Perguntas[openvpn](server)

O Openvpn3 parou de funcionar depois que atualizei meu laptop Ubuntu 20.04 de python3.8 para python 3.11

Recebo este erro:

openvpn3-systemd[9972]: ModuleNotFoundError: No module named '_dbus_bindings'

Descobri que import dbusfunciona bem com python3.8, mas não funciona com python3.11

Tentei fazer o openvpn3 funcionar alterando o sistema padrão python de volta para 3.8 usando

sudo update-alternatives --config python

E também verifiquei que quando uso python na linha de comando, ele encontra dbus,

python -c 'import dbus'

Reiniciar o serviço ainda falha com o mesmo erro. Editei o arquivo /usr/libexec/openvpn3-linux/openvpn3-systemdpara que ele imprima a versão python antes de tentar importar o dbus usando estas 2 linhas no topo do arquivo:

import sys
print ('openvpn3-python-version-used: ' + sys.version)

E vejo que está usando python3.11

Como posso alterar o arquivo de serviço para forçá-lo a usar a versão mais antiga do python3.8?/lib/systemd/system/[email protected]

Arquivo de serviço atual:

[Unit]
Description=OpenVPN 3 Linux - VPN session for %I
After=dbus.service network-online.target
Wants=dbus.service network-online.target
Documentation=man:openvpn3-linux(7)
Documentation=man:openvpn3-systemd(7)

[Service]
Type=notify
PrivateTmp=true
ProtectSystem=true
ProtectHome=true
Environment="PYTHONUNBUFFERED=on"
ExecStart=/usr/libexec/openvpn3-linux/openvpn3-systemd --start %i
ExecReload=/usr/libexec/openvpn3-linux/openvpn3-systemd --restart %i
ExecStop=/usr/libexec/openvpn3-linux/openvpn3-systemd --stop %i

[Install]
WantedBy=multi-user.target

Tenho um servidor OpenVPN em execução no Ubuntu 22.04.

Tudo está funcionando bem, mas quero registrar mais informações sobre dispositivos conectados ao meu servidor. Preciso enviar algumas informações personalizadas sobre o dispositivo usando meus servidores.

Eu integrei client-connect/ client-disconnectscripts com sucesso, mas quero ter mais variáveis ​​de ambiente sobre o dispositivo do cliente para usar nesses scripts.

Tentei enviar essas variáveis ​​do arquivo de configuração do cliente assim:

push-peer-info
setenv IV_TEST="test1"
setenv UV_TEST="test2"

Mas não consigo recuperar essas variáveis ​​do script. Nos logs, consigo ver algumas variáveis ​​sendo transmitidas:

2024-09-11 07:31:09 us=326572 192.168.175.1:49395 peer info: IV_VER=3.8.2connect3
2024-09-11 07:31:09 us=326583 192.168.175.1:49395 peer info: IV_PLAT=win
2024-09-11 07:31:09 us=326588 192.168.175.1:49395 peer info: IV_NCP=2
2024-09-11 07:31:09 us=326593 192.168.175.1:49395 peer info: IV_TCPNL=1
2024-09-11 07:31:09 us=326597 192.168.175.1:49395 peer info: IV_PROTO=990
2024-09-11 07:31:09 us=326601 192.168.175.1:49395 peer info: IV_MTU=1600
2024-09-11 07:31:09 us=326605 192.168.175.1:49395 peer info: IV_CIPHERS=xxxxxxxx
2024-09-11 07:31:09 us=326609 192.168.175.1:49395 peer info: UV_ASCLI_VER=3.4.4-3412
2024-09-11 07:31:09 us=326614 192.168.175.1:49395 peer info: UV_PLAT_REL= xxxxxx
2024-09-11 07:31:09 us=326618 192.168.175.1:49395 peer info: UV_UUID=xxxxxxxxxxx
2024-09-11 07:31:09 us=326635 192.168.175.1:49395 peer info: IV_GUI_VER=OCWindows_3.4.4-3412
2024-09-11 07:31:09 us=326638 192.168.175.1:49395 peer info: IV_SSO=webauth,crtext
2024-09-11 07:31:09 us=326641 192.168.175.1:49395 peer info: IV_HWADDR=xxxxxxxxxxx
2024-09-11 07:31:09 us=326645 192.168.175.1:49395 peer info: IV_SSL=OpenSSL_3.1.4_24_Oct_2023

Mas não as variáveis ​​que defini.

Verificando a documentação podemos ver isso:

EDITAR1:

--push-peer-info : Envie informações adicionais sobre o cliente para o servidor. Os seguintes dados são sempre enviados para o servidor:

Isso implica que, usando --push-peer-info, podemos permitir que o cliente envie variáveis ​​personalizadas adicionais, além das padrões, mas como fazer isso?

EDIT2: Eu até tentei substituir as variáveis ​​padrão e alterar a ordem, sem sorte:

setenv IV_HWADDR="test1"
push-peer-info

Qualquer ajuda é muito apreciada.

Estou executando o Ubuntu 22 e tenho configuração openvpn (cliente) para rodar como um serviço. Eu costumava ter um arquivo .conf em /etc/openvpn e recentemente adicionei outro.

Quando o openvpn inicia, ou eu o reinicio, ele só se conecta à VPN a partir do primeiro arquivo .conf e não do segundo.

Se eu executar, sudo openvpn --config secondvpn.confele funciona bem e se conecta.

O script do serviço, em /etc/init.d, diz

# Description: This script will start OpenVPN tunnels as specified
#              in /etc/default/openvpn and /etc/openvpn/*.conf

Não tenho nenhum túnel especificado em /etc/default/openvpn e ambos os arquivos de configuração estão em /etc/openvpn/ e possuem a extensão .conf.

Eu tentei systemctl daemon-reload, mas isso não pareceu ajudar.

Também tentei comentar a linha LimitNPROC em /lib/systemd/system/ [email protected] . (do OpenVPN não inicia como um serviço com arquivo de configuração ), mas isso não fez diferença.

Como faço para que o openvpn reconheça meu segundo arquivo de configuração?

Assumindo autenticação de par de chaves bidirecional com certificados válidos, como datas, etc., sem tls-crypt, sem CRL e sem verificações de nomes comuns.

Essa também é a razão para usar uma CA privada, em vez de pública?

Quero que todo o tráfego da minha Internet passe pela VPN, exceto alguns sites (por exemplo, para que eu possa transmitir shows normalmente, mas executar outras coisas pela VPN).

Meu provedor VPN me fornece um arquivo .ovnp. Devo mencionar rapidamente que tenho fibromialgia e não consigo pensar bem. Portanto, adicionei cegamente textualmente em algum lugar meio aleatório ao arquivo vnp o seguinte, que obtive de outros tópicos.

allow-pull-fqdn
route www.netflix.com 255.255.255.255 net_gateway
route www.disneyplus.com 255.255.255.255 net_gateway
route www.primevideo.com 255.255.255.255 net_gateway

Mas, infelizmente, quando visito o site listado, posso ver que passo pelo vpn porque eles não se comportam corretamente, com shows ausentes ou simplesmente não carregam (enquanto que, quando não uso o vpn, eles estão bem) . Espero que não seja porque esses domínios têm vários ips ou algo assim. Estou executando o arch linux. Existe um lugar especial no arquivo que eu preciso para colocar meu bloco? O arquivo se parece com isso (acho que esses arquivos são públicos de qualquer maneira, mas removi as chaves):

client
dev tun
proto udp
remote 89.47.234.171 1194
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0
comp-lzo no

<-- I tried here

remote-cert-tls server

auth-user-pass
verb 3
pull
fast-io
cipher AES-256-CBC
auth SHA512
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

Configurei um serviço OpenVPN em meu servidor com autenticação de nome de usuário e senha e nenhum certificado de cliente é necessário.

Eu defini o nome de usuário e a senha em /etc/passwd e /etc/shadow. agora, não há problema em conectar-se com um usuário específico para OpenVPN (que é client1 ), mas tentei root (um usuário linux), também é possível conectar-se.

A questão é: existe alguma maneira de armazenar esses usuários para OpenVPN em vez de passwd? É muito perigoso, eu acho, ou outro grupo (crie um grupo em /etc/gourp para OpenVPN) para limitá-los?

server.conf

port 20487
proto udp
dev tun
;dev-node MyTap
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
duplicate-cn
keepalive 10 120
tls-crypt ta.key 0 # This file is secret
data-ciphers AES-256-GCM
data-ciphers-fallback AES-256-GCM
max-clients 24
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
verb 5


explicit-exit-notify 1

plugin openvpn-plugin-auth-pam.so login
verify-client-cert none
username-as-common-name
script-security 2

cliente.ovpn

client
dev tun
proto udp
remote [destnation] 20487
auth-user-pass
#verify-client-cert none
#username-as-common-name
data-ciphers-fallback AES-256-GCM
data-ciphers AES-256-GCM
<ca>
-----BEGIN CERTIFICATE-----
ca.crt
-----END CERTIFICATE-----
</ca>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
ta.key
-----END OpenVPN Static key V1-----
</tls-crypt>

/etc/passwd

root:x:0:0:root:/root:/bin/bash
***
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
***
client1:x:1001:65534::/nonexistent:/usr/sbin/nologin

/etc/shadow

root:$y$*:19532:0:99999:7:::
***
nobody:*:19172:0:99999:7:::
***
client1:$y$j9T$K0ubESGFtXD2Imra5pMVJ/$ZUM2HNYn.0X9smrtKEAdgjIclQIdcURbI4xxlTU6tHB:19532:0:99999:7:::

Para definir IP estático para clientes com certificados distintos, podemos definir IP estático para clientes seguindo a resposta de jdmorei . No entanto, se duplicate-cnestiver definido no lado do servidor, para que muitos clientes compartilhem o mesmo certificado, como posso definir IP estático para um cliente específico?

 openvpnas.service - OpenVPN Access Server
     Loaded: loaded (/lib/systemd/system/openvpnas.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2022-04-10 09:28:12 UTC; 5h 2min ago
   Main PID: 14649 (python3)
      Tasks: 13 (limit: 1081)
     Memory: 199.1M
     CGroup: /system.slice/openvpnas.service
             ├─14649 python3 -c from pyovpn.sagent.sagent_entry import openvpnas ; openvpnas() --nodaemon --logfile=>
             ├─14667 /usr/bin/python3 -c from pyovpn.cserv.wserv_entry import start ; start() -no -u openvpn_as -g o>
             ├─14668 /usr/bin/python3 -c from pyovpn.log.logworker import start ; start()
             ├─14680 /usr/bin/python3 -c from pyovpn.sagent.iptworker import start6 ; start6()
             ├─14682 /usr/bin/python3 -c from pyovpn.sagent.iptworker import start ; start()
             ├─14686 openvpn-openssl --errors-to-stderr --config stdin
             ├─14689 openvpn-openssl --errors-to-stderr --config stdin
             ├─14696 openvpn-openssl --errors-to-stderr --config stdin
             ├─14698 openvpn-openssl --errors-to-stderr --config stdin
             ├─14704 openvpn-openssl --errors-to-stderr --config stdin
             ├─14713 openvpn-openssl --errors-to-stderr --config stdin
             └─14718 iptables-restore -n

Por que estou recebendo esses erros, mesmo que o openvpn esteja funcionando bem

Eu tenho um roteador que uso como servidor VPN (o openVPN está configurado, modo unificado). Além disso, estou me conectando à VPN da minha empresa no macbook que está conectado à internet através do roteador mencionado acima.

Roteador -------> Macbookpro ------> VPN (empresa)
(openVPN)

Meu IP público está exposto para a empresa ou apenas o IP do openvpn configurado no roteador?

Eu tenho um perfil OpenVPN instalado no config-autodiretório da minha máquina Windows 11, para que ele se conecte ao meu servidor OpenVPN na inicialização.

O problema é que , às vezes , na inicialização do sistema, ele começa a não se conectar com:

2022-03-11 09:27:38 [server] Inactivity timeout (--ping-restart), restarting
2022-03-11 09:27:38 SIGUSR1[soft,ping-restart] received, process restarting
2022-03-11 09:27:38 Restart pause, 5 second(s)
2022-03-11 09:27:43 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-03-11 09:27:43 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-03-11 09:27:43 TCP/UDP: Preserving recently used remote address: [AF_INET]<REDACTED>:1194
2022-03-11 09:27:43 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-03-11 09:27:43 UDP link local: (not bound)
2022-03-11 09:27:43 UDP link remote: [AF_INET]<REDACTED>:1194
2022-03-11 09:28:43 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-03-11 09:28:43 TLS Error: TLS handshake failed
2022-03-11 09:28:43 SIGUSR1[soft,tls-error] received, process restarting

Como se não houvesse conexão com a internet, porém você pode ver que minha interface ethernet está ligada e conectada à internet:

Assim que eu reinicio o serviço OpenVPN:

Tudo começa a funcionar bem:

2022-03-11 09:28:43 TLS Error: TLS handshake failed
2022-03-11 09:28:43 SIGUSR1[soft,tls-error] received, process restarting

2022-03-11 10:16:36 NOTE: --user option is not implemented on Windows
2022-03-11 10:16:36 NOTE: --group option is not implemented on Windows
2022-03-11 10:16:36 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2022-03-11 10:16:36 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2022-03-11 10:16:36 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
2022-03-11 10:16:36 Windows version 10.0 (Windows 10 or greater) 64bit
2022-03-11 10:16:36 library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2022-03-11 10:16:36 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-03-11 10:16:36 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-03-11 10:16:36 TCP/UDP: Preserving recently used remote address: [AF_INET]<REDACTED>:1194
2022-03-11 10:16:36 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-03-11 10:16:36 UDP link local: (not bound)
2022-03-11 10:16:36 UDP link remote: [AF_INET]<REDACTED>:1194
2022-03-11 10:16:36 TLS: Initial packet from [AF_INET]<REDACTED>:1194, sid=7818afbf 7c74fa3b
2022-03-11 10:16:36 VERIFY OK: depth=1, <REDACTED>
2022-03-11 10:16:36 VERIFY KU OK
2022-03-11 10:16:36 Validating certificate extended key usage
2022-03-11 10:16:36 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

Presumo que seja algum tipo de condição de corrida entre minhas interfaces OpenVPN e ethernet. Tentei reduzir InterfaceMetricpara minha interface ethernet e aumentá-la para a interface OpenVPN sem sucesso:

Get-NetIPInterface

ifIndex InterfaceAlias                  AddressFamily NlMtu(Bytes) InterfaceMetric Dhcp     ConnectionState PolicyStore
------- --------------                  ------------- ------------ --------------- ----     --------------- -----------
29      vEthernet (WSL)                 IPv6                  1500              15 Enabled  Connected       ActiveStore
12      Ethernet 3                      IPv6                  1500               5 Disabled Disconnected    ActiveStore
10      Local Area Connection* 2        IPv6                  1500              25 Disabled Disconnected    ActiveStore
24      Ethernet                        IPv6                  1500               6 Enabled  Connected       ActiveStore
22      Local Area Connection* 1        IPv6                  1500              25 Disabled Disconnected    ActiveStore
23      OpenVPN                         IPv6                  1500              25 Enabled  Connected       ActiveStore
8       Ethernet 2                      IPv6                  1500               5 Disabled Disconnected    ActiveStore
13      OpenVPN Wintun                  IPv6                 65535               5 Disabled Disconnected    ActiveStore
1       Loopback Pseudo-Interface 1     IPv6            4294967295              75 Disabled Connected       ActiveStore
29      vEthernet (WSL)                 IPv4                  1500              15 Disabled Connected       ActiveStore
12      Ethernet 3                      IPv4                  1500               5 Enabled  Disconnected    ActiveStore
10      Local Area Connection* 2        IPv4                  1500              25 Enabled  Disconnected    ActiveStore
24      Ethernet                        IPv4                  1500               1 Enabled  Connected       ActiveStore
22      Local Area Connection* 1        IPv4                  1500              25 Enabled  Disconnected    ActiveStore
23      OpenVPN                         IPv4                  1500             100 Enabled  Connected       ActiveStore
8       Ethernet 2                      IPv4                  1500               5 Enabled  Disconnected    ActiveStore
13      OpenVPN Wintun                  IPv4                 65535               5 Disabled Disconnected    ActiveStore
1       Loopback Pseudo-Interface 1     IPv4            4294967295              75 Disabled Connected       ActiveStore

Eu também tentei definir uma estratégia de recuperação no serviço OpenVPN, mas parece que o Windows não trata a falha de conexão do serviço OpenVPN como quebrado, portanto, não o está reiniciando:

Novamente, isso só acontece 1 em cada 5 botas, na maioria das vezes funciona bem.

Pesquisei em toda a internet, mas não encontrei mais ninguém com esse problema.