
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
setenv opt block-outside-dns
key-direction 1
verb 3

Вот log OpenVPn при verb 10
https://pastebin.com/yKa1qe1h

Вот мой iptables

# Generated by iptables-save v1.4.21 on Fri May  1 20:17:11 2020
*mangle
:PREROUTING ACCEPT [16769:4887526]
:INPUT ACCEPT [16769:4887526]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25942:23122279]
:POSTROUTING ACCEPT [25942:23122279]
COMMIT
# Completed on Fri May  1 20:17:11 2020
# Generated by iptables-save v1.4.21 on Fri May  1 20:17:11 2020
*filter
:INPUT DROP [90:4759]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15067:8176131]
:XL-Firewall-1-INPUT - [0:0]
:vesta - [0:0]
-A INPUT -p udp -m udp --dport 13555 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s мой_внешний_ip/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -p udp -m udp --dport 13555 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,38022 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 21,12000:12100 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 110,995 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 143,993 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Fri May  1 20:17:11 2020
# Generated by iptables-save v1.4.21 on Fri May  1 20:17:11 2020
*nat
:PREROUTING ACCEPT [23:1004]
:INPUT ACCEPT [20:860]
:OUTPUT ACCEPT [4:240]
:POSTROUTING ACCEPT [4:240]
-A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source мой_внешний_ip
COMMIT
# Completed on Fri May  1 20:17:11 2020

В итоге порт UDP открыт, SNAT сделан чтобы был доступ в интернет, но именно на TLS затык. Но есть одно НО в пользу того что указанное вроде должно работать, в какой-то момент при сохранении изменений в iptables кажется прошел TLS, и все соединенилось, я подключился получил ip 10.8.0.2 проверил ping все работает действительно через сервер и до google, но стоило нажать переподключиться как все перестало работать и вновь ошибка при TLS и вот я уже 2 дня вожусь с этим, просто идеи уже закончились в чем же может быть дело. Уже и проверял вообще мой домашний ПК подключается ли к VPN'ам на всякий случай, все нормально подключился к публичному VPN серверу. Есть еще идеи?

Comments

[Alexey Dmitriev]

Поднимите уровень логирования на сервере и загляните еще раз в логи.

Answer 1

[rPman]

С вероятность в 99% ваш провайдер атакует Атака посредника (если это Россия то это уже сплошь и рядом уже как несколько лет)

Как проверить - пробовать подключиться к вашему серверу тут же локально (для чистоты эксперимента из виртуальной машины, чтобы исключить проблемы с настройкой iptables а точнее чтобы не тратить много времени на настройку)

Comments

[ZoriN89]

Сейчас попробую, спасибо за идею. Но я кстати не в России, и к другим VPN даже в той же стране что и этот (Нидерланды ) я подключаюсь. Но вот локально сейчас попробую

[ZoriN89]

Ну что я попробовал, TLS сразу прошел и все заработало.

Вот даже лог
https://pastebin.com/jiGeLpaQ

И как же быть в такой ситуации тогда? Как же мне все таки запуститься?)

[galaxy]

Перевесьте openvpn на 443 порт tcp

[ZoriN89]

galaxy, У меня там сайт весит :) Я так понял надо взять порт который используют точно для других целей, 80,443,3306 , хотя сейчас вспомнил на сайт клаудфлер настроен и на сайте не занят 443 так что сейчас попробую, спасибо за наводку

[res2001]

galaxy, Что-то меня провайдер не атакует в последние несколько лет в РФ. Причем не один и в разных городах. Везет, наверное.
Правда я использую не стандартный UDP порт для openvpn, а произвольный.

ZoriN89, Ошибка связана с недоступностью порта на сервере от клиента.
Сталкивался с похожей ситуацией у нескольких клиентов. Но там были проблемы на стороне клиента - то в офисе блокировали все порты, то клиент заходил со смарта и там были какие-то непонятные заморочки с местным оператором. На самом же сервере при этом порт был доступен.
Для таких случаев поднял второй экземпляр openvpn на TCP протоколе, слушающий 443 порт. Можете использовать любой широко известный порт, хотя обычно в нормальных корпоративных фаерволах разрешают только TCP 80 и 443 . Для UDP можно повесить openvpn на 53 порт - DNS, если не занят.
Кстати, openvpn по UDP работает лучше. По этому у меня TCP порт только для проблемных клиентов.

[ZoriN89]

galaxy, Переустановил все сделал с нуля чтобы проблем не возникало, поставил на 443 порт tcp, но опять затык на TLS

Fri May 01 21:49:45 2020 TLS: Initial packet from [AF_INET]внешний_ip_сервера:443, sid=6f4d1354 fe1dba88
Fri May 01 21:50:04 2020 read TCP_CLIENT: Unknown error (code=10060)
Fri May 01 21:50:04 2020 Connection reset, restarting [-1]

[galaxy]

Это лог клиента? Попробуйте с verb 10 на клиенте.
И вообще, до сервера что-то доходит? Посмотрите tcpdump'ом

[ZoriN89]

galaxy, tcpdump'ом кстати и до этого всего смотрел бегает соединение и туда и обратно.

Answer 2

[ZoriN89]

В общем фигня именно на моем пк какая-то я попробовал взять ovpn файл и импортировать в OpenVPN для android и все заработало. Всем спасибо за помощь, буду разбираться со своим ПК.