A VCL VPN-t próbálom beállítani GNOME 3-as NetworkManageren keresztül. A kapcsolat felépítése során az NM a
/usr/sbin/openvpn --remote 152.66.253.214 --comp-lzo --nobind --dev tap --dev-type tap --proto udp --port 1194 --auth-nocache --remote-cert-tls server --syslog nm-openvpn --script-security 2 --up /usr/lib/networkmanager/nm-openvpn-service-openvpn-helper --tap -- --up-restart --persist-key --persist-tun --management 127.0.0.1 1194 --management-query-passwords --route-noexec --ifconfig-noexec --client --ca /home/kris/BME-MIT-CA.crt --cert /home/kris/vcl.inf.mit.bme.hu-client.crt --key /home/kris/vcl.inf.mit.bme.hu-client.key
parancsot próbálja meg futtatni, ami ránézésre megegyezik az Oktatási felhő oldalon található beállításokkal, illetve a vcl.inf.mit.bme.hu.ovpn
tartalmával. A kapcsolódás timeoutol, az NM a journald-be a következőket loggolja:
$ sudo systemctl status NetworkManager -l
● NetworkManager.service - Network Manager
Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: disa
bled)
Active: active (running) since Mon 2015-02-09 10:08:39 CET; 6h ago
Main PID: 426 (NetworkManager)
CGroup: /system.slice/NetworkManager.service
├─ 426 /usr/bin/NetworkManager --no-daemon
├─ 6109 /usr/bin/dhclient -d -sf /usr/lib/networkmanager/nm-dhcp-helper -pf /var/run
/dhclient-eth0.pid -lf /var/lib/NetworkManager/dhclient-7842f7fe-66f9-4bb2-87f5-4d1b4a393322-et
h0.lease -cf /var/lib/NetworkManager/dhclient-eth0.conf eth0
└─19062 /usr/lib/networkmanager/nm-openvpn-service
Feb 09 16:36:22 KRiS-Sylvanas NetworkManager[426]: nm-openvpn-Message: openvpn started with pid
19066
Feb 09 16:36:22 KRiS-Sylvanas NetworkManager[426]: <info> VPN connection 'VCL' (ConnectInteract
ive) reply received.
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (O
penSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec 2 2014
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: library versions: OpenSSL 1.0.1j 15 Oct 2014,
LZO 2.08
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: NOTE: the current --script-security setting ma
y allow this configuration to call user-defined scripts
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: UDPv4 link local: [undef]
Feb 09 16:36:22 KRiS-Sylvanas nm-openvpn[19066]: UDPv4 link remote: [AF_INET]152.66.253.214:119
4
Feb 09 16:37:02 KRiS-Sylvanas NetworkManager[426]: <warn> VPN connection 'VCL' connect timeout
exceeded.
Feb 09 16:37:02 KRiS-Sylvanas NetworkManager[426]: nm-openvpn-Message: Terminated openvpn daemo
n with PID 19066.
Feb 09 16:37:02 KRiS-Sylvanas nm-openvpn[19066]: SIGTERM[hard,] received, process exiting
--verb 6
vagy magasabb kapcsolóval futtatva parancssorból a következő kimenetet kapom:
Mon Feb 9 17:29:20 2015 us=904776 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO]
[EPOLL] [MH] [IPv6] built on Dec 2 2014
Mon Feb 9 17:29:20 2015 us=904794 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Mon Feb 9 17:29:20 2015 us=904859 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1194
Enter Private Key Password: **********
Mon Feb 9 17:29:25 2015 us=63588 LZO compression initialized
Mon Feb 9 17:29:25 2015 us=63680 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0
]
Mon Feb 9 17:29:25 2015 us=63721 Socket Buffers: R=[212992->131072] S=[212992->131072]
Mon Feb 9 17:29:25 2015 us=63757 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:
0 AF:3/1 ]
Mon Feb 9 17:29:25 2015 us=63790 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu
1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Mon Feb 9 17:29:25 2015 us=63834 Expected Remote Options String: 'V4,dev-type tap,link-mtu 157
4,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server
'
Mon Feb 9 17:29:25 2015 us=63859 Local Options hash (VER=V4): 'd79ca330'
Mon Feb 9 17:29:25 2015 us=63892 Expected Remote Options hash (VER=V4): 'f7df56b8'
Mon Feb 9 17:29:25 2015 us=63910 UDPv4 link local: [undef]
Mon Feb 9 17:29:25 2015 us=63925 UDPv4 link remote: [AF_INET]152.66.253.214:1194
Mon Feb 9 17:29:25 2015 us=63980 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_H
ARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Mon Feb 9 17:29:27 2015 us=182226 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_
HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Mon Feb 9 17:29:31 2015 us=418678 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_
HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Mon Feb 9 17:29:39 2015 us=818100 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_
HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Mon Feb 9 17:29:55 2015 us=622556 UDPv4 WRITE [14] to [AF_INET]152.66.253.214:1194: P_CONTROL_
HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Mon Feb 9 17:30:25 2015 us=592644 TLS Error: TLS key negotiation failed to occur within 60 sec
onds (check your network connectivity)
Mon Feb 9 17:30:25 2015 us=592683 TLS Error: TLS handshake failed
Mon Feb 9 17:30:25 2015 us=592768 TCP/UDP: Closing socket
Mon Feb 9 17:30:25 2015 us=592796 SIGUSR1[soft,tls-error] received, process restarting
A SIGUSR1
hatására az openvp újraindul és még egy ideig újra próbálkozik, de látható, hogy hiába kezdi el a handshake-et, arra nem jön válasz.
Az iptables tűzfalszabályaim viszonylag egyszerűek,
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i virbr0 -j ACCEPT
COMMIT
de iptables -P INPUT ACCEPT
hatására sem tud csatlakozni az openvpn, akár az egyetemen belülről, akár otthonról próbálom. Otthon NAT (egy WRT54GL) mögött vagyok.
Ezután elfogytak az ötleteim (még strace
-elni is próbaltam az openvpn-t, de nem jött belőle ki semmi értelmes)... Mi lehet a probléma?
Az operációs rendszerem Arch Linux, a releváns szoftverek verziói:
$ yaourt -Q openvpn networkmanager networkmanager-openvpn
core/openvpn 2.3.6-1
extra/networkmanager 0.9.10.0-4
extra/networkmanager-openvpn 0.9.10.0-1
$ uname -a
Linux KRiS-Sylvanas 3.17.3-pf #1 SMP PREEMPT Sat Jan 10 16:46:26 CET 2015 x86_64 GNU/Linux