问题[openvpn](server)

在我将 Ubuntu 20.04 笔记本电脑从 python3.8 升级到 python 3.11 后，Openvpn3 停止工作

我收到此错误：

openvpn3-systemd[9972]: ModuleNotFoundError: No module named '_dbus_bindings'

我发现它import dbus适用于 python3.8，但不适用于 python3.11

我尝试通过将默认系统 python 改回 3.8 来使 openvpn3 正常工作

sudo update-alternatives --config python

我还验证了当我在命令行中使用 python 时，它会找到 dbus，

python -c 'import dbus'

重新启动服务仍然失败并出现相同错误。我编辑了文件/usr/libexec/openvpn3-linux/openvpn3-systemd，以便在尝试使用文件顶部的以下两行导入 dbus 之前打印 python 版本：

import sys
print ('openvpn3-python-version-used: ' + sys.version)

我看到它使用的是 python3.11

我如何更改服务文件以强制它使用旧版本的 python3.8？/lib/systemd/system/[email protected]

当前服务文件：

[Unit]
Description=OpenVPN 3 Linux - VPN session for %I
After=dbus.service network-online.target
Wants=dbus.service network-online.target
Documentation=man:openvpn3-linux(7)
Documentation=man:openvpn3-systemd(7)

[Service]
Type=notify
PrivateTmp=true
ProtectSystem=true
ProtectHome=true
Environment="PYTHONUNBUFFERED=on"
ExecStart=/usr/libexec/openvpn3-linux/openvpn3-systemd --start %i
ExecReload=/usr/libexec/openvpn3-linux/openvpn3-systemd --restart %i
ExecStop=/usr/libexec/openvpn3-linux/openvpn3-systemd --stop %i

[Install]
WantedBy=multi-user.target

我在 Ubuntu 22.04 上有一个正在运行的 OpenVPN 服务器。

一切运行正常，但我想将有关已连接设备的更多信息记录到我的服务器。我需要使用我的服务器发送一些有关设备的自定义信息。

我成功集成了client-connect/client-disconnect脚本，但我想在这些脚本中使用更多关于客户端设备的环境变量。

我尝试从客户端配置文件中推送这些变量，如下所示：

push-peer-info
setenv IV_TEST="test1"
setenv UV_TEST="test2"

但我无法从脚本中恢复这些变量。在日志中，我可以看到一些变量被传输：

2024-09-11 07:31:09 us=326572 192.168.175.1:49395 peer info: IV_VER=3.8.2connect3
2024-09-11 07:31:09 us=326583 192.168.175.1:49395 peer info: IV_PLAT=win
2024-09-11 07:31:09 us=326588 192.168.175.1:49395 peer info: IV_NCP=2
2024-09-11 07:31:09 us=326593 192.168.175.1:49395 peer info: IV_TCPNL=1
2024-09-11 07:31:09 us=326597 192.168.175.1:49395 peer info: IV_PROTO=990
2024-09-11 07:31:09 us=326601 192.168.175.1:49395 peer info: IV_MTU=1600
2024-09-11 07:31:09 us=326605 192.168.175.1:49395 peer info: IV_CIPHERS=xxxxxxxx
2024-09-11 07:31:09 us=326609 192.168.175.1:49395 peer info: UV_ASCLI_VER=3.4.4-3412
2024-09-11 07:31:09 us=326614 192.168.175.1:49395 peer info: UV_PLAT_REL= xxxxxx
2024-09-11 07:31:09 us=326618 192.168.175.1:49395 peer info: UV_UUID=xxxxxxxxxxx
2024-09-11 07:31:09 us=326635 192.168.175.1:49395 peer info: IV_GUI_VER=OCWindows_3.4.4-3412
2024-09-11 07:31:09 us=326638 192.168.175.1:49395 peer info: IV_SSO=webauth,crtext
2024-09-11 07:31:09 us=326641 192.168.175.1:49395 peer info: IV_HWADDR=xxxxxxxxxxx
2024-09-11 07:31:09 us=326645 192.168.175.1:49395 peer info: IV_SSL=OpenSSL_3.1.4_24_Oct_2023

但不是我设置的变量。

查看文档我们可以看到这一点：

编辑1：

--push-peer-info ：将有关客户端的其他信息推送到服务器。以下数据始终推送到服务器：

这意味着使用--push-peer-info，我们可以允许客户端推送除了默认变量之外的其他自定义变量，但如何实现呢？

EDIT2： 我甚至尝试覆盖默认变量并改变顺序，但没有成功：

setenv IV_HWADDR="test1"
push-peer-info

任何帮助都将不胜感激。

我正在运行 Ubuntu 22，并且我已将 openvpn（客户端）设置为作为服务运行。我以前在 /etc/openvpn 中有一个 .conf 文件，最近又添加了一个。

当 openvpn 启动或我重新启动它时，它仅从第一个 .conf 文件连接到 vpn，而不是第二个。

如果我运行，sudo openvpn --config secondvpn.conf它可以正常工作并连接。

该服务的脚本位于 /etc/init.d 中，内容如下

# Description: This script will start OpenVPN tunnels as specified
#              in /etc/default/openvpn and /etc/openvpn/*.conf

我没有在 /etc/default/openvpn 中指定任何隧道，并且两个配置文件都在 /etc/openvpn/ 中并具有 .conf 扩展名。

我已尝试过systemctl daemon-reload但似乎无济于事。

我还尝试注释掉 /lib/systemd/system/ [email protected]中的 LimitNPROC 行。（来自OpenVPN 不会作为带有配置文件的服务启动）但这并没有什么区别。

我如何让 openvpn 识别我的第二个配置文件？

假设使用有效证书（例如日期等）进行双向密钥对身份验证，没有 tls-crypt，没有 CRL，也没有对通用名称进行检查。

这也是使用私有 CA 而不是公共 CA 的原因吗？

我希望所有的互联网流量都通过 VPN，除了少数网站（例如，这样我可以正常流式传输节目，但通过 VPN 运行其他内容）。

我的 VPN 提供商为我提供了一个 .ovnp 文件。我应该很快提到我患有纤维肌痛并且无法正常思考。因此，我盲目地将中间某处逐字添加到以下 ovnp 文件中，这是我从其他线程获得的。

allow-pull-fqdn
route www.netflix.com 255.255.255.255 net_gateway
route www.disneyplus.com 255.255.255.255 net_gateway
route www.primevideo.com 255.255.255.255 net_gateway

但可惜的是，当我访问列出的网站时，我可以看到我通过了 VPN，因为它们的行为不正确，缺少显示或根本无法加载（而当我不使用 VPN 时，它们就很好） 。希望不是因为这些域有多个 ip 或其他原因。我正在运行 arch linux。文件中是否有一个特殊的位置需要放置我的块？该文件看起来像这样（我认为这些文件无论如何都是公开的，但我删除了密钥）：

client
dev tun
proto udp
remote 89.47.234.171 1194
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0
comp-lzo no

<-- I tried here

remote-cert-tls server

auth-user-pass
verb 3
pull
fast-io
cipher AES-256-CBC
auth SHA512
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

我已经在我的服务器上设置了 OpenVPN 服务，使用用户名和密码身份验证，并且不需要客户端证书。

我已经在/etc/passwd和/etc/shadow中设置了用户名和密码。现在，与 OpenVPN 的特定用户（即client1）连接是可以的，但我尝试过root（linux 用户），也可以连接。

问题是，是否有办法为 OpenVPN 存储这些用户而不是 passwd？我认为这太危险了，或者其他任何组（在 /etc/gourp 中为 OpenVPN 创建一个组）来限制它们？

服务器配置文件

port 20487
proto udp
dev tun
;dev-node MyTap
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
duplicate-cn
keepalive 10 120
tls-crypt ta.key 0 # This file is secret
data-ciphers AES-256-GCM
data-ciphers-fallback AES-256-GCM
max-clients 24
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
verb 5


explicit-exit-notify 1

plugin openvpn-plugin-auth-pam.so login
verify-client-cert none
username-as-common-name
script-security 2

客户端.ovpn

client
dev tun
proto udp
remote [destnation] 20487
auth-user-pass
#verify-client-cert none
#username-as-common-name
data-ciphers-fallback AES-256-GCM
data-ciphers AES-256-GCM
<ca>
-----BEGIN CERTIFICATE-----
ca.crt
-----END CERTIFICATE-----
</ca>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
ta.key
-----END OpenVPN Static key V1-----
</tls-crypt>

/etc/密码

root:x:0:0:root:/root:/bin/bash
***
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
***
client1:x:1001:65534::/nonexistent:/usr/sbin/nologin

/etc/影子

root:$y$*:19532:0:99999:7:::
***
nobody:*:19172:0:99999:7:::
***
client1:$y$j9T$K0ubESGFtXD2Imra5pMVJ/$ZUM2HNYn.0X9smrtKEAdgjIclQIdcURbI4xxlTU6tHB:19532:0:99999:7:::

要为具有不同证书的客户端设置静态 IP，我们可以按照jdmorei 的回答为客户端设置静态 IP 。但是，如果duplicate-cn在服务器端设置，那么许多客户端共享同一个证书，如何为特定客户端设置静态 IP？

 openvpnas.service - OpenVPN Access Server
     Loaded: loaded (/lib/systemd/system/openvpnas.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2022-04-10 09:28:12 UTC; 5h 2min ago
   Main PID: 14649 (python3)
      Tasks: 13 (limit: 1081)
     Memory: 199.1M
     CGroup: /system.slice/openvpnas.service
             ├─14649 python3 -c from pyovpn.sagent.sagent_entry import openvpnas ; openvpnas() --nodaemon --logfile=>
             ├─14667 /usr/bin/python3 -c from pyovpn.cserv.wserv_entry import start ; start() -no -u openvpn_as -g o>
             ├─14668 /usr/bin/python3 -c from pyovpn.log.logworker import start ; start()
             ├─14680 /usr/bin/python3 -c from pyovpn.sagent.iptworker import start6 ; start6()
             ├─14682 /usr/bin/python3 -c from pyovpn.sagent.iptworker import start ; start()
             ├─14686 openvpn-openssl --errors-to-stderr --config stdin
             ├─14689 openvpn-openssl --errors-to-stderr --config stdin
             ├─14696 openvpn-openssl --errors-to-stderr --config stdin
             ├─14698 openvpn-openssl --errors-to-stderr --config stdin
             ├─14704 openvpn-openssl --errors-to-stderr --config stdin
             ├─14713 openvpn-openssl --errors-to-stderr --config stdin
             └─14718 iptables-restore -n

为什么即使openvpn运行良好我也会收到这些错误

我有一个用作 VPN 服务器的路由器（配置了 openVPN，统一模式）。另外，我正在通过上述路由器连接到互联网的macbook上连接到我公司的VPN。

路由器-------> Macbookpro ------> VPN（公司）
（openVPN）

我的公网 IP 是暴露给公司还是只有路由器中配置的 openvpn 的 IP？

我在我的 Windows 11 机器的目录中安装了一个 OpenVPN 配置文件config-auto，以便它在启动时连接到我的 OpenVPN 服务器。

问题是有时在系统启动时，它开始无法连接：

2022-03-11 09:27:38 [server] Inactivity timeout (--ping-restart), restarting
2022-03-11 09:27:38 SIGUSR1[soft,ping-restart] received, process restarting
2022-03-11 09:27:38 Restart pause, 5 second(s)
2022-03-11 09:27:43 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-03-11 09:27:43 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-03-11 09:27:43 TCP/UDP: Preserving recently used remote address: [AF_INET]<REDACTED>:1194
2022-03-11 09:27:43 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-03-11 09:27:43 UDP link local: (not bound)
2022-03-11 09:27:43 UDP link remote: [AF_INET]<REDACTED>:1194
2022-03-11 09:28:43 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2022-03-11 09:28:43 TLS Error: TLS handshake failed
2022-03-11 09:28:43 SIGUSR1[soft,tls-error] received, process restarting

好像没有互联网连接，但是您可以看到我的以太网接口已启动并连接到互联网：

一旦我重新启动 OpenVPN 服务：

一切都开始正常工作：

2022-03-11 09:28:43 TLS Error: TLS handshake failed
2022-03-11 09:28:43 SIGUSR1[soft,tls-error] received, process restarting

2022-03-11 10:16:36 NOTE: --user option is not implemented on Windows
2022-03-11 10:16:36 NOTE: --group option is not implemented on Windows
2022-03-11 10:16:36 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2022-03-11 10:16:36 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2022-03-11 10:16:36 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
2022-03-11 10:16:36 Windows version 10.0 (Windows 10 or greater) 64bit
2022-03-11 10:16:36 library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2022-03-11 10:16:36 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-03-11 10:16:36 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-03-11 10:16:36 TCP/UDP: Preserving recently used remote address: [AF_INET]<REDACTED>:1194
2022-03-11 10:16:36 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-03-11 10:16:36 UDP link local: (not bound)
2022-03-11 10:16:36 UDP link remote: [AF_INET]<REDACTED>:1194
2022-03-11 10:16:36 TLS: Initial packet from [AF_INET]<REDACTED>:1194, sid=7818afbf 7c74fa3b
2022-03-11 10:16:36 VERIFY OK: depth=1, <REDACTED>
2022-03-11 10:16:36 VERIFY KU OK
2022-03-11 10:16:36 Validating certificate extended key usage
2022-03-11 10:16:36 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

我想，这是我的 OpenVPN 和以太网接口之间的某种竞争条件。我尝试InterfaceMetric为我的以太网接口减少并为 OpenVPN 接口增加它无济于事：

Get-NetIPInterface

ifIndex InterfaceAlias                  AddressFamily NlMtu(Bytes) InterfaceMetric Dhcp     ConnectionState PolicyStore
------- --------------                  ------------- ------------ --------------- ----     --------------- -----------
29      vEthernet (WSL)                 IPv6                  1500              15 Enabled  Connected       ActiveStore
12      Ethernet 3                      IPv6                  1500               5 Disabled Disconnected    ActiveStore
10      Local Area Connection* 2        IPv6                  1500              25 Disabled Disconnected    ActiveStore
24      Ethernet                        IPv6                  1500               6 Enabled  Connected       ActiveStore
22      Local Area Connection* 1        IPv6                  1500              25 Disabled Disconnected    ActiveStore
23      OpenVPN                         IPv6                  1500              25 Enabled  Connected       ActiveStore
8       Ethernet 2                      IPv6                  1500               5 Disabled Disconnected    ActiveStore
13      OpenVPN Wintun                  IPv6                 65535               5 Disabled Disconnected    ActiveStore
1       Loopback Pseudo-Interface 1     IPv6            4294967295              75 Disabled Connected       ActiveStore
29      vEthernet (WSL)                 IPv4                  1500              15 Disabled Connected       ActiveStore
12      Ethernet 3                      IPv4                  1500               5 Enabled  Disconnected    ActiveStore
10      Local Area Connection* 2        IPv4                  1500              25 Enabled  Disconnected    ActiveStore
24      Ethernet                        IPv4                  1500               1 Enabled  Connected       ActiveStore
22      Local Area Connection* 1        IPv4                  1500              25 Enabled  Disconnected    ActiveStore
23      OpenVPN                         IPv4                  1500             100 Enabled  Connected       ActiveStore
8       Ethernet 2                      IPv4                  1500               5 Enabled  Disconnected    ActiveStore
13      OpenVPN Wintun                  IPv4                 65535               5 Disabled Disconnected    ActiveStore
1       Loopback Pseudo-Interface 1     IPv4            4294967295              75 Disabled Connected       ActiveStore

我还尝试在 OpenVPN 服务上设置恢复策略，但似乎 Windows 不会将无法连接的 OpenVPN 服务视为损坏，因此不会重新启动它：

同样，它只发生五分之一的靴子，大部分时间它工作正常。

搜索了整个互联网，但找不到其他人有这个问题。