设想:
我有一个 Debian 6 openVPN 虚拟服务器和几个客户端(windows、os x)。它们都连接正常,但是只有一个具有特定密钥/证书对的客户端可以 ping 服务器,所有其他客户端都失败,日志中没有错误输出。
我做了什么:
在服务器上,我通过./build-key <client-name>openVPN 的 easy-rsa 工具为客户端创建了几个密钥 - 当我在客户端配置中将它们用作密钥/crt 时,除一个密钥外,其他密钥均不起作用。我看不出工作密钥文件与非工作密钥文件有什么区别。有些密钥是在工作密钥创建之前创建的,有些是在工作密钥创建之后创建的。我对所有密钥使用了相同的上述命令。我尝试使用该openssl verify命令并检查了 md5 哈希值以查找在复制到客户端时是否有任何密钥被损坏,但未发现任何差异。此外,CA 及其名称在所有客户端 crt 文件上都是相同的。
我需要的:
由于我找不到任何相关问题,有人能帮助我缩小错误范围吗?我考虑为新客户创建新密钥,我已经这样做了,但没有成功,否则我就不会在这里问了:) 有什么我还不知道的方法可以检查客户端密钥文件中的违规行为吗?
任何帮助都非常感谢!非常感谢
(如果我的英语听起来有点奇怪,请原谅,因为它不是我的母语)
请参阅我之前关于设置的提问:openvpn:连接已建立,无法 ping 服务器 tun 接口(debian 服务器、windows 和 os x 客户端)
答案1
在生成更多密钥/证书对但未成功之后,我发现只有在 openvpn 服务器重启后首先用于连接客户端的密钥/证书对才能正常工作,直到下次服务器端 openvpn 服务重启为止,从而缩小了问题范围。
您可以在这里找到更多详细的讨论:从 Windows 客户端 ping Debian VPN 服务器
最终的解决方案是从基于 Linux-vServer 的 vserver 切换到基于 KVM 的 vserver,从此与 openvpn 相关的一切都可以顺利运行。