Jump to content
  • 0

OpenVPN не подключается (KN-1210)


kvazimoda
 Share

Question

Есть OpenVPN сервер, к нему подключено и прекрасно работает 3 роутера ZyXEL Keenetic. Там есть и модели постарше, и модели помоложе. Но вот понадобилось подключить ещё один роутер, а он не хочет.

Модель роутера Keenetic 4G (KN-1210), версия прошивки 3.1.10. Конфиг OpenVPN:

Spoiler

client
proto tcp-client
remote x.x.x.x 1221
dev OpenVPN
dev-type tun
sndbuf 393216
rcvbuf 393216
keepalive 10 30
resolv-retry infinite
tls-client
key-direction 1
tls-version-min 1.0
cipher AES-256-CBC
comp-lzo yes
persist-key
persist-tun
verb 3
nobind
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

 

Конфиг был скопирован с другого роутера, который подключается без проблем. Единственное, что изменил в конфиге, это для нового роутера выпустил и прописал новые сертификаты.

Соединение не устанавливается. В логах вижу постоянно повторяющиеся строки:

Spoiler

[I] Nov  7 00:43:44 OpenVPN0: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Nov  7 00:43:44 OpenVPN0: library versions: OpenSSL 1.1.1d  10 Sep 2019, LZO 2.10
[I] Nov  7 00:43:44 OpenVPN0: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
[I] Nov  7 00:43:44 OpenVPN0: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
[I] Nov  7 00:43:44 OpenVPN0: Socket Buffers: R=[87380->786432] S=[16384->786432]
[I] Nov  7 00:43:44 OpenVPN0: Attempting to establish TCP connection with [AF_INET]x.x.x.x:1221 [nonblock]
[I] Nov  7 00:43:45 OpenVPN0: TCP connection established with [AF_INET]x.x.x.x:1221
[I] Nov  7 00:43:45 OpenVPN0: TCP_CLIENT link local: (not bound)
[I] Nov  7 00:43:45 OpenVPN0: TCP_CLIENT link remote: [AF_INET]x.x.x.x:1221
[I] Nov  7 00:43:45 OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Nov  7 00:43:45 OpenVPN0: TLS: Initial packet from [AF_INET]x.x.x.x:1221, sid=2068edd0 5b7241d1
[E] Nov  7 00:43:46 OpenVPN0: OpenSSL: error:1425F102:lib(20):func(607):reason(258)
[E] Nov  7 00:43:46 OpenVPN0: TLS_ERROR: BIO read tls_read_plaintext error
[E] Nov  7 00:43:46 OpenVPN0: TLS Error: TLS object -> incoming plaintext read error
[E] Nov  7 00:43:46 OpenVPN0: TLS Error: TLS handshake failed
[E] Nov  7 00:43:46 OpenVPN0: Fatal TLS error (check_tls_errors_co), restarting
[I] Nov  7 00:43:46 OpenVPN0: SIGTERM[soft,tls-error] received, process exiting
[E] Nov  7 00:43:46 ndm: Service: "OpenVPN0": unexpectedly stopped.

 

На сколько я понимаю, возникает какая-то ошибка у OpenSSL во время чтения сертификатов и/или ключей.

На всякий случай, конфиг сервера:

Spoiler

port 1221
proto tcp6-server
dev IPMI
dev-type tun
ca ipmi/ca.crt
cert ipmi/server.crt
key ipmi/server.key
dh ipmi/dh2048.pem
crl-verify ipmi/crl.pem
server 10.2.252.0 255.255.255.0
ifconfig-pool-persist ipmi/ipp.txt
client-config-dir ipmi/ccd
sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"
keepalive 10 30
tls-server
tls-auth ipmi/ta.key 0
cipher AES-256-CBC   # AES
comp-lzo yes
max-clients 5
persist-key
persist-tun
status  /var/log/openvpn/IPMI.status
log     /var/log/openvpn/IPMI.log
verb 3
script-security 2
client-connect /etc/openvpn/ipmi/sendmail.sh
client-disconnect /etc/openvpn/ipmi/sendmail.sh

 

Что ему нужно, и как его заставить подключиться к серверу?

Link to comment
Share on other sites

3 answers to this question

Recommended Posts

  • 0
1 hour ago, r13 said:

TLS ключ на клиенте тот же что и на сервере?

Ещё раз скопировал с сервера все сертификаты, ключ от сертификата и  TLS ключ. Ситуация не изменилась.

Link to comment
Share on other sites

  • 0
1 час назад, kvazimoda сказал:

Ещё раз скопировал с сервера все сертификаты, ключ от сертификата и  TLS ключ. Ситуация не изменилась.

Пишите в техподдержку, они помогут быстрее.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...