Jest to mój pierwszy problem na tym forum i proszę mi wybaczyć jeśli podobne tematy wcześniej się tutaj pojawiły.
Szybko opisując problem w wyniku zmiany swojego miejsca zamieszkania i utracenia kopii zapasowej systemu
postanowiłem postawić swój serwer VPN na nowo.
System na którym teraz był stawiany serwer to Rasbian Buster Kernel 4.19
Niestety teraz nie poszło tak gładko jak przy wcześniejszej konfiguracji i natrafiłem na kilka problemów.
Do konfiguracji serwera korzystałem z instrukcji która znajduje się pod tym linkiem (tak wiem nie jest
to najnowsza instrukcja ale poprzednio dała rade):
https://www.dobreprogramy.pl/edmun/Rasp ... 69079.html
Z tą różnicą że zamiast korzystać z nowych plików easy-rsa 3.* postanowiłem korzystać ze starszej wersji
ściągając wersje 2.0 z gita (aby przejść konfiguracje tak jak jest to opisane na stronie)
Konfiguracja jako tako przebiegła, serwer został postawiony, klucz wygenerowany tylko oczywiście nie mogę
się połączyć i probuję cały czas zdiagnozować przyczynę.
Podejrzenia mam dwa: albo w wersji systemu Buster instrukcje do firewalla mogą się różnić albo nie mam
otworzonych portów na routerze. I tutaj znajduje się mój kolejny problem, gdyż obawiam się że nie do końca
wychodzi mi otworzenie tych portów (port 1194, UDP) i nie jestem w stanie nawet stwierdzić czy je otworzyłem dobrze,
gdyż skanując np. na tej stronie mój adres ddns:
https://www.ipfingerprints.com/portscan.php
dostaje informacje 1194/udp open|filtered openvpn
natomiast korzystając już z innych stron albo korzystając z nmapa dostaje informacje zwrotna ze port jest zamknięty.
Na poprzednim routerze (Orange Funbox 3.0) nie było problemu, z otwieraniem portów teraz na routerze u
INEA Technicolor CGA2121 sprawia mi to ogrom problemów i nerwów
Z tego co wyczytałem wina może leżeć także po stronie operatora (INEA) i z tego że nie mam publicznego adresu IP:
https://www.elektroda.pl/rtvforum/topic3555025.html
I teraz pytanie do kogoś dużo mądrzejszego ode mnie. Co może być przyczyną (firewall, brak publicznego IP, konfiguracja
otwarcia portów, wszystko razem wzięte) i jak przeprowadzić poprawną diagnostykę gdzie leży problem.
Poniżej zamieszczam konfiguracje poszczególnych kluczowych plików w których mogą wystąpić błędy i logi:
cat /etc/openvpn/server.conf
Code: Select all
local 192.168.0.94 # Wpisz adres IP Twojego Raspberry Pi
dev tun
proto udp #Niektórzy musza uzywac TCP, zmien jesli wiesz co robisz.
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Pi.crt # zmien na nazwe klucza twojego serwera
key /etc/openvpn/easy-rsa/keys/Pi.key # zmien na nazwe klucza twojego serwera
dh /etc/openvpn/easy-rsa/keys/dh2048.pem # jesli wybrales szyfrowanie 2048 bitowe, zmien tutaj!
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 10.8.0.2
push "route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"
# Ponizej dane Twojej sieci
push "route 192.168.0.94 255.255.255.0" # zmien z numerem IP i maski Twojego Raspberry
# Dodaj adres DNS
#push "dhcp-option DNS 8.8.8.8"
# jesli Twoj router nie robi za serwer DNS, mozesz, uzyc DNS Google 8.8.8.8
push "dhcp-option DNS 192.168.0.1" # Zazwyczaj bedzie to adres Twojego routera
push "redirect-gateway def1"
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 1
cat /etc/firewall-openvpn-rules.sh
Code: Select all
#!/bin/sh
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.0.94
Zawartosc katalogu keys (Pi jako klucz serwera i Adam jako użytkownik):
https://ibb.co/VW9vkjL
Zawartość logów noip (tutaj raczej nie ma błędów):
cat /var/log/syslog | grep noip
Code: Select all
Dec 9 12:04:36 raspberrypi noip[12901]: Starting noip
Dec 9 12:04:36 raspberrypi noip2[12903]: v2.1.9 daemon started with NAT enabled
Dec 9 12:04:41 raspberrypi noip2[12903]: raspberrypi1adam.ddns.net set to x.x.x.x
Zawartość logów openvpn:
cat /var/log/syslog | grep openvpn
Code: Select all
Dec 9 12:04:57 raspberrypi systemd[1]: openvpn.service: Succeeded.
Dec 9 12:04:57 raspberrypi systemd[1]: openvpn@server.service: Succeeded.
Z góry dziękuje za wszelkie odpowiedzi i podpowiedzi