[Risolto] OpenVpn: problema connessione TAP

Networking, configurazione della connessione, periferiche e condivisioni di rete.
DennyEmpoli
Prode Principiante
Messaggi: 155
Iscrizione: sabato 3 luglio 2010, 14:57
Desktop: Mate
Distribuzione: Linux Mint 15 Olivia 64bit
Località: Empoli (FI)

[Risolto] OpenVpn: problema connessione TAP

Messaggio da DennyEmpoli »

Ciao a tutti.
Ho softetherVpn server ed ho generato le configurazioni per i client (openvpn).
Vorrei che la connessione fosse TAP perchè così posso settare un MAC tramite la direttiva lladdr dal file di configurazione client di openvpn.

Il client in questo caso è un PLC Wago. Avevo fatto tutto ed è funzionato alla grande per vari mesi. Adesso ho avuto la necessità di flashare il firmware del Plc e quindi ho dovuto reimportare tutto.
Adesso però con la solita configurazione non funziona in modalità tap (in TUN sì).

Client Config:

Codice: Seleziona tutto

lladdr ca:f5:45:30:42:7b
dev tap
proto udp

remote vpn.miodominio.it 1194

cipher AES-128-CBC
auth SHA1

resolv-retry infinite
nobind
persist-key
persist-tun
client
verb 3
auth-user-pass "/root/credentials"


###############################################################################
# The certificate file of the destination VPN Server.
#
# The CA certificate file is embedded in the inline format.
# You can replace this CA contents if necessary.
# Please note that if the server certificate is not a self-signed, you have to
# specify the signer's root certificate (CA) here.

<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>


###############################################################################
# The client certificate file (dummy).
#
# In some implementations of OpenVPN Client software
# (for example: OpenVPN Client for iOS),
# a pair of client certificate and private key must be included on the
# configuration file due to the limitation of the client.
# So this sample configuration file has a dummy pair of client certificate
# and private key as follows.

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</cert>

<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

</key>
Log OpenVPN:

Codice: Seleziona tutto

Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: UDPv4 link local: [undef]
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: UDPv4 link remote: [AF_INET]<indirizzoIP>:1194
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: TLS: Initial packet from [AF_INET]<indirizzoIP>:1194, sid=5347dd9a 3a3e811c
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: VERIFY OK: depth=0, CN=miodominio.softether.net, O=miodominio Srl, C=IT
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Jul 18 11:05:22 PFC200V3-43B7A9 ovpn-openvpn[1060]: [miodominio.softether.net] Peer Connection Initiated with [AF_INET]<indirizzoIP>:1194
Jul 18 11:05:22 PFC200V3-43B7A9 firewall[1547]: pid: 1547, ppid: 1546
Jul 18 11:05:22 PFC200V3-43B7A9 firewall[1547]: uid: 0, euid: 0
Jul 18 11:05:22 PFC200V3-43B7A9 firewall[1547]: gid: 0, egid: 0
Jul 18 11:05:22 PFC200V3-43B7A9 firewall[1547]: execution call: /etc/config-tools/firewall firewall --is-enabled
Jul 18 11:05:22 PFC200V3-43B7A9 firewall[1547]: exit value: 0 (success)
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: SENT CONTROL [miodominio.softether.net]: 'PUSH_REQUEST' (status=1)
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 172.17.0.33 172.17.0.34,dhcp-option DOMAIN CLIENTImiodominio.locale'
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: OPTIONS IMPORT: timers and/or timeouts modified
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: OPTIONS IMPORT: --ifconfig/up options modified
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: WARNING: Since you are using --dev tap, the second argument to --ifconfig must be a netmask, for example something like 255.255.255.0. (silence this warning with --ifconfig-nowarn)
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: TUN/TAP device tap0 opened
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: TUN/TAP TX queue length set to 100
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: /usr/sbin/ifconfig tap0 hw ether a0:bc:12:34:56:78
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: TUN/TAP link layer address set to a0:bc:12:34:56:78
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: /usr/sbin/ifconfig tap0 172.17.0.33 netmask 172.17.0.34 mtu 1500 broadcast 255.255.255.253
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: Linux ifconfig failed: external program exited with error status: 1
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: Exiting due to fatal error
Log OpenVpn in TUN mode:

Codice: Seleziona tutto

Fri May 17 03:46:41 2019 OpenVPN 2.3.13 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May  7 2019
Fri May 17 03:46:41 2019 library versions: OpenSSL 1.0.2m  2 Nov 2017, LZO 2.09
Fri May 17 03:46:41 2019 WARNING: file '/root/credentials' is group or others accessible
Fri May 17 03:46:41 2019 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri May 17 03:46:41 2019 Socket Buffers: R=[163840->163840] S=[163840->163840]
Fri May 17 03:46:41 2019 UDPv4 link local: [undef]
Fri May 17 03:46:41 2019 UDPv4 link remote: [AF_INET]<indirizzoIP>:1194
Fri May 17 03:46:41 2019 TLS: Initial packet from [AF_INET]<indirizzoIP>:1194, sid=e57af651 44a5f436
Fri May 17 03:46:41 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri May 17 03:46:41 2019 VERIFY OK: depth=0, CN=miodominio.softether.net, O=miodominio Srl, C=IT
Fri May 17 03:46:41 2019 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri May 17 03:46:41 2019 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri May 17 03:46:41 2019 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri May 17 03:46:41 2019 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri May 17 03:46:41 2019 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Fri May 17 03:46:41 2019 [miodominio.softether.net] Peer Connection Initiated with [AF_INET]<indirizzoIP>:1194
Fri May 17 03:46:43 2019 SENT CONTROL [miodominio.softether.net]: 'PUSH_REQUEST' (status=1)
Fri May 17 03:46:43 2019 PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 172.17.0.33 172.17.0.34,dhcp-option DOMAIN CLIENTImiodominio.locale'
Fri May 17 03:46:43 2019 OPTIONS IMPORT: timers and/or timeouts modified
Fri May 17 03:46:43 2019 OPTIONS IMPORT: --ifconfig/up options modified
Fri May 17 03:46:43 2019 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri May 17 03:46:43 2019 TUN/TAP device tun0 opened
Fri May 17 03:46:43 2019 TUN/TAP TX queue length set to 100
Fri May 17 03:46:43 2019 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri May 17 03:46:43 2019 /usr/sbin/ifconfig tun0 172.17.0.33 pointopoint 172.17.0.34 mtu 1500
Fri May 17 03:46:43 2019 Initialization Sequence Completed
Qualcuno sa come mai fa così? :muro:
Ultima modifica di DennyEmpoli il venerdì 19 luglio 2019, 17:31, modificato 1 volta in totale.
Avatar utente
Alien321
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1388
Iscrizione: sabato 20 maggio 2006, 20:39
Desktop: KDE 5.16.4
Distribuzione: KDE Neon
Località: Venere

Re: OpenVpn: problema connessione TAP

Messaggio da Alien321 »

Codice: Seleziona tutto

/usr/sbin/ifconfig tap0 hw ether a0:bc:12:34:56:78
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: TUN/TAP link layer address set to a0:bc:12:34:56:78
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: /usr/sbin/ifconfig tap0 172.17.0.33 netmask 172.17.0.34 mtu 1500 broadcast 255.255.255.253
Jul 18 11:05:24 PFC200V3-43B7A9 ovpn-openvpn[1060]: Linux ifconfig failed: external program exited with error status: 1
Sembra che l'ifconfig fallisca, prova a vedere anche nei log di sistema cosa dice, se non c'è nulla prova ad aumentare i log di openvpn
Spoiler
Mostra
Finalmente è finito carnevale, anche se vedo ancora gente in maschera
DennyEmpoli
Prode Principiante
Messaggi: 155
Iscrizione: sabato 3 luglio 2010, 14:57
Desktop: Mate
Distribuzione: Linux Mint 15 Olivia 64bit
Località: Empoli (FI)

Re: OpenVpn: problema connessione TAP

Messaggio da DennyEmpoli »

Ho scoperto che in realtà invece non funziona nemmeno con TUN. Nel senso che dice che è connesso e gli viene assegnato un IP in pointopoint però non è visto nemmeno dal server stesso.
Ho notato che non funziona nemmeno se uso il client OpenVPN per Windows. Se invece uso il client di softether invece funziona bene.
Può darsi ci siano stati dei problemi di compatibilità negli ultimi aggiornamenti?
Pike
Rampante Reduce
Rampante Reduce
Messaggi: 5460
Iscrizione: domenica 20 gennaio 2008, 1:13
Desktop: Kubuntu
Distribuzione: 20.04 x64
Contatti:

Re: OpenVpn: problema connessione TAP

Messaggio da Pike »

O una configurazione da rivedere...
Sono colui che fa cose che non servono...
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
DennyEmpoli
Prode Principiante
Messaggi: 155
Iscrizione: sabato 3 luglio 2010, 14:57
Desktop: Mate
Distribuzione: Linux Mint 15 Olivia 64bit
Località: Empoli (FI)

Re: OpenVpn: problema connessione TAP

Messaggio da DennyEmpoli »

Mi correggo. Anche da OpenVPN client sia Windows che Linux funziona. Ho provato anche una versione precedente a quella che c'è sul PLC e funziona.
Secondo me il problema nasce dal fatto che ci sia questa risposta da parte del VPN server:

Codice: Seleziona tutto

PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 172.17.0.33 172.17.0.34,dhcp-option DOMAIN CLIENTIMIODOMINIO.locale'
poi openvpn va a richiamare l'ifconfig che setta l'ip 172.17.0.33 e la netmask a 172.17.0.34 e quindi ovviamente da errore.

Questa risposta da parte del VPN server dovrebbe restituirmela quando nella configurazione client c'è la direttiva tun ed a quel punto fa un pointopoint

Invece, nei dispositivi in cui funziona la tap invece come risposta ho questa:

Codice: Seleziona tutto

PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10'
DennyEmpoli
Prode Principiante
Messaggi: 155
Iscrizione: sabato 3 luglio 2010, 14:57
Desktop: Mate
Distribuzione: Linux Mint 15 Olivia 64bit
Località: Empoli (FI)

Re: OpenVpn: problema connessione TAP

Messaggio da DennyEmpoli »

Perse 2 giornate ma alla fine ho risolto! :birra:
Probabilmente c'era qualche problema con il firmware del PLC. Hanno caricato una versione più aggiornata qualche giorno fa.
L'ho flashato ed ho riconfigurato la VPN esattamente come prima ed adesso funziona.
Infatti tra i vari aggiornamenti c'è openvpn e ssl

Ciao a tutti
Avatar utente
Alien321
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1388
Iscrizione: sabato 20 maggio 2006, 20:39
Desktop: KDE 5.16.4
Distribuzione: KDE Neon
Località: Venere

Re: [Risolto] OpenVpn: problema connessione TAP

Messaggio da Alien321 »

E si probabile dato che la netmask è totalmente sbagliata, scemo io che non me ne ero accorto...
Spoiler
Mostra
Finalmente è finito carnevale, anche se vedo ancora gente in maschera
Pike
Rampante Reduce
Rampante Reduce
Messaggi: 5460
Iscrizione: domenica 20 gennaio 2008, 1:13
Desktop: Kubuntu
Distribuzione: 20.04 x64
Contatti:

Re: OpenVpn: problema connessione TAP

Messaggio da Pike »

DennyEmpoli [url=https://forum.ubuntu-it.org/viewtopic.php?p=5143135#p5143135][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Perse 2 giornate ma alla fine ho risolto! :birra:
Probabilmente c'era qualche problema con il firmware del PLC. Hanno caricato una versione più aggiornata qualche giorno fa.
L'ho flashato ed ho riconfigurato la VPN esattamente come prima ed adesso funziona.
Infatti tra i vari aggiornamenti c'è openvpn e ssl

Ciao a tutti
Intanto congratulazioni.
Hai letto il changelog del firmware wago?
Sono colui che fa cose che non servono...
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
DennyEmpoli
Prode Principiante
Messaggi: 155
Iscrizione: sabato 3 luglio 2010, 14:57
Desktop: Mate
Distribuzione: Linux Mint 15 Olivia 64bit
Località: Empoli (FI)

Re: [Risolto] OpenVpn: problema connessione TAP

Messaggio da DennyEmpoli »

Ciao,
si in realtà lo lessi, ma c'era scritto solamente che tra i vari aggiornamenti c'erano anche questi e mi sembra da qualche parte ci fosse scritto Bug Fixing, però cose specifiche non c'erano scritte.
Scrivi risposta

Ritorna a “Connessione e configurazione delle reti”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 12 ospiti