NetworkManager VCL VPN timeout

+1 vote
asked Feb 9, 2015 in IRF tantárgy by kris7t (109 points)  

A VCL VPN-t próbálom beállítani GNOME 3-as NetworkManageren keresztül. A kapcsolat felépítése során az NM a

/usr/sbin/openvpn --remote 152.66.253.214 --comp-lzo --nobind --dev tap --dev-type tap --proto udp --port 1194 --auth-nocache --remote-cert-tls server --syslog nm-openvpn --script-security 2 --up /usr/lib/networkmanager/nm-openvpn-service-openvpn-helper --tap -- --up-restart --persist-key --persist-tun --management 127.0.0.1 1194 --management-query-passwords --route-noexec --ifconfig-noexec --client --ca /home/kris/BME-MIT-CA.crt --cert /home/kris/vcl.inf.mit.bme.hu-client.crt --key /home/kris/vcl.inf.mit.bme.hu-client.key

parancsot próbálja meg futtatni, ami ránézésre megegyezik az Oktatási felhő oldalon található beállításokkal, illetve a vcl.inf.mit.bme.hu.ovpn tartalmával. A kapcsolódás timeoutol, az NM a journald-be a következőket loggolja:

$ sudo systemctl status NetworkManager -l
● NetworkManager.service - Network Manager
   Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: disa
bled)                                                                                         
   Active: active (running) since Mon 2015-02-09 10:08:39 CET; 6h ago
 Main PID: 426 (NetworkManager)
   CGroup: /system.slice/NetworkManager.service
           ├─  426 /usr/bin/NetworkManager --no-daemon
           ├─ 6109 /usr/bin/dhclient -d -sf /usr/lib/networkmanager/nm-dhcp-helper -pf /var/run
/dhclient-eth0.pid -lf /var/lib/NetworkManager/dhclient-7842f7fe-66f9-4bb2-87f5-4d1b4a393322-et
h0.lease -cf /var/lib/NetworkManager/dhclient-eth0.conf eth0                                  
           └─19062 /usr/lib/networkmanager/nm-openvpn-service

Feb 09 16:36:22 KRiS-Sylvanas NetworkManager[426]: nm-openvpn-Message: openvpn started with pid
 19066                                                                                        
Feb 09 16:36:22 KRiS-Sylvanas NetworkManager[426]: <info> VPN connection 'VCL' (ConnectInteract
ive) reply received.                                                                          
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (O
penSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec  2 2014                                       
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: library versions: OpenSSL 1.0.1j 15 Oct 2014, 
LZO 2.08                                                                                      
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: NOTE: the current --script-security setting ma
y allow this configuration to call user-defined scripts                                       
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: UDPv4 link local: [undef]
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: UDPv4 link remote: [AF_INET]152.66.253.214:119
4                                                                                             
Feb 09 16:37:02 KRiS-Sylvanas NetworkManager[426]: <warn> VPN connection 'VCL' connect timeout 
exceeded.                                                                                     
Feb 09 16:37:02 KRiS-Sylvanas NetworkManager[426]: nm-openvpn-Message: Terminated openvpn daemo
n with PID 19066.                                                                             
Feb 09 16:37:02 KRiS-Sylvanas nm-openvpn[19066]: SIGTERM[hard,] received, process exiting

--verb 6 vagy magasabb kapcsolóval futtatva parancssorból a következő kimenetet kapom:

Mon Feb  9 17:29:20 2015 us=904776 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO]
 [EPOLL] [MH] [IPv6] built on Dec  2 2014                                                     
Mon Feb  9 17:29:20 2015 us=904794 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Mon Feb  9 17:29:20 2015 us=904859 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1194
Enter Private Key Password: **********
Mon Feb  9 17:29:25 2015 us=63588 LZO compression initialized
Mon Feb  9 17:29:25 2015 us=63680 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0
 ]                                                                                            
Mon Feb  9 17:29:25 2015 us=63721 Socket Buffers: R=[212992->131072] S=[212992->131072]
Mon Feb  9 17:29:25 2015 us=63757 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:
0 AF:3/1 ]                                                                                    
Mon Feb  9 17:29:25 2015 us=63790 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 
1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'        
Mon Feb  9 17:29:25 2015 us=63834 Expected Remote Options String: 'V4,dev-type tap,link-mtu 157
4,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server
'                                                                                             
Mon Feb  9 17:29:25 2015 us=63859 Local Options hash (VER=V4): 'd79ca330'
Mon Feb  9 17:29:25 2015 us=63892 Expected Remote Options hash (VER=V4): 'f7df56b8'
Mon Feb  9 17:29:25 2015 us=63910 UDPv4 link local: [undef]
Mon Feb  9 17:29:25 2015 us=63925 UDPv4 link remote: [AF_INET]152.66.253.214:1194
Mon Feb  9 17:29:25 2015 us=63980 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_H
ARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0                                                
Mon Feb  9 17:29:27 2015 us=182226 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_
HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0                                               
Mon Feb  9 17:29:31 2015 us=418678 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_
HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0                                               
Mon Feb  9 17:29:39 2015 us=818100 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_
HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0  
Mon Feb  9 17:29:55 2015 us=622556 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_
HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0                                               
Mon Feb  9 17:30:25 2015 us=592644 TLS Error: TLS key negotiation failed to occur within 60 sec
onds (check your network connectivity)                                                        
Mon Feb  9 17:30:25 2015 us=592683 TLS Error: TLS handshake failed
Mon Feb  9 17:30:25 2015 us=592768 TCP/UDP: Closing socket
Mon Feb  9 17:30:25 2015 us=592796 SIGUSR1[soft,tls-error] received, process restarting

A SIGUSR1 hatására az openvp újraindul és még egy ideig újra próbálkozik, de látható, hogy hiába kezdi el a handshake-et, arra nem jön válasz.

Az iptables tűzfalszabályaim viszonylag egyszerűek,

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i virbr0 -j ACCEPT 
COMMIT

de iptables -P INPUT ACCEPT hatására sem tud csatlakozni az openvpn, akár az egyetemen belülről, akár otthonról próbálom. Otthon NAT (egy WRT54GL) mögött vagyok.

Ezután elfogytak az ötleteim (még strace-elni is próbaltam az openvpn-t, de nem jött belőle ki semmi értelmes)... Mi lehet a probléma?

Az operációs rendszerem Arch Linux, a releváns szoftverek verziói:

$ yaourt -Q openvpn networkmanager networkmanager-openvpn
core/openvpn 2.3.6-1
extra/networkmanager 0.9.10.0-4
extra/networkmanager-openvpn 0.9.10.0-1
$ uname -a
Linux KRiS-Sylvanas 3.17.3-pf #1 SMP PREEMPT Sat Jan 10 16:46:26 CET 2015 x86_64 GNU/Linux
commented Feb 9, 2015 by kris7t (109 points)  
Most veszem eszre, hogy a `152.66.253.214` nem valaszol a pingre... Szoval valoszinuleg feleslegesen debuggoltam ennyit az elmul ~fel oraban. :-)

1 Answer

+2 votes
answered Feb 9, 2015 by Taron (353 points)  
selected Feb 9, 2015 by kris7t
 
Best answer

A helyes cím:
152.66.87.31

A letölthető zip-ben megtalálható a konfigurációs állomány is, érdemes azt használni.

...