vpn проблемы

Danxelzxc · #1

Поднимал vpn на linux mint сервер на debian 8
Проблема после подключение нет интернета в чем проблема? интернет по кабелю если с телефона раздавать интернет то в большинстве случаев работает
команды

Код: Выделить всё

wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
sudo scp root@ip:~/имя.ovpn /home/user/Downloads
sudo openvpn /home/user/Downloads/имяконфига.ovpn

лог

Код: Выделить всё

sudo openvpn /home/user/Загрузки/one.ovpn

Sat Mar 31 16:29:23 2018 Unrecognized option or missing parameter(s) in /home/user/Загрузки/one.ovpn:15: block-outside-dns (2.3.10)
Sat Mar 31 16:29:23 2018 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 22 2017
Sat Mar 31 16:29:23 2018 library versions: OpenSSL 1.0.2g 1 Mar 2016, LZO 2.08
Sat Mar 31 16:29:23 2018 Control Channel Authentication: tls-auth using INLINE static key file
Sat Mar 31 16:29:23 2018 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Mar 31 16:29:23 2018 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Mar 31 16:29:23 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Sat Mar 31 16:29:23 2018 UDPv4 link local: [undef]
Sat Mar 31 16:29:23 2018 UDPv4 link remote: [AF_INET]ip
Sat Mar 31 16:29:23 2018 TLS: Initial packet from [AF_INET]ip, sid=afbabdf6 ebb12a04
Sat Mar 31 16:29:23 2018 VERIFY OK: depth=1, CN=ChangeMe
Sat Mar 31 16:29:23 2018 Validating certificate key usage
Sat Mar 31 16:29:23 2018 ++ Certificate has key usage 00a0, expects 00a0
Sat Mar 31 16:29:23 2018 VERIFY KU OK
Sat Mar 31 16:29:23 2018 Validating certificate extended key usage
Sat Mar 31 16:29:23 2018 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sat Mar 31 16:29:23 2018 VERIFY EKU OK
Sat Mar 31 16:29:23 2018 VERIFY OK: depth=0, CN=server
Sat Mar 31 16:29:24 2018 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sat Mar 31 16:29:24 2018 Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Mar 31 16:29:24 2018 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sat Mar 31 16:29:24 2018 Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Mar 31 16:29:24 2018 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sat Mar 31 16:29:24 2018 [server] Peer Connection Initiated with [AF_INET]ip
Sat Mar 31 16:29:26 2018 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sat Mar 31 16:29:26 2018 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0'
Sat Mar 31 16:29:26 2018 OPTIONS IMPORT: timers and/or timeouts modified
Sat Mar 31 16:29:26 2018 OPTIONS IMPORT: --ifconfig/up options modified
Sat Mar 31 16:29:26 2018 OPTIONS IMPORT: route options modified
Sat Mar 31 16:29:26 2018 OPTIONS IMPORT: route-related options modified
Sat Mar 31 16:29:26 2018 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Mar 31 16:29:26 2018 ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:5d:16:14
Sat Mar 31 16:29:26 2018 TUN/TAP device tun0 opened
Sat Mar 31 16:29:26 2018 TUN/TAP TX queue length set to 100
Sat Mar 31 16:29:26 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Mar 31 16:29:26 2018 /sbin/ip link set dev tun0 up mtu 1500
Sat Mar 31 16:29:26 2018 /sbin/ip addr add dev tun0 10.8.0.2/24 broadcast 10.8.0.255
Sat Mar 31 16:29:26 2018 /sbin/ip route add ip/32 via 10.0.2.2
Sat Mar 31 16:29:26 2018 /sbin/ip route add 0.0.0.0/1 via 10.8.0.1
Sat Mar 31 16:29:26 2018 /sbin/ip route add 128.0.0.0/1 via 10.8.0.1
Sat Mar 31 16:29:26 2018 Initialization Sequence Completed

#2

Danxelzxc, впн сессия стартовала, tun0 поднят.
Покажи ip route, сравни их в моменты работоспособности и наличия проблемы.

и проверь трейсы/пинги через этот тунель.
traceroute linuxmint.com.ru
ping -I tun0 -c4 linuxmint.com.ru

Danxelzxc · #3

Надо сказать что сейчас интернет подключен nanostation 2 ловит wifi он подключен к роутеру кабель роутера к пк, подключал напрямую по кабелю результат тот же
По wifi через телефон не получилось проверить.

Новый лог

Код: Выделить всё

sudo openvpn /home/user/Загрузки/one.ovpn
[sudo] пароль для user: 
Tue Apr  3 13:09:40 2018 Unrecognized option or missing parameter(s) in /home/user/Загрузки/one.ovpn:15: block-outside-dns (2.3.10)
Tue Apr  3 13:09:40 2018 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 22 2017
Tue Apr  3 13:09:40 2018 library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
Tue Apr  3 13:09:40 2018 Control Channel Authentication: tls-auth using INLINE static key file
Tue Apr  3 13:09:40 2018 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Apr  3 13:09:40 2018 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Apr  3 13:09:40 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Apr  3 13:09:40 2018 UDPv4 link local: [undef]
Tue Apr  3 13:09:40 2018 UDPv4 link remote: [AF_INET]185.17. ip :443
Tue Apr  3 13:09:40 2018 TLS: Initial packet from [AF_INET]185.17.ip :443, sid=6e0147f7 455b3707
Tue Apr  3 13:09:40 2018 VERIFY OK: depth=1, CN=ChangeMe
Tue Apr  3 13:09:40 2018 Validating certificate key usage
Tue Apr  3 13:09:40 2018 ++ Certificate has key usage  00a0, expects 00a0
Tue Apr  3 13:09:40 2018 VERIFY KU OK
Tue Apr  3 13:09:40 2018 Validating certificate extended key usage
Tue Apr  3 13:09:40 2018 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Tue Apr  3 13:09:40 2018 VERIFY EKU OK
Tue Apr  3 13:09:40 2018 VERIFY OK: depth=0, CN=server
Tue Apr  3 13:09:40 2018 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Apr  3 13:09:40 2018 Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Apr  3 13:09:40 2018 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Apr  3 13:09:40 2018 Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Apr  3 13:09:40 2018 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Apr  3 13:09:40 2018 [server] Peer Connection Initiated with [AF_INET]185.17.ip:443
Tue Apr  3 13:09:43 2018 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Apr  3 13:09:43 2018 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 37.58.58.137,dhcp-option DNS 91.109.25.225,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0'
Tue Apr  3 13:09:43 2018 OPTIONS IMPORT: timers and/or timeouts modified
Tue Apr  3 13:09:43 2018 OPTIONS IMPORT: --ifconfig/up options modified
Tue Apr  3 13:09:43 2018 OPTIONS IMPORT: route options modified
Tue Apr  3 13:09:43 2018 OPTIONS IMPORT: route-related options modified
Tue Apr  3 13:09:43 2018 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Apr  3 13:09:43 2018 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=enp2s0 HWADDR=4c:cc:6a:f5:65:6b
Tue Apr  3 13:09:43 2018 TUN/TAP device tun0 opened
Tue Apr  3 13:09:43 2018 TUN/TAP TX queue length set to 100
Tue Apr  3 13:09:43 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Apr  3 13:09:43 2018 /sbin/ip link set dev tun0 up mtu 1500
Tue Apr  3 13:09:43 2018 /sbin/ip addr add dev tun0 10.8.0.2/24 broadcast 10.8.0.255
Tue Apr  3 13:09:43 2018 /sbin/ip route add 185.17.ip/32 via 192.168.1.1
Tue Apr  3 13:09:43 2018 /sbin/ip route add 0.0.0.0/1 via 10.8.0.1
Tue Apr  3 13:09:43 2018 /sbin/ip route add 128.0.0.0/1 via 10.8.0.1
Tue Apr  3 13:09:43 2018 Initialization Sequence Completed

Код: Выделить всё

ip route
0.0.0.0/1 via 10.8.0.1 dev tun0 
default via 192.168.1.1 dev enp2s0  proto static  metric 100 
10.8.0.0/24 dev tun0  proto kernel  scope link  src 10.8.0.2 
128.0.0.0/1 via 10.8.0.1 dev tun0 
169.254.0.0/16 dev enp2s0  scope link  metric 1000 
185.17.122.62 via 192.168.1.1 dev enp2s0 
192.168.1.0/24 dev enp2s0  proto kernel  scope link  src 192.168.1.233  metric 100

Код: Выделить всё

traceroute to linuxmint.com.ru (185.224.249.23), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  75.810 ms  79.337 ms  81.303 ms
 2  po-30.ce21.fra-10.de.leaseweb.net (46.165.230.126)  85.900 ms  88.312 ms *
 3  te-0-3-0-9.br02.fra-10.de.leaseweb.net (178.162.223.186)  93.940 ms  98.588 ms te-0-0-0-2.br02.fra-10.de.leaseweb.net (178.162.223.196)  102.765 ms
 4  be-102.bb01.fra-10.leaseweb.net (31.31.38.150)  112.306 ms  112.316 ms  112.317 ms
 5  anc-cr03-xe-4-2-1.0.ff.stream-internet.net (212.188.61.73)  114.480 ms  116.593 ms  120.647 ms
 6  radio-cr01-ae4.135.hel.stream-internet.net (195.34.53.57)  160.130 ms  111.975 ms  114.322 ms
 7  mmon-cr01-be3.78.spb.stream-internet.net (212.188.29.110)  109.553 ms  110.821 ms  114.460 ms
 8  a433-cr01-be1.78.msk.stream-internet.net (212.188.2.54)  124.132 ms  128.459 ms  130.126 ms
 9  m9-cr05-ae9.77.msk.stream-internet.net (212.188.28.137)  137.564 ms  138.456 ms  167.236 ms
10  m9-cr03-ae1.199.msk.stream-internet.net (195.34.53.50)  143.182 ms  146.911 ms  148.865 ms
11  Mnogobyte.msk.stream-internet.net (212.188.44.150)  152.803 ms  154.659 ms  111.709 ms
12  * * *
13  linuxmint.com.ru (185.224.249.23)  112.242 ms  112.436 ms  114.605 ms

Код: Выделить всё

ping -I tun0 -c4 linuxmint.com.ru


ping -I tun0 -c4 linuxmint.com.ru
PING linuxmint.com.ru (185.224.249.23) from 10.8.0.2 tun0: 56(84) bytes of data.
64 bytes from linuxmint.com.ru (185.224.249.23): icmp_seq=1 ttl=57 time=111 ms
64 bytes from linuxmint.com.ru (185.224.249.23): icmp_seq=2 ttl=57 time=117 ms
64 bytes from linuxmint.com.ru (185.224.249.23): icmp_seq=3 ttl=57 time=114 ms
64 bytes from linuxmint.com.ru (185.224.249.23): icmp_seq=4 ttl=57 time=114 ms

--- linuxmint.com.ru ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 111.991/114.696/117.733/2.082 ms

#4

Danxelzxc, по этим выхлопам - твой впн гейт вполне достучался до нашего сайта, т.е. трафик наружу ходит норм с виду через него.
Может на уровне браузера печаль какая, проксирование там, или еще какие ограничения?

Danxelzxc · #5

браузер Firefox который после установки как только перезагружаю в браузере интернет есть
допустим
traceroute linuxmint.com.ru мне пришлось установить traceroute но с впн не хотел качаться через командную строку пришлось пк перезагрузить чтоб впн отсоединить

Danxelzxc · #6

может ли провайдер или сервер блокировать?
сервак говорил что они не блокируют

Danxelzxc · #7

были выбраны эти настройки при установке openvpn только dns под номером один а не два хотя и тот и тот вариант пробывал

#8

Danxelzxc писал(а): ↑
03 апр 2018, 13:35
пришлось пк перезагрузить чтоб впн отсоединить

sudo killall openvpn достаточно будет

но выглядит здесь норм, роутинг к 0.0.0.0 завернут на впн-шлюз, пакеты пролетают, как минимум UDP/ICMP пакеты.

можно проверить и tcp, на всякий с sudo traceroute -T linuxmint.com.ru
и curl -v https://linuxmint.com.ru >>/dev/null - будет уже конкретный http-ответ.

Danxelzxc писал(а): ↑
03 апр 2018, 13:35
пришлось установить traceroute но с впн не хотел качаться

Висел на каких-то конкретных подключениях?

Danxelzxc · #9

Chocobo писал(а): ↑
03 апр 2018, 13:55
но выглядит здесь норм, роутинг к 0.0.0.0 завернут на впн-шлюз, пакеты пролетают, как минимум UDP/ICMP пакеты.
можно проверить и tcp, на всякий с sudo traceroute -T linuxmint.com.ru
и curl -v https://linuxmint.com.ru >>/dev/null - будет уже конкретный http-

Код: Выделить всё

sudo traceroute -T linuxmint.com.ru
[sudo] пароль для user: 
traceroute to linuxmint.com.ru (185.224.249.23), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  74.324 ms  78.755 ms *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * radio-cr01-ae4.135.hel.stream-internet.net (195.34.53.57)  113.318 ms  116.319 ms
 7  mmon-cr01-be3.78.spb.stream-internet.net (212.188.29.110)  113.188 ms  114.919 ms  119.061 ms
 8  a433-cr01-be1.78.msk.stream-internet.net (212.188.2.54)  128.481 ms  132.360 ms  134.505 ms
 9  m9-cr05-ae9.77.msk.stream-internet.net (212.188.28.137)  139.625 ms  141.365 ms  145.404 ms
10  m9-cr03-ae1.199.msk.stream-internet.net (195.34.53.50)  147.308 ms  151.237 ms  153.642 ms
11  Mnogobyte.msk.stream-internet.net (212.188.41.178)  158.547 ms  159.490 ms  111.778 ms
12  * * *
13  linuxmint.com.ru (185.224.249.23)  118.991 ms  112.838 ms  113.676 ms

Код: Выделить всё

curl -v https://linuxmint.com.ru >>/dev/null
* Rebuilt URL to: https://linuxmint.com.ru/
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0*   Trying 185.224.249.23...
* Connected to linuxmint.com.ru (185.224.249.23) port 443 (#0)
* found 148 certificates in /etc/ssl/certs/ca-certificates.crt
* found 598 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
  0     0    0     0    0     0      0      0 --:--:--  0:01:20 --:--:--     0
  0     0    0     0    0     0      0      0 --:--:--  0:02:01 --:--:--     0* gnutls_handshake() failed: Error in the pull function.
  0     0    0     0    0     0      0      0 --:--:--  0:02:01 --:--:--     0
* Closing connection 0
curl: (35) gnutls_handshake() failed: Error in the pull function.

Chocobo писал(а): ↑
03 апр 2018, 13:55
Danxelzxc писал(а): ↑
34 минуты назад
пришлось установить traceroute но с впн не хотел качаться

Висел на каких-то конкретных подключениях?

когда с лево появились проценты загрузки зависло на 0%

!	Сообщение из: darkfenix
	Как использовать панель форматирования

#10

TCP тоже ходит.

Danxelzxc писал(а): ↑
03 апр 2018, 14:13
curl: (35) gnutls_handshake() failed: Error in the pull function.

Ну вот уже кое что. Правда пока не совсем понятно что имеено

Можно попробовать откинуть хендшейки и запросить ченть по http, например
curl -v http://opennet.ru/ >>/dev/null

Danxelzxc · #11

Код: Выделить всё

curl -v http://opennet.ru/ >>/dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0*   Trying 94.142.141.14...
* Connected to opennet.ru (94.142.141.14) port 80 (#0)
> GET / HTTP/1.1
> Host: opennet.ru
> User-Agent: curl/7.47.0
> Accept: */*
> 
  0     0    0     0    0     0      0      0 --:--:--  0:00:43 --:--:--     0< HTTP/1.1 200 OK
< Server: nginx
< Date: Tue, 03 Apr 2018 11:25:45 GMT
< Content-Type: text/html; charset=koi8-r
< Transfer-Encoding: chunked
< Connection: keep-alive
< Vary: Host
< Accept-Ranges: bytes
< 
{ [1098 bytes data]
100 19894    0 19894    0     0    452      0 --:--:--  0:00:43 --:--:--  5379
* Connection #0 to host opennet.ru left intact

#12

Danxelzxc писал(а): ↑
03 апр 2018, 14:28
HTTP/1.1 200 OK

Ответил по http норм. Попробуй этот же адрес в браузере за впн, http://opennet.ru/ - должен открыться норм, теоретически.

Danxelzxc · #13

Не загружается поменял браузер тоже самое
на всякий случай еще раз запустил прошлую команду

Код: Выделить всё

curl -v http://opennet.ru/ >>/dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0*   Trying 94.142.141.14...
* Connected to opennet.ru (94.142.141.14) port 80 (#0)
> GET / HTTP/1.1
> Host: opennet.ru
> User-Agent: curl/7.47.0
> Accept: */*
> 
  0     0    0     0    0     0      0      0 --:--:--  0:00:24 --:--:--     0< HTTP/1.1 200 OK
< Server: nginx
< Date: Tue, 03 Apr 2018 11:32:48 GMT
< Content-Type: text/html; charset=koi8-r
< Transfer-Encoding: chunked
< Connection: keep-alive
< Vary: Host
< Accept-Ranges: bytes
< 
{ [1098 bytes data]
100 19894    0 19894    0     0    745      0 --:--:--  0:00:26 --:--:--  4453
* Connection #0 to host opennet.ru left intact

#14

Danxelzxc, можно пока отметить следующее.
[*]впн- сессия активна
[*]трафик чрез нее ходит
[*]http приходит в curl норм, https нет
[*]в браузер не приходит ничего.

Значит все же режет где то на гейте запросы с приложух.
почему кстати порт опенвпн сервера 443?

Danxelzxc · #15

я пробывал и 1194 я как бы по мануалу настраивал вроде особой разницы нет какой порт

Danxelzxc · #16

то есть проблемы с сервером отпадает ?

Danxelzxc · #17

Вот часть мануала как я настраивал.Правда после этой этой команды sudo openvpn /home/user/Загрузки/one.ovpn подключение к впн интернет не работал

Код: Выделить всё

3.Логинимся на наш сервер при помощи команды
ssh root@айписервера 
соглашаемся добавить сервер в список известных хостов вбив
yes
4. Вводим наш пароль от root кот. пришел на почту (копипас).  прим. В терминале crtl +v не работаем вставляейте правой кнопкой мыши
5. Нам автоматически предлагают сменить пароль.
6. Вводим опять пароль от root после чего нужно два раза ввести новый пароль. Устанавливайте сложный пароль около 15-20 символов с разным регистром, цифрами и символами ][=-?><_, желательно при использовании генератора паролей. Это должно обезопасить нас от любого брута.
прим. в терминале вводимые символы не отображаются знаком *, ничего страшного, все равно вводим и жмем enter

Обновляем систему деда
apt-get update && apt-get dist-upgrade

Даллее идет подъем впн. Тут два вариана, делать все долго вручную либо использовать автоматизированный скрипт с гитхаба. Ученик здесь решает самостоятельно, что ему нужно. Для примера здесь напишу вариант со скриптом.

заходим на гитхаб, обращаем внимание, что данный скрипт на сайте уже достаточно давно, регулярно обновляется и у него большой рейтинг, при особом желании можно даже ознакомиться с иходным кодом.

https://github.com/Nyr/openvpn-install

скачивается и запускается скрипт командой 

wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh

нам показывает айпи нашего сервера жмем интер
предлагает выбрать порт, можно оставить 1194 либо указать какой-нибудь экзотический.
в имени клиента убираем client и вводим любое имя конфига
Ждем пока скрипт сгенирирует все необходимые сертификаты и закончит работу, новоиспеченный конфиг появится в папке /root/нашеимя.ovpn

открываем новый терминал (терминал с консолью сервера не трогаем) и скачиваем конфиг 
service status openvpn
sudo scp root@айпинашегосервера:~/имянашеговпн.ovpn /home/user/Downloads
После этого файл можно найти в папке /home/user/Downloads

Запускаем наш конфиг командой

sudo openvpn /home/user/Загрузки/one.ovpn

Если клиент Openvpn не стоит то устанавливаем его командой

sudo apt-get install openvpn


заходим на чекер анонимности 2ip.ru видим, что впн работает, но сервис видит наличие двухсторонего туннеля и даже выдает vpn fingerprint. 
нам такой фигни естественно не надо, поэтому продолжим настройку сервера и конфигов.



Заходим снова в терминал с сервером.

1.Отключаем ведение любых системных логов удаляя системную утилиту rsyslog

apt-get remove rsyslog


2. открываем наш серверный конфиг

nano /etc/openvpn/server.conf

если консольный текстовый редактор не установлен, то устанавливаем

apt-get install nano


в конфиге нам необходимо добавить строчку
mssfix 0

также убедимся что отключены логи впн и есть строка 
verb 0

жмем ctrl+ o для сохранения изменений и ctrl + x для выхода


3.Настраиваем файрвол который блокирует любые подключения к нашему серверу кроме портов ссх и порта опенвпн (по дефолту 1194)

ставим файрвол ufw 
sudo apt-get install ufw

разрешаем подключения по ssh

ufw allow ssh

разрешаем подключения к порту openvpn

ufw allow 1194/udp   (если создавали конфиг с tcp, то указываем tcp вместо udp)


залаем правило перенаправления пакетов ufw

nano /etc/default/ufw


в строке DEFAULT_FORWARD_POLICY=»DROP». Дроп меняем на ACCEPT, чтобы вышло
DEFAULT_FORWARD_POLICY=»ACCEPT»

сохраняемся и выходим

Решаем проблему с определением двухстороннего пинга
g
nano /etc/ufw/before.rules

нужно закомментить строку поставив перед ней знак #
-A ufw-before-input -p icmp —icmp-type echo-request -j ACCEPT

Должно получиться так

# ok icmp codes
-A ufw-before-input -p icmp —icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp —icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp —icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp —icmp-type parameter-problem -j ACCEPT
#-A ufw-before-input -p icmp —icmp-type echo-request -j ACCEPT

сохраняемся и выходим

Включаем наш файрвол ufw enable

Открываем наш клиентский конфиг на хост машине и дописываем строчку
mssfix 0

#18

Danxelzxc, наоборот, конкретно в реализации сервера что-то не выпускает тебя в инет
Попробуй загасить файрвол на той стороне, на время этой неопределенности.

Danxelzxc · #19

выключил на сервере

Danxelzxc · #20

Вот пример с командной строки не грузит

Код: Выделить всё

sudo apt-get update && apt-get dist-upgrade
[sudo] пароль для user: 
Сущ:1 http://archive.ubuntu.com/ubuntu xenial InRelease
Сущ:2 http://archive.canonical.com/ubuntu xenial InRelease                     
Игн:3 http://packages.linuxmint.com sylvia InRelease                           
Сущ:4 http://packages.linuxmint.com sylvia Release                             
Пол:6 http://security.ubuntu.com/ubuntu xenial-security InRelease [102 kB]     
0% [Ожидание заголовков] [Ожидание заголовко

Может сервак другой взять?

Кто сейчас на конференции