我无法通过连接到移动热点的笔记本电脑连接到家庭 VPN。
客户端OpenVPN日志如下:
trevor@xps:~$ sudo openvpn --config ~/dev/net/vpn/vpn.sears.network.ovpn
[sudo] password for trevor:
Wed Aug 22 11:53:55 2018 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Wed Aug 22 11:53:55 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.08
Wed Aug 22 11:53:55 2018 WARNING: you are using user/group/chroot/setcon without persist-tun -- this may cause restarts to fail
Wed Aug 22 11:53:55 2018 WARNING: you are using user/group/chroot/setcon without persist-key -- this may cause restarts to fail
Wed Aug 22 11:53:55 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]97.83.39.84:1194
Wed Aug 22 11:53:55 2018 UDP link local (bound): [AF_INET][undef]:1194
Wed Aug 22 11:53:55 2018 UDP link remote: [AF_INET]97.83.39.84:1194
Wed Aug 22 11:53:55 2018 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Wed Aug 22 11:54:55 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Aug 22 11:54:55 2018 TLS Error: TLS handshake failed
Wed Aug 22 11:54:55 2018 SIGUSR1[soft,tls-error] received, process restarting
^CWed Aug 22 11:54:59 2018 SIGINT[hard,init_instance] received, process exiting
服务器和客户端信息:
Server Info:
OS: CentOS 7
OpenVPN version: 2.4.6
Client Info:
OS: Debian 9
OpenVPN version: 2.4.0
从服务器的本地网络:
trevor@xps:~$ sudo nmap -sU -p 1194 192.168.2.104
[sudo] password for trevor:
Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-22 16:23 EDT
Nmap scan report for 192.168.2.104
Host is up (0.0049s latency).
PORT STATE SERVICE
1194/udp filtered openvpn
MAC Address: 1E:FB:74:5F:D6:C5 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 0.66 seconds
通过互联网/通过热点:
trevor@xps:~$ sudo nmap -sU -p 1194 vpn.sears.network
[sudo] password for trevor:
Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-22 16:27 EDT
Nmap scan report for vpn.sears.network (97.83.39.84)
Host is up (0.088s latency).
rDNS record for 97.83.39.84: 97-83-39-84.dhcp.trcy.mi.charter.com
PORT STATE SERVICE
1194/udp filtered openvpn
Nmap done: 1 IP address (1 host up) scanned in 0.83 seconds
在服务器上:
[root@vpn ~]# netstat -uapn | grep openvpn
udp 0 0 192.168.2.104:1194 0.0.0.0:* 14096/openvpn
我在路由器上设置了转发规则:
External 97.83.39.84:1194 --> Internal 192.168.2.104:1194
我的服务器配置文件可以找到这里。
我的客户端配置文件可以找到这里。
目前,我根本无法连接到 VPN,如上面的日志所示。有人知道这里可能发生了什么吗?
答案1
客户端文件中缺少一行:
cipher AES-256-CBC
我思考这是你遇到的唯一问题,根据文档,其余的服务器和客户端配置看起来都很好。我的配置有些不同,所以我无法直接比较...
关于您的端口测试,遗憾的是 nmap 不会给您任何有用的信息。它会向该端口发送一个空的 UDP 数据包,希望正在运行的服务会回复;对于 OpenVPN 来说,它不会回复。就 nmap 而言,端口可能处于打开状态,也可能默默丢弃数据包。我们只知道您没有拒绝(即使用 iptables)连接,因为没有 ICMP 不可达消息。由于 UDP 是无状态的,因此无论运行的服务是什么,都不会打开 TCP 连接,因此它只是使用命中和希望数据包。Nmap 是协议感知的,因此例如如果您扫描端口 53,它实际上会发送 DNS 服务器状态请求查询(0x1000),它应该会得到回复,但没有等效的“您是否还活着”OpenVPN 请求,原因很明显。
在通过互联网进行测试之前,请将客户端配置更改为
remote 192.168.2.104 1194 udp
看看您是否可以进行本地连接,以确保万无一失。
如果您仍然遇到问题,那么值得检查您是否也已合理地进行证书生成。
呼呼!