Почему один клиент не подключается к OpenVpN?

Question

[ZoriN89]

Привет всем, недавно уже писал по поводу клиента к vpn у которого есть исходник на android. Я к сожалению нашел только один исходник который именно для OpenVPN работает собираюсь сделать для сотрудников клиент. Но вот какая проблема именно этот клиент не подключается к OpenVPN с ошибкой Tls handshake failed. В общем проблема с рукопожатием хотя если я импортирую этот же файл в официальную версию OpenVPN https://play.google.com/store/apps/details?id=net....
То все сразу подключается и никаких проблем не возникает. Уже даже не знаю что можно попробовать настроить пробовал уже многое (неделю занимаюсь простым подключением к VPN...)

Вот сам исходник приложения у которого есть библиотека для работы с OpenVPN
https://github.com/schwabe/ics-openvpn
Подскажите пожалуйста как исправить подобное.
Лог ошибки https://pastebin.com/xgmRPb12
А вот сам файл .ovpn через него можно подключиться https://pastebin.com/XKMvBV7a

Есть ли вариант исправить проблему или же может знаете другую библиотеку для работы с OpenVPN (Все используют именно ics-openvpn по крайней мере те что нашел я.) Если знаете другую библиотеку или другой вариант VPN клиент сервера с исходником и библиотекой под Android.

Comments

[mureevms]

Быть может просто раздать сотрудникам конфиг и ключи одним файлом. Залить его на телефон, подсунуть в приложение и тыкнуть на кнопку подключения - не сложная задача для пользователя. А если сложная, то, возможно, ему ВПН и не нужен на телефоне.

Answer 1

[res2001]

Чем не устраивает официальная версия, если на ней все работает? Зачем вам

исходник на android

. В любом случае любой

исходник на android

будет только оболочкой над оригинальным OpenVPN, исходники которого никто не скрывает.

Кстати, вас не смущает, что в конфиге вы засветили приватный ключ пользователя? Ключи можно было бы и вырезать.

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

говорит о том, что за скорее всего у вас проблемы со связью. Т.е. клиент не видит сервер по сети. Возможно сервер не доступен. Возможно у клиента проблемы с обменом по UDP, попробуйте перевести OpenVPN на TCP. Лично я сталкивался с тем, что некоторые клиенты, по независящим от них причинам не могут подключиться по UDP. Для обхода этой проблемы я поднял "резервный" openvpn на TCP на порту 443.
Хорошо бы протестировать доступность порта сервера другими способами именно с этого проблемного клиента.

Если бы проблема была в криптографии, то ошибки были бы другого рода.

Comments

[ZoriN89]

Попробую сейчас tcp, а поводу ключей не страшно так как если решу проблемы ключи и сертификаты будут новые.

[ZoriN89]

Попробовал, проблема та же. Я создал вопрос на github к разрабам второй программы у которой исходник есть. Но пока тоже молчат.

[res2001]

На сколько я понимаю ics-openvpn - это и есть официальный OpenVPN Connect.
Как я писал в ответе - все сторонние клиенты будут использовать оригинальный код openvpn, так же как ics-openvpn. Иначе это будет уже не openvpn. По сути клиент для андроид - только графическая оболочка для оригинальной библиотеки.

[ZoriN89]

res2001, ics-openvpn это как раз сторонее приложение в Play market называется Openvpn для Android, а офтциальное это Openvpn Connect, тае вот в официальном все работает а в приложении ics-openvpn не работает

[res2001]

ZoriN89,

ics-openvpn это как раз сторонее приложение

Да, точно.
Так я и не понял, чем вас не устраивает работающий официальный клиент?

[ZoriN89]

res2001, Мне нужно именно сделать клиент свой, там сделать подключение автоматическое к серверу или серверам но чтобы сотрудники не заморачивались просто нажимали кнопку подключить без всяких импортов и т.д. Я вот видел в плей маркете приложение Thunder но не знаю используют ли они openvpn, но суть что сотрудник просто должен одним кликом без настроеек и импортов конфигов подключаться

[res2001]

ZoriN89, Ок. Тогда ждите ответа от разраба ics-openvpn. Он там вроде регулярно комитит. Или можно попробовать самому отладить и выкатить ему патч, если понадобится. Вам все равно разбираться с его кодом.
Удачи!