问题[openvpn](server)

我在 Docker 容器中运行一个实验性的 VPN 服务器。

我的docker-compose.yml文件：

version: '3'
services:
dockovpn:
    image: alekslitvinenk/openvpn
    cap_add:
        - NET_ADMIN
    ports:
        - 1194:1194/udp # Expose tcp if you defined HOST_TUN_PROTOCOL=tcp
    environment:
        HOST_ADDR: ${HOST_ADDR}
    volumes:
        - /var/lib/dockovpn:/opt/Dockovpn_data
    restart: always

HOST_ADDR我的 IP 地址在哪里？

我使用

sudo docker-compose up -d

命令，我可以从 Windows、Android 和 iOS 设备连接到 VPN。

没有client-to-client选项server.conf：

sudo docker exec -it dockovpn_dockovpn_1 bash
cd /opt/Dockovpn
cat config/server.conf

port 1194
proto %HOST_TUN_PROTOCOL%
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/MyReq.crt
key /etc/openvpn/MyReq.key
dh /etc/openvpn/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
duplicate-cn
keepalive 10 120
cipher AES-256-GCM
ncp-ciphers AES-256-GCM:AES-256-CBC
auth SHA512
persist-key
persist-tun
status openvpn-status.log
verb 4
tls-server
tls-version-min 1.2
tls-auth /etc/openvpn/ta.key 0
crl-verify /etc/openvpn/crl.pem

因此，根据OpenVPN 文档，客户端不应该互相看到对方，但实际上他们可以看到对方。例如，我可以通过远程桌面连接到 IP 地址为 10.8.0.14 等的远程 Windows 计算机...

如何解决这个问题？

编辑1

在scripts\start.sh中找到以下内容：

# Allow traffic on the TUN interface.
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT

也许我最好删除iptables -A FORWARD -i tun0 -j ACCEPT而不是添加iptables -A FORWARD -i tun0 -o tun0 -j REJECT？

在我将 Ubuntu 20.04 笔记本电脑从 python3.8 升级到 python 3.11 后，Openvpn3 停止工作

我收到此错误：

openvpn3-systemd[9972]: ModuleNotFoundError: No module named '_dbus_bindings'

我发现它import dbus适用于 python3.8，但不适用于 python3.11

我尝试通过将默认系统 python 改回 3.8 来使 openvpn3 正常工作

sudo update-alternatives --config python

我还验证了当我在命令行中使用 python 时，它会找到 dbus，

python -c 'import dbus'

重新启动服务仍然失败并出现相同错误。我编辑了文件/usr/libexec/openvpn3-linux/openvpn3-systemd，以便在尝试使用文件顶部的以下两行导入 dbus 之前打印 python 版本：

import sys
print ('openvpn3-python-version-used: ' + sys.version)

我看到它使用的是 python3.11

我如何更改服务文件以强制它使用旧版本的 python3.8？/lib/systemd/system/[email protected]

当前服务文件：

[Unit]
Description=OpenVPN 3 Linux - VPN session for %I
After=dbus.service network-online.target
Wants=dbus.service network-online.target
Documentation=man:openvpn3-linux(7)
Documentation=man:openvpn3-systemd(7)

[Service]
Type=notify
PrivateTmp=true
ProtectSystem=true
ProtectHome=true
Environment="PYTHONUNBUFFERED=on"
ExecStart=/usr/libexec/openvpn3-linux/openvpn3-systemd --start %i
ExecReload=/usr/libexec/openvpn3-linux/openvpn3-systemd --restart %i
ExecStop=/usr/libexec/openvpn3-linux/openvpn3-systemd --stop %i

[Install]
WantedBy=multi-user.target

我在 Ubuntu 22.04 上有一个正在运行的 OpenVPN 服务器。

一切运行正常，但我想将有关已连接设备的更多信息记录到我的服务器。我需要使用我的服务器发送一些有关设备的自定义信息。

我成功集成了client-connect/client-disconnect脚本，但我想在这些脚本中使用更多关于客户端设备的环境变量。

我尝试从客户端配置文件中推送这些变量，如下所示：

push-peer-info
setenv IV_TEST="test1"
setenv UV_TEST="test2"

但我无法从脚本中恢复这些变量。在日志中，我可以看到一些变量被传输：

2024-09-11 07:31:09 us=326572 192.168.175.1:49395 peer info: IV_VER=3.8.2connect3
2024-09-11 07:31:09 us=326583 192.168.175.1:49395 peer info: IV_PLAT=win
2024-09-11 07:31:09 us=326588 192.168.175.1:49395 peer info: IV_NCP=2
2024-09-11 07:31:09 us=326593 192.168.175.1:49395 peer info: IV_TCPNL=1
2024-09-11 07:31:09 us=326597 192.168.175.1:49395 peer info: IV_PROTO=990
2024-09-11 07:31:09 us=326601 192.168.175.1:49395 peer info: IV_MTU=1600
2024-09-11 07:31:09 us=326605 192.168.175.1:49395 peer info: IV_CIPHERS=xxxxxxxx
2024-09-11 07:31:09 us=326609 192.168.175.1:49395 peer info: UV_ASCLI_VER=3.4.4-3412
2024-09-11 07:31:09 us=326614 192.168.175.1:49395 peer info: UV_PLAT_REL= xxxxxx
2024-09-11 07:31:09 us=326618 192.168.175.1:49395 peer info: UV_UUID=xxxxxxxxxxx
2024-09-11 07:31:09 us=326635 192.168.175.1:49395 peer info: IV_GUI_VER=OCWindows_3.4.4-3412
2024-09-11 07:31:09 us=326638 192.168.175.1:49395 peer info: IV_SSO=webauth,crtext
2024-09-11 07:31:09 us=326641 192.168.175.1:49395 peer info: IV_HWADDR=xxxxxxxxxxx
2024-09-11 07:31:09 us=326645 192.168.175.1:49395 peer info: IV_SSL=OpenSSL_3.1.4_24_Oct_2023

但不是我设置的变量。

查看文档我们可以看到这一点：

编辑1：

--push-peer-info ：将有关客户端的其他信息推送到服务器。以下数据始终推送到服务器：

这意味着使用--push-peer-info，我们可以允许客户端推送除了默认变量之外的其他自定义变量，但如何实现呢？

EDIT2： 我甚至尝试覆盖默认变量并改变顺序，但没有成功：

setenv IV_HWADDR="test1"
push-peer-info

任何帮助都将不胜感激。

我正在运行 Ubuntu 22，并且我已将 openvpn（客户端）设置为作为服务运行。我以前在 /etc/openvpn 中有一个 .conf 文件，最近又添加了一个。

当 openvpn 启动或我重新启动它时，它仅从第一个 .conf 文件连接到 vpn，而不是第二个。

如果我运行，sudo openvpn --config secondvpn.conf它可以正常工作并连接。

该服务的脚本位于 /etc/init.d 中，内容如下

# Description: This script will start OpenVPN tunnels as specified
#              in /etc/default/openvpn and /etc/openvpn/*.conf

我没有在 /etc/default/openvpn 中指定任何隧道，并且两个配置文件都在 /etc/openvpn/ 中并具有 .conf 扩展名。

我已尝试过systemctl daemon-reload但似乎无济于事。

我还尝试注释掉 /lib/systemd/system/ [email protected]中的 LimitNPROC 行。（来自OpenVPN 不会作为带有配置文件的服务启动）但这并没有什么区别。

我如何让 openvpn 识别我的第二个配置文件？

假设使用有效证书（例如日期等）进行双向密钥对身份验证，没有 tls-crypt，没有 CRL，也没有对通用名称进行检查。

这也是使用私有 CA 而不是公共 CA 的原因吗？

我希望所有的互联网流量都通过 VPN，除了少数网站（例如，这样我可以正常流式传输节目，但通过 VPN 运行其他内容）。

我的 VPN 提供商为我提供了一个 .ovnp 文件。我应该很快提到我患有纤维肌痛并且无法正常思考。因此，我盲目地将中间某处逐字添加到以下 ovnp 文件中，这是我从其他线程获得的。

allow-pull-fqdn
route www.netflix.com 255.255.255.255 net_gateway
route www.disneyplus.com 255.255.255.255 net_gateway
route www.primevideo.com 255.255.255.255 net_gateway

但可惜的是，当我访问列出的网站时，我可以看到我通过了 VPN，因为它们的行为不正确，缺少显示或根本无法加载（而当我不使用 VPN 时，它们就很好） 。希望不是因为这些域有多个 ip 或其他原因。我正在运行 arch linux。文件中是否有一个特殊的位置需要放置我的块？该文件看起来像这样（我认为这些文件无论如何都是公开的，但我删除了密钥）：

client
dev tun
proto udp
remote 89.47.234.171 1194
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0
comp-lzo no

<-- I tried here

remote-cert-tls server

auth-user-pass
verb 3
pull
fast-io
cipher AES-256-CBC
auth SHA512
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

我已经在我的服务器上设置了 OpenVPN 服务，使用用户名和密码身份验证，并且不需要客户端证书。

我已经在/etc/passwd和/etc/shadow中设置了用户名和密码。现在，与 OpenVPN 的特定用户（即client1）连接是可以的，但我尝试过root（linux 用户），也可以连接。

问题是，是否有办法为 OpenVPN 存储这些用户而不是 passwd？我认为这太危险了，或者其他任何组（在 /etc/gourp 中为 OpenVPN 创建一个组）来限制它们？

服务器配置文件

port 20487
proto udp
dev tun
;dev-node MyTap
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
duplicate-cn
keepalive 10 120
tls-crypt ta.key 0 # This file is secret
data-ciphers AES-256-GCM
data-ciphers-fallback AES-256-GCM
max-clients 24
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
verb 5


explicit-exit-notify 1

plugin openvpn-plugin-auth-pam.so login
verify-client-cert none
username-as-common-name
script-security 2

客户端.ovpn

client
dev tun
proto udp
remote [destnation] 20487
auth-user-pass
#verify-client-cert none
#username-as-common-name
data-ciphers-fallback AES-256-GCM
data-ciphers AES-256-GCM
<ca>
-----BEGIN CERTIFICATE-----
ca.crt
-----END CERTIFICATE-----
</ca>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
ta.key
-----END OpenVPN Static key V1-----
</tls-crypt>

/etc/密码

root:x:0:0:root:/root:/bin/bash
***
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
***
client1:x:1001:65534::/nonexistent:/usr/sbin/nologin

/etc/影子

root:$y$*:19532:0:99999:7:::
***
nobody:*:19172:0:99999:7:::
***
client1:$y$j9T$K0ubESGFtXD2Imra5pMVJ/$ZUM2HNYn.0X9smrtKEAdgjIclQIdcURbI4xxlTU6tHB:19532:0:99999:7:::

要为具有不同证书的客户端设置静态 IP，我们可以按照jdmorei 的回答为客户端设置静态 IP 。但是，如果duplicate-cn在服务器端设置，那么许多客户端共享同一个证书，如何为特定客户端设置静态 IP？

 openvpnas.service - OpenVPN Access Server
     Loaded: loaded (/lib/systemd/system/openvpnas.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2022-04-10 09:28:12 UTC; 5h 2min ago
   Main PID: 14649 (python3)
      Tasks: 13 (limit: 1081)
     Memory: 199.1M
     CGroup: /system.slice/openvpnas.service
             ├─14649 python3 -c from pyovpn.sagent.sagent_entry import openvpnas ; openvpnas() --nodaemon --logfile=>
             ├─14667 /usr/bin/python3 -c from pyovpn.cserv.wserv_entry import start ; start() -no -u openvpn_as -g o>
             ├─14668 /usr/bin/python3 -c from pyovpn.log.logworker import start ; start()
             ├─14680 /usr/bin/python3 -c from pyovpn.sagent.iptworker import start6 ; start6()
             ├─14682 /usr/bin/python3 -c from pyovpn.sagent.iptworker import start ; start()
             ├─14686 openvpn-openssl --errors-to-stderr --config stdin
             ├─14689 openvpn-openssl --errors-to-stderr --config stdin
             ├─14696 openvpn-openssl --errors-to-stderr --config stdin
             ├─14698 openvpn-openssl --errors-to-stderr --config stdin
             ├─14704 openvpn-openssl --errors-to-stderr --config stdin
             ├─14713 openvpn-openssl --errors-to-stderr --config stdin
             └─14718 iptables-restore -n

为什么即使openvpn运行良好我也会收到这些错误

我有一个用作 VPN 服务器的路由器（配置了 openVPN，统一模式）。另外，我正在通过上述路由器连接到互联网的macbook上连接到我公司的VPN。

路由器-------> Macbookpro ------> VPN（公司）
（openVPN）

我的公网 IP 是暴露给公司还是只有路由器中配置的 openvpn 的 IP？