openvpn 常见问题及解决(送常用shell)

原创 已于 2024-12-17 13:53:36 修改 · 5.6k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bash

于 2024-12-17 13:47:31 首次发布

一、 openvpn server的部署:

        部署的方式 略,网上有很多的教程,我使用的是docker的部署方式,以下的shell都基于docker部署的openvpn server

二、 常见问题:

1. 为用户分配固定IP后,连接证书时失败。

错误信息:trun_prop_error:ifconfig addresses ar not in the same /30 subnet (topology net30)

原因分析:从提示上看是IP地址与子网掩码不匹配,查询openvpn的CCD路由配置文件,内容如下: 
client
ifconfig-push 10.10.10.3 10.10.10.4
错误原因:为该用户配置了固定的IP,且IP不符合openvpn规则,openvpn每个节点会占用4个IP一个接收数据一个发送数据,还有两个IP用于和网关通信。10.10.10.3就是分配给网关通信的IP不能分配给客户端。能分配给客户端的两个IP一个必须是1+4的倍数,另一个IP是该IP的前一位或者后一位。
解决办法: 改成 ifconfig-push 10.10.10.4 10.10.10.5 或者:ifconfig-push 10.10.10.5 10.10.10.6就可以正确连接了。

2. 证书在windows的客户端连接正常,在Linux客户端上连接失败。

错误信息: 
Initialization Sequence Completed
[132.xxx.xxx.xxx] Inactivity timeout (--ping-restart), restarting
SIGUSR1[soft,ping-restart] received, process restarting
TCP/UDP: Preserving recently used remote address: [AF_INET]132.xxx.xxx.xxx:1194
UDP link local: (not bound)
UDP link remote: [AF_INET]132.xxx.xxx.xxx:1194
[132.xxx.xxx.xxx] Peer Connection Initiated with [AF_INET]132.xxx.xxx.xxx:1194
Preserving previous TUN/TAP instance: tun0
Initialization Sequence Completed

错误原因: 从表象上看是初始化成功之后,到服务器连接超时了。在windows上又能正常连接,考虑应该是路由表配置错误,排查所有路由发现一行:push "route 132.xxx.xxx.xxx 255.255.255.255 vpn_gateway",把openvpn server的公网IP添加到路由中了。
解决办法:由于openvpn服务器上还有服务需要访问,不能直接删除该路由策略,故修改ccd文件中的路由到vpn的内网IP。
push "route 172.16.0.3 255.255.255.255 vpn_gateway"

3. 用户A和用户B连接不稳定,经常掉线,但VPN客户端的状态一直是正常的,只是vpn功能无法使用。

错误原因: 掉线的频率不固定,有时候能用很久,有时候会不断掉线。跟踪掉线的重连的时间,发现A和B会相互把对方踢下线,一开始怀疑证书重复了,拉取新证书还是会相互踢下线。后确认是给客户端分配的IP重复了,A的CCD文件是复制的B的配置,分配的固定IP相同了。
解决办法:在CCD配置文件中 ifconfig-push 分配不同的IP后解决。

4. 有一台香港的linux客户端,一开始连接正常,过一段时间后就连接断开,之后一直无法重连。

错误原因: openvpn不能跨境通信,无论是客户端在境外还是服务器在境外都会被屏蔽。
解决办法:换方案吧,非人力可为。

三、 部署openvpn server后一些常用的维护shell

1. 开通新账号

#! /bin/bash
# 判断创建是否跟了证书名称,没有名称就退出。
if [ ! -n "$1" ];then
echo '缺少用户名参数'
else
# 创建服务器端证书
echo 'password' | sudo -S docker run -v /data/openvpn/:/etc/openvpn --rm -i kylemanna/openvpn easyrsa build-client-full "$1" nopass
# 生成客户端的证书,把该证书发送给用户,目录:/data/openvpn/clients/
docker run -v /data/openvpn/:/etc/openvpn --rm kylemanna/openvpn ovpn_getclient "$1" > /data/openvpn/clients/"$1".ovpn

#echo 'ifconfig-push '$theip'
# 写入允许客户访问的服务器的IP,也可以是IP段。
echo ' push "route 10.10.0.0 255.255.0.0 vpn_gateway"' >/data/openvpn/ccd/$1
# 如果要固定IP则添加
# client
# ifconfig-push 10.10.10.77 10.10.10.78 #openvpn需要一个IP发送一个IP接收,所以需要两个IP
fi

2. 删除账号

# delete_user.exp 由于需要自动输入密码,shell不能支持该功能,服务器上需要安装expect。内容如下:
  
#!/usr/bin/expect -f

if {$argc < 1} {
puts "用户名不能为空。\n例:./delete_user.exp user"
exit 1
}
spawn docker run --rm -i -v /data/openvpn/:/etc/openvpn kylemanna/openvpn ovpn_revokeclient [lindex $argv 0] remove
expect "revocation:" { send "yes\r" }
expect "ca.key:" { send "password\r" }
expect "ca.key:" { send "password\r" }
spawn rm -f ccd/[lindex $argv 0]
spawn rm -f clients/[lindex $argv 0].ovpn

3. 添加路由

#!/bin/bash

# set -x
# 检查参数数量是否等于1
if [ "$#" -ne 2 ]; then
echo -e "请输入IP地址和用户名。示例:\n ./add_ip.sh 192.168.0.5 user\n为所有用户添加用户名输入all"
exit 1
fi
# 工作目录
cd /data/openvpn
# 正则表达式匹配IPv4地址
if [[ "$1" =~ ^([0-9]{1,3}\.){3}[0-9]{1,3}$ ]]; then
# 分割成四个部分并检查每个部分是否在0到255之间
IFS='.' read -r -a octets <<< "$1"
valid=true
for octet in "${octets[@]}"; do
if ((octet < 0 || octet > 255)); then
valid=false
break
fi
done

if $valid; then
if [ "$2" = "all" ];then
find ccd -type f -exec sh -c 'sed -i "$ a $0" {}' "\ \ push \"route $1 255.255.255.255 vpn_gateway\"" \;
else
echo " push \"route $1 255.255.255.255 vpn_gateway\"" >> ccd/"$2"
fi
else
echo "请输入正确的IP地址。"
exit 2
fi
else
echo "请输入正确的IP地址。"
exit 2
fi

凉之风
关注
ubuntu: OpenSSL: error:...:SSL routines:tls_process_server_certificate:certificate verify failed
椰子奶糖的博客
02-13 7297
开发需要,准备科学上网,然而用openVPN的时候爆出这个错误,说我证书未生效 错误日志如下 Mon Jan 29 03:30:29 2018 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Mon Jan 29 03:30:29 2018 WARNING: Your certificate is n...
[Hackthebox] Meow (telnet)
weixin_63231007的博客
06-27 1371
openvpn 里取下载配置 选择TCP 443(这个稳定一些) 然后在我们当前用户目录下的 Downloads里面 打开terminal 切换目录为download下用openvpn这个工具去把这个这个配置文件加载进去,然后执行他 (root用户) 当我们看见这个 Initialization Sequence Completed 代表我们整个隧道建立完成。 之后我们 ifconfig 看到的这个 tun0 就是我们创建的虚拟隧道的接口。 接口连接到vpn之后,刷新一下页面,继续向下进行点击Spaw
OPENVPN下载报错
m0_69588920的博客
05-29 5229
各位大佬OPENVPN下载时这样报错应该怎么解决呀...
Local is not bound
fushengruoke的专栏
05-19 3212
Local is not bound说这个Local没有边界。实际上就是说它认为你并没是一个本地接口,出现这个原因是因为我没有把那个HelloWorldBean这个类文件导入进去。为什么我们不用将EJB的类接口放入到Web应用的lib下面呢?因为加载Web应用的类装载器时,如果没有寻找到这个接口时候它会交给EJB的类装载器进行处理。而EJB应用已经加载到了WEB应用中了,所以这
OpenVPN---搭建(证书三年有效期)
最新发布
weixin_46933739的博客
11-07 1923
OpenVPN---搭建
openvpn部署
这是一个将要崛起小达人
07-21 1万+
openvpn搭建大致步骤
OpenVPN客户端连接问题排查
热门推荐
weixin_62834659的博客
03-12 1万+
Windows客户端的日志在安装目录的log/文件夹下;Linux客户端的日志在/var/log/openvpn.log中。错误原因:SSL证书校验不通过。排查server端的证书是否正确下载,复制到客户端后的配置文件中证书路径是否正确。错误原因:网络不可达,客户端无法访问公网。通过查看客户端是否能够ping通公网,能否通过ssh访问。错误原因:客户端与服务端的时间节点不一致。错误原因:客户端与服务端的协议类型(TCP/UDP)或者端口不一致导致。错误原因:客户端用户密码不正确。
Openvpn在windows10连接不上的问题
似水流年
07-12 1万+
2)重启后发现整个计算机的网络均无法使用,这时候通过搜索资料发现是电脑注册表清理不干净导致的问题。2)进入到计算机设备管理器中,查看网卡是感叹号,没有生效。3)下载CCleaner,对注册表扫描进行修复和清理。1)进入到网络设置中,选择重置网络,重启计算机。4)重启计算机,重新连接网络,发现恢复正常。5)完成问题的修复,结束。
【Mamba安装问题全解析】:Ubuntu常见问题解决方案
[【Mamba安装问题全解析】:Ubuntu常见问题解决方案](https://opengraph.githubassets.com/8753e7346ec8152620a480128015c5cb245e1ed7bd3eb8d925abf681b744c024/jbr-ai-labs/mamba) # 摘要 本文主要介绍Mamba的...
【问题与解决】:Anaconda集成外部数据源的常见问题及应对
[【问题与解决】:Anaconda集成外部数据源的常见问题及应对](https://opengraph.githubassets.com/373b13500176618ab8b256cecd7b789ae43ec5ea50af37f36ab0c088d5fcca95/ContinuumIO/anaconda-issues/issues/4402) ...
反弹Shell技术解析
2301_78919866的博客
04-21 858
与普通Shell(攻击者主动连接目标)不同,反弹Shell要求目标主机。:可与C2服务器(Command & Control)建立加密信道。:支持TCP/UDP/ICMP/HTTP等多种协议封装。# 带加密的反弹Shell(需双方安装socat):使用常用服务端口(53/80/443)# UDP传输(绕过TCP监控)# iptables限制出站。# 使用AIDE监控系统文件。# 加密通信(需生成证书)# 带SSL加密的版本。// 带过滤绕过的版本。
Excel宏反弹shell+BT渗透常用命令+c
m0_60894143的博客
08-21 679
cat sploitlist.txt | grep -i exploit | cut -d " " -f1 | xargs grep sys | cut -d ":" -f1 | sort -u只保留可以在linux下运行的代码。samdump2 /mnt/sda1/WINDOWS/system32/config/sam system.txt > hash.txt 备份sam文件。cp /pentest/windows-binaries/tools/nc.exe /tmp/传递到tftp上。
【tlslite.api故障排查】:Python加密通信的常见问题解决策略
[【tlslite.api故障排查】:Python加密通信的常见问题解决策略](https://opengraph.githubassets.com/b3d80bafb3b1b9f3b49250e74391a066b0c4619851f3be35311fc6cefcf83a3a/keyqcloud/kyte-api-python) # 1. Python...
Cpolar与OpenVPN实现任意内网接入|常见问题以及解决方案
liegu0317的博客
09-16 1326
本文总结了在使用 Cpolar 与 OpenVPN 实现任意内网接入过程中可能遇到的问题和解决方法。主要内容包括添加公网 TCP 固定端口以及部署 Cpolar 客户端的步骤。
启用openvpn后网络问题
cainiao2013的博客
05-21 1万+
1.问题: 启用openvpn后原来网络访问异常。 2.临时处理:删除openvpn网卡路由,添加规划好路由规则 route delete -net 128.0.0.0/1 gw 10.8.0.1 route delete -net 0.0.0.0/1 gw 10.8.0.1 route add -net 10.8.0.0/24 gw 10.8.0.1 dev tun0 3. 永久处理 a. 写入上述命令到启动脚本/etc/rc.local b. 参考:https://blog.csdn.
OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error”
橙旭猿的专栏
05-08 3716
【代码】OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error”
编译OpenVpn的时候报错
dhd040805的博客
08-11 904
configure: error: lzo enabled but missing 解决办法,手动安装所需要这个lzo wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.06.tar.gz tar zxvf lzo-2.06.tar.gz cd lzo-2.06 ./configure --prefix=/usr/local/ make && make install ...
OpenVPN Connect 突然无法链接】
Beginner_G的博客
11-26 5020
There was an error attempting to connect to theselected server. Error message: ovpnagent: request error.
记录在Centos8上安装OpenVPN的经历,以及无法解决的问题
红烧栗子黄瓜鱼的博客
06-19 1万+
部署个vpn试试看。可惜最后遇到了一个暂时无法解决的问题。在此写篇文章记录下,如果有人看到的话有什么好的解决办法可以一起探讨下。
掌握OSPF全貌:基础、高级及常见问题详解
本资源主要介绍了OSPF(Open Shortest Path First,开放最短路径优先)协议的相关特性和常见问题解答,针对网络管理员和IT专业人士的需求,详细讲解了OSPF的基础应用、高级应用以及扩展应用。课程目标包括理解和掌握...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值