Questions tagged «openvpn»

我正在Arch Linux服务器上配置OpenVPN 2.3.6-1，以便通过公共Internet加密SMB通信。当我在一个Linux虚拟机客户端上测试设置时，出现错误：TLS Error: TLS handshake failed。 我快速阅读（OpenVZ上的OpenVPN TLS错误：TLS握手失败（谷歌建议的解决方案没有帮助）），并尝试从默认UDP切换到TCP，但这仅导致客户端反复报告连接超时。我还尝试禁用密码和TLS身份验证，但这导致服务器失败Assertion failed at crypto_openssl.c:523。在这两种情况下，都对客户端和服务器配置进行了必需的更改。 我一直按照（https://wiki.archlinux.org/index.php/OpenVPN）上的说明设置OpenVPN和（https://wiki.archlinux.org/index.php/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts）创建密钥和证书。我与这些说明唯一的差异是指定了我自己的计算机名称及其对应的密钥/证书文件名称。 另请参阅我有关保护Internet上的SMB流量的原始问题：（Samba共享的简单加密） 谁能解释我如何解决这个问题？ 细节： 服务器：Arch Linux（最新）通过以太网电缆直接连接到网关。没有iptables。 客户端：VirtualBox 4.3.28r100309 Windows 8.1主机上的Arch Linux（最新）虚拟机，桥接网络适配器。没有iptables。Windows防火墙已禁用。 网关：已启用端口1194的端口转发，没有防火墙限制。 这分别是服务器和客户端上的配置文件。我根据Arch Wiki上的说明创建了这些文件。 /etc/openvpn/server.conf （仅非注释行）： port 1194 proto udp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server-name.crt key /etc/openvpn/server-name.key dh /etc/openvpn/dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 …

16 openvpn 

我目前正在为多个客户端运行OpenVPN服务器。所有流量都通过VPN进行引导（已将其设置为网关；请按“重定向网关def1”）。 到目前为止，一切正常。但是，我想将几​​个服务器连接到该虚拟专用网络，而这些服务器不使用OVPN守护程序作为网关。 这些服务器必须可以从其WAN和其LAN IP地址访问。某些服务只能从LAN端访问。 对于客户端，有什么方法可以忽略push redirect-gateway选项？ 亲切的问候，Tuinslak

15 openvpn  gateway 

我有一个运行CentOS 7的VPS，并通过SSH连接到该VPS。我想在VPS上运行OpenVPN客户端，以便通过VPN路由互联网流量，但仍然允许我通过SSH连接到服务器。当我启动OpenVPN时，我的SSH会话断开连接，无法再连接到我的VPS。如何配置VPS以允许传入的SSH（端口22）连接在VPS的实际IP（104.167.102.77）上打开，但仍通过VPN路由传出流量（如来自VPS上的Web浏览器）？ 我使用的OpenVPN服务是PrivateInternetAccess，示例config.ovpn文件是： 客户 开发屯 原始udp 远程nl.privateinternetaccess.com 1194 解析无限 Nobind 持久键 坚持不懈 ca cart 客户端 远程证书服务器 验证用户密码 康宝 动词1 reneg-sec 0 crl-verify crl.pem VPS的IP地址： 1：lo：mtu 65536 qdisc队列状态未知 链接/环回00：00：00：00：00：00 brd 00：00：00：00：00：00 inet 127.0.0.1/8范围主机lo 永远有效_lft永远首选_lft inet6 :: 1/128作用域主机 永远有效_lft永远首选_lft 2：ens33：mtu 1500 qdisc pfifo_fast状态UP qlen 1000 链接/以太00：50：56：be：16：f7 brd ff：ff：ff：ff：ff：ff：ff inet 104.167.102.77/24 brd 104.167.102.255作用域全局ens33 …

15 ssh  openvpn 

我们在客户处安装了数十种嵌入式设备，所有这些设备都是我们的OpenVPN服务的所在地。总体而言，这可以正常工作，但是我们的一些客户在路径MTU方面存在严重问题。我们对客户修复网络的影响是有限的，因此我们需要OpenVPN对其进行处理。简而言之，我的问题是： 我如何减轻每个客户端基于某些客户端的低路径MTU，即不使用全局设置来适应所有客户端的最坏情况 请注意，我们的最坏情况非常糟糕：路径MTU 576会丢弃所有片段，不会自身进行片段化，也不会使用DF位。您会明白为什么我不想在全球范围内解决此问题。 该OpenVPN的联机帮助提供了许多MTU的相关选项，最显着的--link-mtu, --tun-mtu, --fragment and --mssfix。但这也说 --link-mtu [...]除非您知道自己在做什么，否则最好不要设置此参数。 --tun-mtu [...]最好使用--fragment和/或--mssfix选项来处理MTU尺寸调整问题。 于是我开始尝试用--fragment和--mssfix，但很快就意识到，至少前者必须设置不仅客户端，但也服务器端。然后，我通过看到服务器端的每个客户端的配置--client-config-dir，但它说 以下选项在特定于客户端的上下文中合法：--push，--push-reset，--iroute，--ifconfig-push和--config。 没有提及MTU选项！ 所以这是我更具体的问题： 到底为什么是link-mtu和tun-mtu沮丧？这些选项潜在的问题是什么？请注意，我对低级IP标头处理非常满意。 link-mtu tun-mtu fragment mssfix为了工作，必须在服务器端镜像哪个选项？ link-mtu tun-mtu fragment mssfix可以在哪个选项中使用client-config-dir？ 如果所有四个选项都必须在服务器端进行镜像，并且不能在内部使用client-config-dir：是否有其他方法可以解决每个客户端的低路径MTU？ 笔记： 我的部分问题已经在5年前在这里提出过，但是那时还没有真正得到回答，因此我敢于重复它们。 OpenVPN服务器当前在Ubuntu 12.04上为2.2.1。我们正在准备在Ubuntu 14.04上升级到2.3.2 OpenVPN客户端在Debian 7.6上为2.2.1 我很高兴自己亲自确定客户的路径MTU 目前，我们无法测试太多服务器端。但是我们正在建立一个完整的独立测试台，应该尽快准备就绪。 感谢您提供任何有用的建议。

14 ip  openvpn  mtu  ip-fragmentation 

我遇到了我无法解决的问题。当我通过SSH登录到VPS并尝试建立该VPS上的VPN连接时，VPS和我的计算机之间的SSH连接丢失。我认为那是因为路由被VPN设置更改了。如何预防呢？

14 ubuntu  ssh  vpn  routing  openvpn 

我正在启动一个openvpn服务器，该服务器将支持多个客户端进入一个私有子网。因此，在专用子网上，连接的客户端将获得IP地址，例如10.8.0.10、10.8.0.11等。 我需要的设施之一是使客户之间能够彼此找到对方。客户端是否可以通过任何简单且普遍接受的方式查看已分配给所有客户端的IP地址列表？ 我不需要DNS名称或类似名称。

14 openvpn 

我正在Windows 2012服务器上配置OpenVPN（2.3.10版）服务器，但无法使其正常工作。 服务器在路由器后面，我打开了1194端口，并创建了一个规则以将该端口上的流量转发到服务器。 这是我尝试从客户端连接时在服务器上看到的日志： Mon Mar 21 11:11:47 2016 XX.XX.XX.XX:57804 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:57804, sid=fdf7a7ac 0264c7f3 Mon Mar 21 11:12:38 2016 XX.XX.XX.XX:55938 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:55938, sid=1f242a3f e454a525 Mon Mar 21 11:12:48 2016 XX.XX.XX.XX:57804 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network …

14 openvpn 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 5年前关闭。 我注意到一个DNS代理服务，我看到它利用了openvpn并通过VPN隧道传输，该DNS流量仅掩盖了VPN用户的地理位置，并允许用户系统将其初始连接用于所有其他流量。 我可以看到这对于我正在使用VPN的项目非常有用，而我希望通过隧道路由的流量将是专用于我们拥有的某些Intranet站点的dns。 我曾尝试过考虑如何通过openvpn进行安装，但似乎无法找到有关openvpn的源/目标过滤的信息。我发现的例子是OpenVPN管理员过滤客户端访问流量的示例，以便一个OpenVPN客户端可以与另一个我不需要的OpenVPN客户端进行对话。 从我能想到的角度来看，实现此目标的唯一方法是，如果openvpn为管理员提供了一个过滤选项，管理员可以将其放置在排除IP过滤器列表中。例如，如果用户通过DNS查询google.ca，则openvpn IP排除过滤器将看到google.ca的（我知道openvpn最多不超过3层，因此对google的请求只会是不是在排除列表中）IP不是通过隧道进行通信的可接受IP，但是如果用户想与myIntranetServer.com进行通信，则VPN知道允许通过VPN进行通信。 当由于Google的IP不是允许通过VPN进行通信的IP列表中的IP而导致openvpn服务器拒绝google.ca IP通信时，它会将通知发送回openvpn客户端，以使客户端操作系统进行DNS查询而不是openvpn的DNS路由。 由于我不熟悉openvpn提供的所有选项，并且似乎无法找到此类设置的显式信息，因此您如何看待该服务的工作方式？ 我找到了一个与主题有点儿接触的示例，但是我不熟悉如何指定流量： OpenVPN-客户端流量未完全通过VPN路由

14 openvpn  traffic 

我遇到无法达到线速度的OpenVPN隧道的问题。网关是OVH托管的Debian Jessy虚拟服务器。客户端是我的freebsd 10.2家庭服务器（Intel I3 Ivy Bridge）或我的RaspberryPI2。我停用了加密和身份验证。我有一个100mbit / s的对称FTTH连接，但隧道的速度仅为20-40mbit / s。直接连接（不使用隧道）总是可以产生100mbit / s的速度。我使用iperf3测试了性能。我首先尝试使用freebsd homeserver。我尝试了有关mssfix，fragment等的所有推荐设置。没有任何帮助。 然后我想也许这是我的freebsd机器。因此，我在RPI2上安装了新的Raspbian Jessy，并进行了更多的深度测试： 首先，我从OpenVPN配置中删除了所有MTU设置，并让路径MTU（希望）进行处理。由于两台计算机上都没有激活防火墙，因此它应该可以工作。这些是我的vpn配置： server 10.8.0.0 255.255.255.0 port 1194 proto udp dev tun sndbuf 0 rcvbuf 0 user nobody group nogroup persist-key persist-tun ifconfig-pool-persist ipp.txt keepalive 10 120 push "redirect-gateway def1" status openvpn-status.log verb 3 ca /etc/openvpn/easy-rsa/keys/ca.crt cert …

13 vpn  performance  openvpn  mtu 

或者，也许有任何oauth？ 我所能找到的-是与谷歌2factor身份验证。但我想将Google Apps base用于OpenVPN身份验证。 我相信可以制作类似gitlab的东西。您可以在其中放置证书，然后在没有登录名和密码的情况下使用它。

13 openvpn  g-suite  oauth 

我正在尝试将Google Compute Engine服务器用作我所有流量的VPN服务器（我住在俄罗斯，我们在这里存在一些审查问题）。 在GCE上有关于VPN的迷你教程，但它是关于GCE内的两台服务器之间的网络，而不是与OpenVPN之间的网络。 我已经完成了另一篇教程的所有步骤，关于在Debian上使用OpenVPN设置VPN，我可以从客户端连接到VPN，但是后来我无法打开连接（甚至无法ping google）。在服务器上，我可以像往常一样ping和下载所有内容。 我在Linode上具有相同设置的VPN，并且工作正常。因此，问题出在GCE网络路由或防火墙规则中。 我尝试了很多变体，但没有任何效果。请查看设置，并告诉我应该更改什么。 //删除了配置行，因为问题已解决//

13 vpn  openvpn  google-compute-engine  google-cloud-platform 

我试图使我的传出和传入流量看起来尽可能接近SSL流量合法。有没有办法对我自己的流量进行DPI，以确保它看起来像SSL流量而不是OpenVPN流量？根据我的配置设置，所有流量都使用端口443（SSL端口）吗？ 我的配置如下： 笔记本电脑上的STUNNEL： [openvpn] # Set sTunnel to be in client mode (defaults to server) client = yes # Port to locally connect to accept = 127.0.0.1:1194 # Remote server for sTunnel to connect to connect = REMOTE_SERVER_IP:443 笔记本电脑上的OPENVPN CONFIG： client dev tun proto tcp remote 127.0.0.1 1194 resolv-retry infinite …

13 linux  vpn  openvpn  stunnel 

我在两个gentoo框之间使用共享密钥建立了openvpn（两端为2.1_rc15版本）连接。它在大多数情况下都能正常工作。我在vpn上使用mysql，http，ftp，scp没有问题。但是，当我通过VPN从客户端向服务器SSH时，会发生奇怪的事情。我可以登录，我可以执行一些命令。但是，如果我尝试运行诸如top之类的ncurses应用程序，或者尝试获取文件，则连接将停止，并且我将不得不切断ssh会话。 例如，我可以执行“ echo blah; echo。; echo blah”，它将在ssh会话中输出三行文本。但是，如果我执行“ cat / etc / motd”，则该会话将在按Enter键的那一刻冻结。 我在Mac上编译了openvpn 2.1.1，并从gentoo客户端复制了配置目录。Mac连接和ssh会话运行良好，没有冻结。 然后，我将其编译在我的旧gentoo盒（2.6.26内核）上，由于硬盘驱动器快要死了，因此我将其退役，并且对其进行ssh也可以正常工作。 为什么我的全新gentoo盒子无法使用？我尝试过编译三个不同的内核，但除此之外，我能想到的旧的和较新的gentoo盒之间应该没有区别。 有什么问题的建议吗？

13 ssh  openvpn 

配置在/etc/openvpn/server.conf中 大部分时间是在更新路由 在初始化脚本中，没有需要重新加载的情况。“ service openvpn restart”只是停止然后再启动该过程，显然这将使所有人开始

13 linux  ubuntu  openvpn 

我的OpenVPN配置有一个很奇怪的问题。我正在从Windows 7官方最新客户端连接OpenVPN到OpenVPN服务器（OpenVPN 2.1.4 i386-redhat-linux-gnu）。 问题是我OpenVPN正好在1小时后与服务器断开连接，我不明白对此负责的指令/选项。也许是客户问题？我尝试了不同的Windows系统和Windows VPN客户端。该Linux客户是否按预期工作，没有断开。 您能帮我解决这个问题吗？我尝试阅读书籍和谷歌搜索，有些人建议您使用keepalive和reneg-sec指令。但这似乎无济于事。 OpenVPN服务器配置 port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh1024.pem server 192.168.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 10.0.0.0 255.0.0.0" client-config-dir ccd route 192.168.51.0 255.255.255.0 keepalive 60 600 reneg-sec 5000 hand-window 15 tls-auth ta.key 0 comp-lzo max-clients 50 user …

13 openvpn