errore nella realizzazione di una vpn

La rete, Internet, configurazione di Servizi e tutto ciò che permette la comunicazione tra macchine

errore nella realizzazione di una vpn

Messaggioda anarchia » 10/07/2019, 23:08

Salve, sono nuovo di questo forum anche se uso debian già da un po di tempo.

ho di recente recuperato un vecchio pc che vorrei utilizzare per creare una vpn, in modo da avere sempre con me (sul mio smartphone) una connessione sicura quando mi serve, e l'accesso ai miei dati.

non ho mai realizzato una vpn e dunque sto seguendo questa guida.
Codice: Seleziona tutto
https://linuxize.com/post/how-to-set-up-an-openvpn-server-on-debian-9/


va tutto a buon fine finchè non avvio openvpn con il seguente comando:

Codice: Seleziona tutto
systemctl start openvpn@server

che mi restituisce il seguente errore:

Codice: Seleziona tutto
Job for openvpn@server.service failed because the control process exited with error code.
See "systemctl status openvpn@server.service" and "journalctl -xe" for details.
root@Anarchia:/etc/openvpn# systemctl start openvpn@server
Job for openvpn@server.service failed because the control process exited with error code.
See "systemctl status openvpn@server.service" and "journalctl -xe" for details.


guardando i dettagli con il comando
journalctl -u openvpn@server


mi restituisce i seguenti messaggi di errore:
Codice: Seleziona tutto
-- Logs begin at Sat 2019-07-06 15:00:54 CEST, end at Wed 2019-07-10 23:45:41 CEST. --
lug 10 23:22:30 Anarchia systemd[1]: Starting OpenVPN connection to server...
lug 10 23:22:30 Anarchia ovpn-server[25914]: Options error: Unrecognized option or missing or extra parameter(s) in /etc/openv
lug 10 23:22:30 Anarchia systemd[1]: openvpn@server.service: Control process exited, code=exited status=1
lug 10 23:22:30 Anarchia systemd[1]: Failed to start OpenVPN connection to server.
lug 10 23:22:30 Anarchia systemd[1]: openvpn@server.service: Unit entered failed state.
lug 10 23:22:30 Anarchia systemd[1]: openvpn@server.service: Failed with result 'exit-code'.
lug 10 23:23:27 Anarchia systemd[1]: Starting OpenVPN connection to server...
lug 10 23:23:27 Anarchia ovpn-server[25937]: Options error: Unrecognized option or missing or extra parameter(s) in /etc/openv
lug 10 23:23:27 Anarchia ovpn-server[25937]: Use --help for more information.
lug 10 23:23:27 Anarchia systemd[1]: openvpn@server.service: Control process exited, code=exited status=1
lug 10 23:23:27 Anarchia systemd[1]: Failed to start OpenVPN connection to server.
lug 10 23:23:27 Anarchia systemd[1]: openvpn@server.service: Unit entered failed state.
lug 10 23:23:27 Anarchia systemd[1]: openvpn@server.service: Failed with result 'exit-code'.
lug 10 23:41:06 Anarchia systemd[1]: Starting OpenVPN connection to server...
lug 10 23:41:06 Anarchia systemd[1]: openvpn@server.service: Control process exited, code=exited status=1
lug 10 23:41:06 Anarchia systemd[1]: Failed to start OpenVPN connection to server.
lug 10 23:41:06 Anarchia systemd[1]: openvpn@server.service: Unit entered failed state.
lug 10 23:41:06 Anarchia systemd[1]: openvpn@server.service: Failed with result 'exit-code'.
lug 10 23:45:40 Anarchia systemd[1]: Starting OpenVPN connection to server...
lug 10 23:45:41 Anarchia ovpn-server[26082]: Options error: --status fails with '/var/log/openvpn/openvpn-status.log': No such
lug 10 23:45:41 Anarchia systemd[1]: openvpn@server.service: Control process exited, code=exited status=1
lug 10 23:45:41 Anarchia systemd[1]: Failed to start OpenVPN connection to server.
lug 10 23:45:41 Anarchia systemd[1]: openvpn@server.service: Unit entered failed state.
lug 10 23:45:41 Anarchia systemd[1]: openvpn@server.service: Failed with result 'exit-code'.
07-10 23:45:41 CEST. --
n to server...
ecognized option or missing or extra parameter(s) in /etc/openvpn/server.conf:328: ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-R
ntrol process exited, code=exited status=1
nnection to server.
it entered failed state.
iled with result 'exit-code'.
n to server...
ecognized option or missing or extra parameter(s) in /etc/openvpn/server.conf:328: ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-R
e information.
ntrol process exited, code=exited status=1
nnection to server.
it entered failed state.
iled with result 'exit-code'.
n to server...
ntrol process exited, code=exited status=1
nnection to server.
it entered failed state.
iled with result 'exit-code'.
n to server...
tatus fails with '/var/log/openvpn/openvpn-status.log': No such file or directory
ntrol process exited, code=exited status=1
nnection to server.
it entered failed state.
iled with result 'exit-code'.
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
pn/server.conf:328: ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 (2.4.0)
pn/server.conf:328: ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 (2.4.0)
 file or directory
~
~
~
SA-WITH-AES-256-GCM-SHA384 (2.4.0)
SA-WITH-AES-256-GCM-SHA384 (2.4.0)


a questo punto mi blocco e non so come procedere..
qualcuno sa aiutarmi?



vi ringrazio in anticipo..
buona serata!
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 11/07/2019, 16:13

Come riporta il log, ci deve essere un errore alla riga 328 di "/etc/openvpn/server.conf".
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5732
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 11/07/2019, 17:47

ciao, grazie per avermi risposto..
il problema è che quella riga non c'è, nel file, che riporto in allegato perchè altrimenti troppo lungo, ci sono solo 324 righe...
a meno che lui non conta come riga anche un commento fatto su una riga libero..spero di aver reso l'idea..

ps:ho allegato creando un archivio bz2, non mi fa allegare direttamente un txt
Allegati
servet.txt.bz2
(4.1 KiB) Scaricato 7 volte
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 11/07/2019, 18:40

La riga 324 l'hai aggiunta tu?
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5732
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 11/07/2019, 19:15

si, seguendo la guida, il server.conf che proponeva era fatto cosi...
ho provato a cambiare con auth SHA256 e a commentarla eseguendo di nuovo
systemctl start openvpn@server

ma continua a dare lo stesso errore..
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 12/07/2019, 9:55

Mi sembra proprio strano.
Questi tre comandi che dicono?
Codice: Seleziona tutto
$ ls -l /etc/openvpn/server.conf
$ cat /etc/openvpn/server.conf | wc -l
$ file /etc/openvpn/server.conf
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5732
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 12/07/2019, 16:50

ciao,
gli output sono i seguenti:
Codice: Seleziona tutto
root@Anarchia:/etc/openvpn# ls -l
totale 56
-rw------- 1 root root  7287 lug  9 23:50 anarchia.crt
-rw------- 1 root root  3272 lug  9 23:41 anarchia.key
-rw------- 1 root root  1866 lug  9 23:50 ca.crt
drwxr-xr-x 2 root root  4096 ott 14  2018 client
-rw------- 1 root root   769 lug  9 23:36 dh.pem
drwxr-xr-x 2 root root  4096 ott 14  2018 server
-rw-r--r-- 1 root root 10897 lug 11 20:12 server.conf
-rw-r--r-- 1 root root 10896 lug 11 18:36 server.conf.bak
-rw------- 1 root root   636 lug  9 23:38 ta.key


Codice: Seleziona tutto
root@Anarchia:/etc/openvpn# cat /etc/openvpn/server.conf | wc -l
324


e infine ((con l'ultima riga del file server.conf commentata):

Codice: Seleziona tutto
root@Anarchia:/etc/openvpn# file /etc/openvpn/server.conf
/etc/openvpn/server.conf: ASCII text


faccio presente che nel seguire la guida, visto che diceva in sostanza di installare due volte easyrsa per generare i vari certificati, ho realizzato due cartelle con nomi fittizi, easyrsa lato client ed easyrsa lato server, spostando poi i file generati in /etc/openvpn/

grazie ancora per l'aiuto che mi dai..
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 13/07/2019, 15:26

La directory /etc/openvpn/server che contiene?

easy-rsa si trova anche nei repository ufficiali, non capisco perché la guida dice di andarselo a prendere altrove. E inoltre ti basta installarlo solo una volta visto che, presumo, la tua macchina faccia sia da server sia da CA.

Non ringraziarmi, guarda che non ho fatto niente ;)

EDIT
Riporta gentilmente anche l'output di:
Codice: Seleziona tutto
# systemctl list-unit-files --type=service | grep -i openvpn
# service openvpn status
# cat /etc/default/openvpn
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5732
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 14/07/2019, 16:07

ciao, a causa di alcuni problemi ieri ho formattato il pc, tra l'altro questo "mi permette" di rifare tutta la procedura con il sistema pulito.
cosi ho tentato di avviare nuovamente la procedura per la realizzazione della vpn, perciò ho generato nuovamente i vari file, ma la differenza in questo nuovo tentativo è che ho installato una sola volta easyrsa.
purtroppo il tentativo non è andato a buon fine..
mi blocco sempre nel punto precedente quando cerco di avviare openvpn ricevendo un errore simile a quello precedente, ma diverso, che riporto di seguito:

Codice: Seleziona tutto
● openvpn@anarchia.service - OpenVPN connection to anarchia
   Loaded: loaded (/lib/systemd/system/openvpn@.service; disabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Sun 2019-07-14 16:29:54 CEST; 14min ago
     Docs: man:openvpn(8)
           https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
  Process: 6321 ExecStart=/usr/sbin/openvpn --daemon ovpn-anarchia --status /run/openvpn/anarchia.status 10 --cd /etc/openvpn

lug 14 16:29:54 anarchia systemd[1]: Starting OpenVPN connection to anarchia...
lug 14 16:29:54 anarchia ovpn-anarchia[6321]: Options error: --status fails with '/var/log/openvpn/openvpn-status.log': No suc
lug 14 16:29:54 anarchia systemd[1]: openvpn@anarchia.service: Control process exited, code=exited status=1
lug 14 16:29:54 anarchia systemd[1]: Failed to start OpenVPN connection to anarchia.
lug 14 16:29:54 anarchia systemd[1]: openvpn@anarchia.service: Unit entered failed state.
lug 14 16:29:54 anarchia systemd[1]: openvpn@anarchia.service: Failed with result 'exit-code'.
~
~

ed; vendor preset: enabled)
9:54 CEST; 14min ago

ManPage

hia --status /run/openvpn/anarchia.status 10 --cd /etc/openvpn --config /etc/openvpn/anarchia.conf --writepid /run/openvpn/ana

n to anarchia...
status fails with '/var/log/openvpn/openvpn-status.log': No such file or directory
Control process exited, code=exited status=1
nnection to anarchia.
Unit entered failed state.
Failed with result 'exit-code'.
~
~

--config /etc/openvpn/anarchia.conf --writepid /run/openvpn/anarchia.pid (code=exited, status=1/FAILURE)


h file or directory




~
~

rchia.pid (code=exited, status=1/FAILURE)






a questo punto ti allego nuovamente il server.conf, che adesso si chiama anarchia.conf e riporto gli output dei comandi che in precedenza mi avevi richiesto:

Codice: Seleziona tutto
root@anarchia:/etc/openvpn# ls -l /etc/openvpn/anarchia.conf
-rw-r--r-- 1 root root 10818 lug 14 16:52 /etc/openvpn/anarchia.conf


questo che visto l'errore non credo serva più, ma non mi costa nulla riportarlo:

Codice: Seleziona tutto
root@anarchia:/etc/openvpn# cat /etc/openvpn/anarchia.conf | wc -l
317


Codice: Seleziona tutto
root@anarchia:/etc/openvpn# file /etc/openvpn/anarchia.conf
/etc/openvpn/anarchia.conf: ASCII text


Codice: Seleziona tutto
root@anarchia:/etc/openvpn# systemctl list-unit-files --type=service | grep -i openvpn
openvpn-client@.service                    disabled
openvpn-server@.service                    disabled
openvpn.service                            enabled 
openvpn@.service                           disabled



Codice: Seleziona tutto
root@anarchia:/etc/openvpn# service openvpn status
● openvpn.service - OpenVPN service
   Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled)
   Active: inactive (dead)


Codice: Seleziona tutto
root@anarchia:/etc/openvpn# cat /etc/default/openvpn
# This is the configuration file for /etc/init.d/openvpn

#
# Start only these VPNs automatically via init script.
# Allowed values are "all", "none" or space separated list of
# names of the VPNs. If empty, "all" is assumed.
# The VPN name refers to the VPN configutation file name.
# i.e. "home" would be /etc/openvpn/home.conf
#
# If you're running systemd, changing this variable will
# require running "systemctl daemon-reload" followed by
# a restart of the openvpn service (if you removed entries
# you may have to stop those manually)
#
#AUTOSTART="all"
#AUTOSTART="none"
#AUTOSTART="home office"
#
# WARNING: If you're running systemd the rest of the
# options in this file are ignored.
#
# Refresh interval (in seconds) of default status files
# located in /var/run/openvpn.$NAME.status
# Defaults to 10, 0 disables status file generation
#
#STATUSREFRESH=10
#STATUSREFRESH=0
# Optional arguments to openvpn's command line
OPTARGS=""
#
# If you need openvpn running after sendsigs, i.e.
# to let umountnfs work over the vpn, set OMIT_SENDSIGS
# to 1 and include umountnfs as Required-Stop: in openvpn's
# init.d script (remember to run insserv after that)
#
OMIT_SENDSIGS=0


in allegato riporto il server.conf che come ho già accennato ho chiamato questa volta anarchia (tanto per cambiare nome :D )
Allegati
anarchia.conf.bz2
(4.09 KiB) Scaricato 5 volte
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 15/07/2019, 19:35

Sembra tutto in ordine tranne l'errore che ora è diverso.
Ora rifaccio tutti i passaggi e vedo se riesco a riprodurre il problema.

Due cose:
1) Ogni volta che cambi il file di configurazione devi fermare prima il servizio:
Codice: Seleziona tutto
# systemctl stop ...

e poi avviarlo:
Codice: Seleziona tutto
# systemctl start ...

in modo tale che possa rileggere la configurazione.
Questo ti può essere utile per creare un file con solo queste righe (come scrive la guida):
Codice: Seleziona tutto
port 1194
proto udp
dev tun
ca ca.crt
cert server1.crt
key server1.key  # This file should be kept secret
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1
auth SHA256

le commenti tutte e poi le decommenti una ad una riavviando il servizio dopo averlo fermato.
Chiaramente adattale al tuo caso (IP, nome dei file, etc.)

2) Che programma stai usando per modificare il file "anarchia.conf" o "server.conf"?
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5732
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 15/07/2019, 23:50

ciao,
allora ho provato facendo i tentativi che mi dicevi tu e la riga che dava fastidio è quella che poi ho commentato:
Codice: Seleziona tutto
port 54333
proto udp
dev tun
ca ca.crt
cert anarchia1.crt
key anarchia1.key  # This file should be kept secret
dh dh.pem
server 10.88.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
#status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1
auth SHA512

ho rieditato il server.conf con le caratteristiche dei miei file .

a questo punto mi sono portato avanti con la guida fino a realizzare il file da importare sul mio smartphone .ovpn, fin qui nessun problema, quindi porto il mio file sullo smartphone e tento la connessione ma non funziona..
avendo un router dlink ho usato dlinkddns per creare il mio ddns.
c'è quindi qualcosa che non va che presumo sia o il ddns, o le configurazioni del router, o il file generato ha qualche problema..

come posso verificare cosa non funziona?

grazie per l'aiuto

questa volta mi hai permesso di fare un bel salto in avanti :D

EDIT: per la modifica del server.conf uso nano
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 16/07/2019, 21:43

allora,
molto probabilmente la vpn non andava perchè c'era un errore nel client.conf
quindi ho fatto la correzione e ho provato a rigenerare il file .ovpn
ma non so per quale motivo non ci riesco più..
in pratica seguo la procedura sempre indicata sulla guida inizialmente postata, genero una cartella nella home dal nome openvpn-clients dove vado a mettere tutti i vari file e poi eseguo lo script..

qui ricevo il seguente errore:
Codice: Seleziona tutto
root@Anarchia:/home/roberto/openvpn-clients# ./gen_config.sh
 The file /root/openvpn-clients/base/client.conf does not exist


copio dunque la cartella openvpn-clients in root e provo ad eseguire di nuovo lo script ma ricevo questo errore:
Codice: Seleziona tutto
The file /root/openvpn-clients/files/.crt does not exist


ora non capisco granchè di programmazione ma leggendo lo script in sostanza vuole che ci siano i file nella cartella indicata..

riporto di seguito il contenuto delle cartelle:

Codice: Seleziona tutto
root@Anarchia:~/openvpn-clients# ls -l base/
totale 12
-rw------- 1 root root 1866 lug 16 22:10 ca.crt
-rw-r--r-- 1 root root 3633 lug 16 22:10 client.conf
-rw------- 1 root root  636 lug 16 22:10 ta.key


in files alla fine ci sono più file di quelli che dovrebbero esserci secondo la guida ma non credo faccia differenza:

Codice: Seleziona tutto
root@Anarchia:~/openvpn-clients# ls -l files/
totale 28
-rw------- 1 root root 1866 lug 16 22:31 ca.crt
-rw-r--r-- 1 root root 3633 lug 16 22:31 client.conf
-rw------- 1 root root 7148 lug 16 22:26 G7.crt
-rw------- 1 root root 3268 lug 16 22:10 G7.key
-rw------- 1 root root 1574 lug 16 22:28 G7.req
-rw------- 1 root root  636 lug 16 22:31 ta.key


non riesco quindi a generare il file G7.ovpn che mi dovrà permettere di collegarmi dal mio smartphone alla vpn..

consigli a riguardo?

grazie ancora per l'aiuto
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 17/07/2019, 19:34

ciao, facendo riferimento a questa guida, e usando lo script ui proposto sono riuscito a rigenerare il file .ovpn senza molti problemi.
Codice: Seleziona tutto
https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-9

ho effettuato dunque le correzioni che vi dicevo in precedenza e tentato di nuovo di effettuare il collegamento alla rete vpn
tuttavia non ho avuto successo.

a questo punto credo ci sia qualcosa da impostare nel router..ma ora non so più dove sbattere la testa..

avete delle proposte?
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 17/07/2019, 20:28

Secondo me il problema è la guida che prevede una terza macchina, oltre client e server, che firma i certificati (con conseguente uso di .req).
Il nostro wiki ha delle guide ma mi sembrano vecchie. Sabato, appena ho tempo, scrivo qualcosa qui.
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5732
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » ieri, 23:02

Ciao..
Avevo letto prima di iniziare le guide del wiki ma non mi convincevano e così ho cercato altro..
A questo punto aspetto allora tue indicazioni..
Se riesco ad andare a buon fine, magari contribuisco a scrivere una guida da pubblicare sul wiki, così le aggiorniamo..
Ciao!
anarchia
Newbie
Newbie
 
Messaggi: 9
Iscritto il: 09/07/2019, 19:41


Torna a Network

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti