LinuxMint.com.ru

Привет . Появилась тема. Завелась VPS ка , была цель поднять VPN по tcp , поставил настроил работает как хотелось. Но осталась одна незадача , если поставлю сервис в загрузку или запущу руками из терминала , всё окей. Но есть хотелка , подставить конфиг клиента нетворк менеджеру . Конфиг он берёт , но соединение не устанавливает и вылетает после таймаута , в логах ничего критичного(вручную то работает ). Грешу на феньку с правами пользователями и группами. Добавил себя в группы nm-openvn и netdev . Куда дальше копать не знаю. Буду признателен за дельные советы. Кнопки и скрипты не предлагать , хочу в менеджер.

Не по теме

Вот так лучше

etamax писал(а): ↑
06 ноя 2019, 19:55
Кнопки и скрипты предлагать, не хочу в менеджер

darkfenix, не нада , start и stop я в состоянии набрать. Хачу манагер))

etamax, ну вот можно запилить так что у тебя в терминале будет 2 команды

Код: Выделить всё

vpn-start

и

Код: Выделить всё

vpn-stop

Отличная же идея

darkfenix писал(а): ↑
06 ноя 2019, 20:32
Отличная же идея

не отличная , так терминал останется висеть . systemctl start лучше , но хочу манагер хоть бы што))

darkfenix,

Не по теме

Тогда уж лучше просто ВКЛ и ВЫКЛ

etamax писал(а): ↑
06 ноя 2019, 20:36
так терминал останется висеть

Зачем это, ничего не надо висеть
Белый Кролик, не, ну если захочет

etamax, Ну вот какой пример наша администрация в вашем лице подает новичкам?

Неужели нельзя вопрос с конкретикой сформировать? Ведь чем точнее сформирован вопрос, тем вероятнее что на него получится найти ответ...
1. VPN - это не константа, их много разных, и поднять можно по разному. Что у вас? Как настроено, как запускается?
2. "Конфиг то он берет..." - конфиг показать слабо? Разумеется если там какие-то чувствительные данные вроде пароля - то замазать.
3. "в логах ничего критичного..." - логи в студию.

etamax писал(а): ↑
06 ноя 2019, 19:55
Буду признателен за дельные советы. Кнопки и скрипты не предлагать , хочу в менеджер.

Скажем, OpenVPN новые версии NM из коробки уже поддерживают без проблем... PPTP вообще поддерживался давно. И т.д.

slant писал(а): ↑
06 ноя 2019, 23:06
их много разных

Простой VPN. Имеется VPS с серверной Ubuntu 18.04 и дома ноут с LM18.3. На обоих сторонах просто openvpn . На сервере установлен центр сертификации и сгенерированы все необходимые ключи и сертификаты. Стандартные конфиги настроены на соединение tcp. Фаервол и правила тоже настроены. На сервере VPN запускается автоматом. Если и на клиенте включу автозапуск сервиса , то всё работает. И вот тут и возникает хотелка. Хочу включать и отключать туннель. менеджером , а он не поднимает туннель , крутит и отключается по таймауту , просто sudo openvpn openvpn.conf работает.

вот окончание лога до остановки по таймауту.

Nov 6 23:24:50 niko nm-openvpn[21974]: Connection reset, restarting [0]
Nov 6 23:24:50 niko nm-openvpn[21974]: SIGUSR1[soft,connection-reset] received, process restarting
Nov 6 23:24:55 niko nm-openvpn[21974]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Nov 6 23:24:55 niko nm-openvpn[21974]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Nov 6 23:24:55 niko nm-openvpn[21974]: WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1452)
Nov 6 23:24:55 niko nm-openvpn[21974]: Attempting to establish TCP connection with [AF_INET]195.128.248.79:1194 [nonblock]
Nov 6 23:24:56 niko nm-openvpn[21974]: TCP connection established with [AF_INET]195.128.248.79:1194
Nov 6 23:24:56 niko nm-openvpn[21974]: TCPv4_CLIENT link local: [undef]
Nov 6 23:24:56 niko nm-openvpn[21974]: TCPv4_CLIENT link remote: [AF_INET]195.128.248.79:1194
Nov 6 23:24:56 niko nm-openvpn[21974]: Connection reset, restarting [0]
Nov 6 23:24:56 niko nm-openvpn[21974]: SIGUSR1[soft,connection-reset] received, process restarting
Nov 6 23:25:01 niko nm-openvpn[21974]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Nov 6 23:25:01 niko nm-openvpn[21974]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Nov 6 23:25:01 niko nm-openvpn[21974]: WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1452)
Nov 6 23:25:01 niko nm-openvpn[21974]: Attempting to establish TCP connection with [AF_INET]195.128.248.79:1194 [nonblock]
Nov 6 23:25:02 niko nm-openvpn[21974]: TCP connection established with [AF_INET]195.128.248.79:1194
Nov 6 23:25:02 niko nm-openvpn[21974]: TCPv4_CLIENT link local: [undef]
Nov 6 23:25:02 niko nm-openvpn[21974]: TCPv4_CLIENT link remote: [AF_INET]195.128.248.79:1194
Nov 6 23:25:02 niko nm-openvpn[21974]: Connection reset, restarting [0]
Nov 6 23:25:02 niko nm-openvpn[21974]: SIGUSR1[soft,connection-reset] received, process restarting
Nov 6 23:25:05 niko NetworkManager[936]: <warn> [1573071905.6080] vpn-connection[0x24477b0,940a3c99-27e6-46b1-9e2f-68c2a10c1993,"client",0]: VPN connection: connect timeout exceeded.
Nov 6 23:25:05 niko NetworkManager[936]: libnm-Message: Connect timer expired, disconnecting.
Nov 6 23:25:05 niko NetworkManager[936]: nm-openvpn-Message: openvpn[21974]: send SIGTERM
Nov 6 23:25:05 niko nm-openvpn[21974]: SIGTERM[hard,init_instance] received, process exiting
Nov 6 23:25:05 niko NetworkManager[936]: nm-openvpn-Message: openvpn[21974] exited with success
Nov 6 23:25:05 niko NetworkManager[936]: <warn> [1573071905.6153] vpn-connection[0x24477b0,940a3c99-27e6-46b1-9e2f-68c2a10c1993,"client",0]: VPN plugin: failed: connect-failed (1)
Nov 6 23:25:05 niko NetworkManager[936]: <info> [1573071905.6187] vpn-connection[0x24477b0,940a3c99-27e6-46b1-9e2f-68c2a10c1993,"client",0]: VPN plugin: state changed: stopping (5)
Nov 6 23:25:05 niko NetworkManager[936]: <info> [1573071905.6188] vpn-connection[0x24477b0,940a3c99-27e6-46b1-9e2f-68c2a10c1993,"client",0]: VPN plugin: state changed: stopped (6)

Вопрос решился. Помогла очень грамотная девушка ( пусть вам стыдно будет и не познакомлю)) . По теме , есть в VPN такой ключик , tls.key , который ставится и на сервер и на клиент , и соответственно прописываются в конфигах. Вот тут собака и порылась , в сети множество гайдов и в них есть некоторые разночтения, для сервера они не критичны , а вот для клиента есть ньюанс. В конфигах пишется так - tls-auth ta.key 1 на стороне клиента , и с нулём на сервере. И вот в разных сволочных гайдах встречается такое , можно это писать в одну строку , а можно в две , типа такого - tls-auth ta.key , key-direction 1.
Так вот , на клиенте если запускать впн в терминале или через systemctl , то всё работает корректно . А если импортировать конфиг в NM , то в случае двухстрочного написания эта единичка не подхватывается ( а это направление передачи ) , если написано одной строкой то NM тянет конфиг правильно и работает. Вот такая заковыка.

etamax писал(а): ↑
08 ноя 2019, 17:52
пусть вам стыдно будет

Да, всем стыдно.
Кстати, что бы не много реабилитироваться, вот тебе лайфхак...

etamax писал(а): ↑
08 ноя 2019, 17:52
такой ключик , tls.key

Вовсе не обязательно таскать гроздь файлов для подключения, достаточно одного *.ovpn. Вот тебе даже статейка со скриптиком, который за тебя всё сделает: https://timeweb.com/ru/community/articl ... astroyka-1 (там пункт 5) Только пути в начале скрипта приведи в соответствия

di_mok, лол)) я по нему и делал , и обрати внимание , эта фигня с ключом написана именно в две строчки.

Сам его читай.

У мну по нему всё работает

di_mok писал(а): ↑
08 ноя 2019, 18:18
У мну по нему всё работает

А у мну нетворк манагер не импортирует из конфига эту единичку , если в конфиге 2 строки для этого ключа.

Возможно я читал не внимательно

Меня больше вторая часть заинтересовала, а именно: интеграция ключей и сертификатов в файл конфига.

etamax писал(а): ↑
08 ноя 2019, 17:52
В конфигах пишется так - tls-auth ta.key 1 на стороне клиента , и с нулём на сервере. И вот в разных сволочных гайдах встречается такое , можно это писать в одну строку , а можно в две , типа такого - tls-auth ta.key , key-direction 1

etamax писал(а): ↑
08 ноя 2019, 18:05
эта фигня с ключом написана именно в две строчки. Сам его читай.

Вот сам бы внимательно читал

Код: Выделить всё
tls-auth ta.key 0 # This file is secret
key-direction 0

Кажется кто-то пропустил что-то, а потом другие виноваты

А ведь slant еще когда Блуждания VPN между терминалом и NetworkManager-ом. (Пост slant #89250) просил конфиг показать.

это как с одноязычным лочером