Fórum Root.cz
Hlavní témata => Software => Téma založeno: Thomas.G 12. 12. 2017, 13:54:06
-
Dobrý den,
Používám:
- LM 18.3 mate 64bit
- OpenVPN 2.4.4 x86_64-pc-linux-gnu
Chci aby když se spustí systém se spustilo i připojení OpenVPN.
Zde je testovací soubor: "vpn_1.ovpn" https://pastebin.com/raw/ETVcFVYj
Je tam provedená změna: auth-user-pass "/home/abc/ProtonVPN/auth.txt"
auth.txt:
USERNAME12345
PASSWORD12345
Připojení ručne je funkční:
cd /home/abc/ProtonVPN
sudo openvpn vpn_1.ovpnNebo
cd /home/abc/ProtonVPN
sudo openvpn vpn_1.conf
Vytvořil jsem a upravil soubor openvpn.conf:
"/etc/openvpn/openvpn.conf"
https://pastebin.com/raw/dfGeY8c8
Změna: AUTOSTART="vpn_1.ovpn"
Ale po přihlášení do systému se nic nestane prosím o radu kde mám co špatně děkuji.
-
Mozna si napis na forum openvpn pochybuji ze ma nekdo tady takove znalosti aby te pomohl.
-
Mint moc neznám, ale je předpoklad, že to je stejné jako v Debianu, Ubuntu...
Nemá to AUTOSTART=... být spíš v /etc/default/openvpn
-
Ja bych zase rekl ze to ma dobre protoze nastaveni co je v "/etc/openvpn/openvpn" by melo prepisovat nastaveni co je v "/etc/default/openvpn"
Ale to chce nekoho kdo se v tom vazne orientuje :P
-
Ja bych zase rekl ze to ma dobre protoze nastaveni co je v "/etc/openvpn/openvpn" by melo prepisovat nastaveni co je v "/etc/default/openvpn"
Ale to chce nekoho kdo se v tom vazne orientuje :P
To je pravda někoho takového to chce, což vy očividně nejste, protože to co jste napsal je nesmysl. :P
/etc/openvpn/*.conf jsou konfigurace pro jednotlivé VPN
/etc/default/openvpn je konfigurák, který ovládá start daemona. Ovšem pokud je to v Linux Mint o tolik jinak, tak beru na vědomí.
-
No přiznám se, že jsem našel na internetu dvě až tři varianty, jak je AUTOSTART= zapsán a uložen.
/etc/default/openvpn
etc/openvpn/openvpn
etc/openvpn/openvpn.conf
řekl bych ale že správně bude: "/etc/default/openvpn" protože tam ten soubor opravdu je, jen se musí editovat.
přidal jsem tam: AUTOSTART="vpn_1"
protože soubor "vpn_1.ovpn" jsem přejmenoval na "vpn_1.conf".
a je umístěn v "/etc/openvpn"
Takhle by to mělo být správně jestli se nepletu...
Ale toto řešení bohužel taky nefunguje za další nápady budu rád.
-
No přiznám se, že jsem našel na internetu dvě až tři varianty, jak je AUTOSTART= zapsán a uložen.
/etc/default/openvpn
etc/openvpn/openvpn
etc/openvpn/openvpn.conf
řekl bych ale že správně bude: "/etc/default/openvpn" protože tam ten soubor opravdu je, jen se musí editovat.
přidal jsem tam: AUTOSTART="vpn_1"
protože soubor "vpn_1.ovpn" jsem přejmenoval na "vpn_1.conf".
a je umístěn v "/etc/openvpn"
Takhle by to mělo být správně jestli se nepletu...
Ale toto řešení bohužel taky nefunguje za další nápady budu rád.
Udělal jste předtím systemctl daemon-reload?
-
@ByCzech Tak to vypadá že už mi to funguje...
Pomohl soubor "/etc/default/openvpn" a taky jsem zapoměl na "sudo service openvpn start"
Nedokážu pochopit co dělá přepínač "OMIT_SENDSIGS=0" v souboru "openvpn"
A taky by mě zajímalo, jak se openvpn řeší prakticky, když se při startu spouští jako skrytá služba, jak se pozná že openvpn nespadlo (spojení) že internet vlastne funguje bez openvpn.
Jestli se dá nějak nastavit to že, když nebude navázáno spojení s openvpn, tak nebudu moct navázat žádné spojení s ničím jiným. (že mi vlastně nepůjde internet)
Hledám na internetu, jestli existuje nějaký ukazatel třeba v příkazové řádce, který mě v určitém intervalu řekne, že spojení openvpn spadlo a nebo že nelze navázat atd.
Zatím jsem nic nenašel...
-
najbezpecnejsie a naj"blbuvzdornejsie" to bude nechat na networkmanager a nainstalovat balicek network-manager-openvpn, tam si to vyklikas v gui, alebo cez konfiguraciu networka managera a budes to mat jednotne cez zvysok network konfiguracie
-
To právě nemůžu udělat protože toto řešení obsahuje chybu DNS leak.
A není možné připojovat soubory .ovpn jako celek.
-
co takhle
systemctl enable/start/stop openvpn-server@vpn_1? Soubor vpn_1.conf uloz do adresare /etc/openvpn/server/ pro pripad serverove konfigurace. V pripade klienta nahrad retezec "server" retezcem "client" jak v prikazu, tak v ceste.
-
@ByCzech Tak to vypadá že už mi to funguje...
Pomohl soubor "/etc/default/openvpn" a taky jsem zapoměl na "sudo service openvpn start"
Tak sláva.
Nedokážu pochopit co dělá přepínač "OMIT_SENDSIGS=0" v souboru "openvpn"
Zakáže/nezakáže vytváření symlinku s PID souborem openvpn do /run/sendsigs.omit.d/ (více viz sendsigs a killall5)
A taky by mě zajímalo, jak se openvpn řeší prakticky, když se při startu spouští jako skrytá služba, jak se pozná že openvpn nespadlo (spojení) že internet vlastne funguje bez openvpn.
A jak poznáte, že vám nejde jiné spojení? Openvpn je prostě další (virtuální) drát do nějaké sítě, když ten drát není připojený, tak se do dané sítě nedostanu, je to stejné v obou případech, proč u openvpn hledat nějakou extra magii?
Jestli se dá nějak nastavit to že, když nebude navázáno spojení s openvpn, tak nebudu moct navázat žádné spojení s ničím jiným. (že mi vlastně nepůjde internet)
Firewall?
Hledám na internetu, jestli existuje nějaký ukazatel třeba v příkazové řádce, který mě v určitém intervalu řekne, že spojení openvpn spadlo a nebo že nelze navázat atd.
Zatím jsem nic nenašel...
Jak píšu výše, u tohohle bych hledal obecné řešení pro hlídání spojení, které bych pak aplikoval na síť vytvořenou openvpn, nehledal bych extra řešení pro openvpn, protože to není nic výjimečného z pohledu sítě jako takové.
-
A taky by mě zajímalo, jak se openvpn řeší prakticky, když se při startu spouští jako skrytá služba, jak se pozná že openvpn nespadlo (spojení) že internet vlastne funguje bez openvpn.
Jestli se dá nějak nastavit to že, když nebude navázáno spojení s openvpn, tak nebudu moct navázat žádné spojení s ničím jiným. (že mi vlastně nepůjde internet)
Hledám na internetu, jestli existuje nějaký ukazatel třeba v příkazové řádce, který mě v určitém intervalu řekne, že spojení openvpn spadlo a nebo že nelze navázat atd.
Že by padalo samotné OpenVPN, to se mi nějak neděje. Když jen spadne spojení, OpenVPN ho za chvíli zas naváže. Ledacos se dá řešit pomocí skriptů v /etc/network/if-*.d. Jinak bych to řešil, jak už bylo napsáno, obecnými metodami, je to prostě jen další síťový interface.
-
Děkuji tohle mi hodně pomohlo.
PS:
Celou dobu se chci vyhnout problému s DNS leak.
Proto jsem postupoval podle návodu zde:
https://protonvpn.com/support/linux-vpn-setup/#optionB
(Jenom jsem nevěděl jak to automatizovat na startu systému)
Normální řešení openvpn přes network manager má právě problém s DNS leak.
Teď jsem pro jistotu otestoval že žádný DNS leak není.
A nestačím se divit mám uník DNS....
https://s18.postimg.org/f9w9w7kpl/DNS2.png
Soubor "jp-free-01.protonvpn.com.udp1194.ovpn" (https://pastebin.com/raw/sp64Ti3U) který používám pro testování má v sobě:
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-confA to by mělo zabránit DNS leaku.
Zde je log:
(Dostávám nějaký Error ale nevím co to je jinak VPN normálně jede)
https://pastebin.com/raw/6wSguJAP
-
Celou dobu se chci vyhnout problému s DNS leak.
...
Teď jsem pro jistotu otestoval že žádný DNS leak není.
A nestačím se divit mám uník DNS....
Jaké DNS servery máte nastaveny po spojení? Jaké služby máte v systému, které mohou nastavovat DNS (resolvconf, openresolv, avahi-dnsconfd, ...)? Co parametr "block-outside-dns" v konfiguraci openvpn, pomůže? ...
-
Co parametr "block-outside-dns" v konfiguraci openvpn, pomůže? ...
Ten asi ne, neuvědomil jsem si, že ten parametr je jen pro Windows...
-
Tak tohle už začíná být nad moje znalosti ::)
Kontaktoval jsem ProtonVPN Team, a bylo mi řečeno že mám otestovat .ovpn soubor s TCP protokolem.
Při testování nedošlo k žádnému DNS úniku a ani k žádné chybě.
Takže problém dělá jenom UDP spojení a chyba "AEAD Decrypt error: bad packet ID (may be a replay)"
U které stále nevím co znamená...
Jaké DNS servery máte nastaveny po spojení?
Přesně nechápu co máte na mysli (musíte na mě jak se říká polopatě)
Na routeru mám nastaveny české resolvery 217.31.204.130 a 193.29.206.206
které vidím když testuji DNS leaks.
Jaké služby máte v systému, které mohou nastavovat DNS
Testuji to na čistém linuxu:
Možná myslíte tohle:
[ + ] acpid
[ - ] alsa-utils
[ - ] anacron
[ + ] apparmor
[ + ] apport
[ + ] avahi-daemon
[ + ] binfmt-support
[ + ] bluetooth
[ - ] bootmisc.sh
[ - ] brltty
[ + ] cgmanager
[ - ] cgproxy
[ - ] checkfs.sh
[ - ] checkroot-bootclean.sh
[ - ] checkroot.sh
[ + ] console-setup
[ + ] cpufrequtils
[ + ] cron
[ - ] cryptdisks
[ - ] cryptdisks-early
[ + ] cups
[ + ] cups-browsed
[ + ] dbus
[ - ] dns-clean
[ + ] grub-common
[ + ] hddtemp
[ - ] hostname.sh
[ - ] hwclock.sh
[ + ] irqbalance
[ - ] kerneloops
[ + ] keyboard-setup
[ - ] killprocs
[ + ] kmod
[ - ] lightdm
[ + ] lm-sensors
[ + ] loadcpufreq
[ - ] lvm2
[ + ] lvm2-lvmetad
[ + ] lvm2-lvmpolld
[ + ] mdm
[ - ] mintsystem
[ - ] mountall-bootclean.sh
[ - ] mountall.sh
[ - ] mountdevsubfs.sh
[ - ] mountkernfs.sh
[ - ] mountnfs-bootclean.sh
[ - ] mountnfs.sh
[ + ] network-manager
[ + ] networking
[ + ] ntp
[ + ] ondemand
[ + ] openvpn
[ - ] plymouth
[ - ] plymouth-log
[ - ] pppd-dns
[ + ] procps
[ + ] rc.local
[ + ] resolvconf
[ - ] rsync
[ + ] rsyslog
[ - ] saned
[ - ] sendsigs
[ + ] speech-dispatcher
[ - ] thermald
[ + ] udev
[ + ] ufw
[ - ] umountfs
[ - ] umountnfs.sh
[ - ] umountroot
[ + ] urandom
[ - ] uuidd
[ - ] x11-common
-
PS:
Ještě bych chtěl dodat že Error: "AEAD Decrypt error: bad packet ID (may be a replay)"
To co napíšu je ode mne čistá mystifikace tak to berte s rezervou...
Při UDP spojení se vrací pakety bez "ověřování" jestli je nějakým mechanismem při OpenVPN dáváno paketům ID a tyto pakety na cestě ke mě mají ID jiné nebo špatné. Tak dostanu chybu "AEAD Decrypt error: bad packet ID"
Jestli to tak je nechápu stejně proč dochází k DNS leak.
A proč se pro VPN nepoužívá jenom TCP.
-
Tak tohle už začíná být nad moje znalosti ::)
DNS leak je, když je použit pro DNS dotazy provoz mimo VPN = jiným spojením, např. přímo k vašemu poskytovateli či přes váš lokální router, který provádí DNS forwarding/proxy ap. Proto jedna z věcí co se musí zkontrolovat, je jaké DNS server pro resolver jsou po připojení k VPN nastaveny (Linux viz /etc/resolv.conf). Pokud tam jsou takové, které tam nechceme (např. od lokálního ISP), není nic jednoduššího než nastavit tak, aby tam tyto DNS po připojení k VPN nebyly. Když je stroj nemá, nemůže je používat a nemůže docházet k DNS leak. Pokud používáte DNS server u VPN stejné jako bez VPN, musíte zajistit, aby provoz pro DNS dotaz šel vždy přes VPN interface.
A proč se pro VPN nepoužívá jenom TCP.
Protože na UDP podává OpenVPN obvykle vyšší výkon. :)
Pokud vám to chodí k vaší spokojenosti nad TCP a nemáte zájem si to zjistit proč se to děje a něco se tím i naučit, klidně to nechte tak, máte vyřešeno.