OPENVPN clientからProxy経由のOPENVPN serverへの接続

[Watanabe]

こんにちは。

はじめて投稿させていただきます。

OPENVPN client(Linux)からProxy経由でOPENVPN serverに接続しようとしていますがうまくいきません。

clientからは443/TCPポートに接続、server側では1194ポートにリダイレクトしています。

server側で以下のようなログが出力されます。

Jul 29 10:52:11 vpnserver openvpn: TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:XXXXX

Jul 29 10:52:11 vpnserver openvpn: XXX.XXX.XXX.XXX:XXXXX WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1626 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]

Jul 29 10:52:11 vpnserver openvpn: XXX.XXX.XXX.XXX:XXXXX Connection reset, restarting [0]

Jul 29 10:52:11 vpnserver openvpn: XXX.XXX.XXX.XXX:XXXXX SIGUSR1[soft,connection-reset] received, client-instance restarting

XXX.XXX.XXX.XXXはProxyのGlobal IPです。

client.conf

==============

client

dev tun

proto tcp-client

remote YYY.YYY.YYY.YYY 443

http-proxy ZZZ.ZZZ.ZZZ.ZZZ 3128

remote-random

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert client1.crt

key client1.key

cipher AES-256-CBC

tls-auth ta.key 1

ns-cert-type server

server.conf

===============

port 1194

proto tcp

dev tun

ca ca.crt

cert server1.crt

key server1.key  # This file should be kept secret

dh dh.pem

server 10.120.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 10.120.0.0 255.255.255.0"

keepalive 10 120

tls-auth ta.key 0 # This file is secret

cipher AES-256-CBC

max-clients 5

persist-key

persist-tun

status openvpn-status.log

verb 3

ちなみに別のサイトのOPENVPN clientから別のProxy経由で同じOPENVPN serverに接続するとうまくいきます。

OPENVPNの問題ではなく、ProxyもしくはNetworkの問題なのかもしれません。

不勉強で恐縮ではございますが、何かご存じの方がいらっしゃいましたら、ご教授ください。

[Taro Yamazaki]

やまざきです。

サーバー側のログだけだと（接続がリセットされているのはわかるものの）ちょっと原因は見えませんね。
クライアント側（Linux側）のログで何か手がかりは出てないでしょうか？

> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/c688ca6b-a79e-498d-8e33-143e4efcbb5an%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/c688ca6b-a79e-498d-8e33-143e4efcbb5an%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。

[Watanabe]

やまざきさん、こんにちは。

ありがとうございます。

クライアント側のログです。

openvpn: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.

openvpn: TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:8080

openvpn: Attempting to establish TCP connection with [AF_INET]XXX.XXX.XXX.XXX:8080 [nonblock]

openvpn: TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:8080

openvpn: TCP_CLIENT link local: (not bound)

openvpn: TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:8080

openvpn: Connection reset, restarting [0]

openvpn: SIGUSR1[soft,connection-reset] received, process restarting

「WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.」が原因なのでしょうか。

2021年7月29日木曜日 14:59:17 UTC+9 ta...@plum-systems.co.jp:

[Taro Yamazaki]

> 「WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.」が原因なのでしょうか。

こちらはWarning（警告）なので、発生しても接続自体は可能です。
おそらく、接続できている別環境でも表示されているのではないかと思います。

お送りいただいたclient.confでは、VPNサーバーのポートが443、プロキシのポートが3128と指定されていますが、今回のログでは接続先ポートが8080になっているようです。こちらは想定通りでしょうか？
＃ 環境を把握していないので、的外れであればご容赦ください。

ログだけで判断するのは難しいですが、エラーや状況から推測すると、やはりプロキシかネットワークが原因の可能性が高いような気がします。
サーバー側のログでパケットサイズのWarningが出ていますが、通常よりもだいぶ大きなパケットサイズになっているようなので、もしこの動作が想定通りでなければ、対象プロキシからの通信に何らかの問題があるかもしれません。

接続できる環境とできない環境の違い（設定、ログ出力など）を比べて相違点を洗い出すのがトラブルシュートの入り口になるかと思います。

> > このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/c688ca6b-a79e-498d-8e33-143e4efcbb5an%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/c688ca6b-a79e-498d-8e33-143e4efcbb5an%40googlegroups.com> <https://groups.google.com/d/msgid/openvpn-japan-users-group/c688ca6b-a79e-498d-8e33-143e4efcbb5an%40googlegroups.com?utm_medium=email&utm_source=footer <https://groups.google.com/d/msgid/openvpn-japan-users-group/c688ca6b-a79e-498d-8e33-143e4efcbb5an%40googlegroups.com?utm_medium=email&utm_source=footer>> にアクセスしてください。

>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。

> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/40c606f5-a18e-4b98-826d-cb370ad9ed44n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/40c606f5-a18e-4b98-826d-cb370ad9ed44n%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。

[Watanabe]

やまざきさん、ご回答ありがとうございます。

プロキシのポートの件、大変失礼いたしたしました。その後、プロキシサーバー側のポートを8080に変更しています。（なので、想定通りとなります）

接続できる環境とできない環境ではOpenVPNの設定は同じなので、やはりプロキシあたりなのかもしれません。プロキシは別団体の管理下なのでこちらで調査することができないため、まずはログを比較してみることにします。

2021年8月2日月曜日 16:04:48 UTC+9 ta...@plum-systems.co.jp: