尝试使 openvpn 工作,以便我可以使用 OpenVPN 从我的 Ubuntu 14.10 工作站连接到 pfsense 2.0.3 服务器。
我刚刚安装了网络管理器插件,并从来自 pfSense 服务器的配置包创建了一个新的 vpn 连接。
但我无法连接。
这是 ubuntu 客户端上 syslog 的输出:
10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]: VPN 服务“openvpn”已启动 (org.freedesktop.NetworkManager.openvpn),PID 3321 10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]: 正在启动 VPN 服务“openvpn”... 10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]: VPN 插件状态已更改:正在启动 (3) 10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]: VPN 服务“openvpn”出现;正在激活连接 10 月 1 日 21:30:28 X58A-UD7 NetworkManager[833]: VPN 连接“phgateway-udp-34447-vpnbruger”(连接)答复已收到。 10月1日 21:30:28 X58A-UD7 nm-openvpn[3327]: OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] 构建于 2014年12月1日 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]: 警告:未启用任何服务器证书验证方法。有关详细信息,请参阅 http://openvpn.net/howto.html#mitm。 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]: 注意:当前 --script-security 设置可能允许此配置调用用户定义的脚本 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]: 警告:文件 '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger.p12' 可供群组或其他人访问 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]: 警告:文件 '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key' 可供群组或其他人访问 10 月 1 日 21:30:28 X58A-UD7 nm-openvpn[3327]: 控制通道身份验证: 使用“/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key”作为 OpenVPN 静态密钥文件 10月1日 21:30:28 X58A-UD7 nm-openvpn[3327]: UDPv4 链接本地:[undef] 10月1日 21:30:28 X58A-UD7 nm-openvpn[3327]: UDPv4 链接远程: [AF_INET]pfsense_server_ip:34447 10 月 1 日 21:31:08 X58A-UD7 NetworkManager[833]: VPN 连接“phgateway-udp-34447-vpnbruger”(IP 配置获取) 超时。 10 月 1 日 21:31:08 X58A-UD7 NetworkManager[833]: 策略将“有线连接 1”(eth0) 设置为 IPv4 路由和 DNS 的默认设置。 10月1日 21:31:08 X58A-UD7 nm-openvpn[3327]: 已收到 SIGTERM[hard,],进程正在退出 10 月 1 日 21:31:13 X58A-UD7 NetworkManager[833]: VPN 服务“openvpn”消失
我已经使用 pfSense 向导设置了 openvpn 服务,并且应该将适当的规则添加到防火墙。
我看到了一些警告,但没有什么特别突出的。
openvpn --config FILE --cd /etc/openvpn --verb 4
编辑:当在没有证书的密码验证配置上使用命令时,我得到以下信息:
选项错误:--ca 失败,显示“phgateway-udp-34447-ca.crt”:没有此文件或目录 选项错误:--tls-auth 失败,出现“phgateway-udp-34447-tls.key”:没有此文件或目录 选项错误:请更正这些错误。
尽管这些文件就位于 ovpn 文件旁边。
当使用原始包(即 userpassword + cert auth)执行上述命令时,我会尝试登录并输入用户名和密码,但是从所有输出中我能看到的唯一错误是:
2015 年 10 月 1 日星期四 22:05:29 us=544930 TLS 错误:TLS 密钥协商在 60 秒内失败(请检查您的网络连接) 2015 年 10 月 1 日星期四 22:05:29 us=544986 TLS 错误:TLS 握手失败 2015 年 10 月 1 日星期四 22:05:29 us=545076 TCP/UDP:关闭套接字 2015 年 10 月 1 日星期四 22:05:29 us=545123 SIGUSR1[soft,tls-error] 已收到,进程正在重新启动
然后每 60 秒循环一次,还有很多其他的事情,但我没有看到其他错误。
防火墙上的端口是打开的,应该没有什么特殊情况。
答案1
缺乏任何日志记录普富思意味着客户端和网关之间可能存在连接问题。再次检查 WAN 接口上的传入防火墙规则,尝试其他 Internet 提供商(如移动网络)等。检查双方是否具有相同的端口和传输协议(UDP - 首选或 TCP)。我知道这听起来太简单了,但缺少任何日志记录表明这里有一个如此简单的“截止”点。
答案2
我在 pfsense 上设置了 OpenVPN,并在系统日志中检查了我的 openvpn 日志。它们开始如下:
错误的用户名 :
Oct 22 13:23:16 openvpn: user 'user' could not authenticate.
Oct 22 13:23:16 openvpn[15098]: 90.27.14.234:59141 TLS Auth Error: Auth Username/Password verification failed for peer
Oct 22 13:23:17 openvpn[15098]: 90.27.14.234:59141 [www.domain.com] Peer Connection Initiated with [AF_INET]90.27.14.234:59141
成功登录:
Oct 22 13:27:07 openvpn: user 'vpnuser' authenticated
Oct 22 13:27:07 openvpn[15098]: 90.27.14.234:43921 [vpnuser] Peer Connection Initiated with [AF_INET]90.27.14.234:43921
Oct 22 13:27:07 openvpn[15098]: vpnuser/90.27.14.234:43921 MULTI_sva: pool returned IPv4=192.168.25.6, IPv6=(Not enabled)
Oct 22 13:27:09 openvpn[15098]: vpnuser/90.27.14.234:43921 send_push_reply(): safe_cap=940
因此基本上您的连接无法到达 pfsense OpenVPN 应用程序。我还注意到您的规则在图片上缺少某些内容 - IP 版本。确保您使用的是最新版本。
为什么同一个向导中有 2 个端口?请确保您的配置使用正确的端口。我正在使用“OpenVPN 客户端导出实用程序”来整理我的客户端的整个包,并且运行良好,没有遗漏任何东西。