vpnux Clientにおける.ovpnファイルの使い方について

Satoshi OKAFUJI

unread,

Jun 5, 2016, 11:06:16 PM6/5/16

to OpenVPN Japan Users Group

こんにちは、岡藤と申します。

vpnux Clientにおける.ovpnファイルの設定方法について教えて下さい。

【できていること】

OpenVPN 2.3.11をダウンロードして、接続相手先から提供を受けた.ovpnファイルをconfig以下に置き、IDとパスワードを入力して接続に成功しています。

この時、こちらのIPアドレスを表示してくれるwebサイトでチェックすると、IPアドレスはVPNサーバーが払いだしたアドレスになっており、通信が全てトンネルされているようです。

これを、vpnux Client (vpnuxClient-1.3.0.0-install.exe) でやりたいと思っています。

【困っていること】

vpnux Clientに対して、.ovpnファイルをどのように適用すればよいかわかりません。

試行錯誤してやってみましたが、接続に失敗します。

（接続したと表示されるのですが、タスクトレイアイコンの色が変わらず、IPアドレスチェッカーの値も使用しているプロバイダのままです。）

【やってみたこと】

.ovpnファイルをテキストエディタで開き、内容を読みました。

このOpenVPNサーバーはPort80を使うようなので、ポートを80に設定しました。

dev tunと書かれていたので、デバイスをTUNに設定しました。

プロトコルはUDPのままとしています。

拡張設定で「LZO圧縮を有効にする」に、チェックが入っています。

認証で、CA証明書に.ovpnの

<ca>

-----BEGIN CERTIFICATE-----

・

-----END CERTIFICATE-----

</ca>

の部分の<ca></ca>を除いた範囲をペーストしました。

「ID/パスワード認証を使用」と「証明書認証(PKI)を使用」にチェックを入れました。

ID/パスワード認証にユーザーIDとパスワードを入れ、「ユーザーIDとパスワードを保存」をチェックしました。

証明書認証(PKI)で、証明書に.ovpnの

<cert>

-----BEGIN CERTIFICATE-----

・

-----END CERTIFICATE-----

</cert>

の部分の<cert></cert>を除いた範囲をペーストしました。

また、秘密鍵に

<key>

-----BEGIN RSA PRIVATE KEY-----

・

-----END RSA PRIVATE KEY-----

</key>

の部分の<key></key>を除いた範囲をペーストしました。

パスワードにログインパスワードと同じものを入れて、「秘密鍵パスワードを保存」をチェックしました。

.ovpnファイルに

cipher AES-128-CBC

auth SHA1

という記述があったので、詳細設定の暗号化設定で、

暗号化アルゴリズムを「AES-128-CBC」に、メッセージダイジェストを「SHA1」に設定しました。

その他は全てvpnux Clientのデフォルトとしています。

【提供されている.ovpnファイル】

どこまで公開してよいか判断が付かないので、コメントを削除し、IPアドレスを隠し、鍵を全て削除しています。

dev tun

proto udp

remote ###.###.###.### 80

;http-proxy-retry

;http-proxy [proxy server] [proxy port]

cipher AES-128-CBC

auth SHA1

resolv-retry infinite

nobind

persist-key

persist-tun

client

verb 3

auth-user-pass

<ca>

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>

<cert>

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</cert>

<key>

-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

</key>

宜しくお願い致します。

Taro Yamazaki

unread,

Jun 6, 2016, 4:11:02 AM6/6/16

to openvpn-japa...@googlegroups.com

岡藤さま

こんにちは、やまざきです。

現象をお伺いする限りはVPN接続に失敗しているようですが、まずはログを見て
いただくのがよろしいかと思います。
vpnux Clientのログは接続画面にある「ログを表示」ボタンから確認できます。
ヒントになりそうなメッセージがないかご確認ください。

もし、管理者の方にサーバー側のログもご確認いただけるようであればそれも手
掛かりになるかもしれません。

> パスワードにログインパスワードと同じものを入れて、「秘密鍵パスワードを
> 保存」をチェックしました。

こちらについては、秘密鍵のパスワードとID/パスワードの両方が必要な環境、
ということでよろしいでしょうか？もし秘密鍵のパスワードが設定されていな
いようでしたら、秘密鍵パスワードの欄は空欄のままで問題ありません。

> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com
> <mailto:openvpn-japan-user...@googlegroups.com> にメール
> を送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセ
> スしてください。

--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao-ku,
: Kawasaki, Kanagawa
: http://www.plum-systems.co.jp/

Satoshi OKAFUJI

unread,

Jun 7, 2016, 9:30:28 AM6/7/16

to OpenVPN Japan Users Group

やまざきさま、コメントありがとうございます。

> こちらについては、秘密鍵のパスワードとID/パスワードの両方が必要な環境、
> ということでよろしいでしょうか？もし秘密鍵のパスワードが設定されていな
> いようでしたら、秘密鍵パスワードの欄は空欄のままで問題ありません。

OpenVPNクライアントで接続する時に入力を求められないので、秘密鍵パスワードを削除しました。

また、拡張設定の「LZO圧縮を有効にする」のチェックを外してみました。

その状態で接続をすると、タスクトレイアイコンが緑に変わり、メッセージボックスが表示されました。

接続先としてOpenVPNサーバーのIPアドレスとポート番号、VPNアドレスとして払いだされたIPアドレスが表示されます。

コマンドプロンプトでipconfigすると、

イーサネットアダプターローカルエリア接続 6:

接続固有の DNS サフィックス . . . :

リンクローカル IPv6 アドレス. . . . : fe80::3473:8138:931b:8604%20

IPv4 アドレス . . . . . . . . . . : 10.8.0.6

サブネットマスク . . . . . . . . : 255.255.255.252

デフォルトゲートウェイ . . . . . :

という感じになっています。

これは、OpenVPNクライアントで接続した時と同じ内容です。

これで一応接続はできたようですが、パケットが通りません。

vpnuxのログを見ると、次のような行が定期的に表示されています。

2016/06/07 21:47:24 write to TUN/TAP [State=AT?c Err=[c:\users\samuli\tap-windows-github\src\tapdrvr.c/2475] #O=5 Tx=[752,0] Rx=[0,22] IrpQ=[1,1,16] PktQ=[0,3,64] InjQ=[0,1,16]]: システムコールに渡されるデータ領域が小さすぎます。 (code=122)

2016/06/07 21:47:24 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #6 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

ただ、OpenVPN接続時も

Tue Jun 07 21:58:27 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

Tue Jun 07 21:58:37 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #2 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

というようなログは出ています。

OpenVPNクライアントでの接続時と、vpnuxクライアントでの接続時のログを全て投稿すべきでしょうか？

宜しくお願い致します。

Taro Yamazaki

unread,

Jun 10, 2016, 3:18:07 AM6/10/16

to openvpn-japa...@googlegroups.com

こんにちは、やまざきです。

ifconfigの出力を見る限りはVPNアドレスが割り当てられているようなので、VPN
接続はできているようです。
VPNアドレスとして 10.8.0.6 が割り当てられているようですので、対向側（VPN
サーバー側）のアドレスは 10.8.0.5 だと思いますが、このアドレスへのPINGも
通らないでしょうか？それとも、その先のいずれかのアドレスにつながらな
い、ということでしょうか？
＃後者の場合はルーティング関連の問題かもしれません。

> 2016/06/07 21:47:24 Authenticate/Decrypt packet error: bad packet ID
> (may be a replay): [ #6 ] -- see the man page entry for --no-replay and
> --replay-window for more info or silence this warning with
> --mute-replay-warnings

このメッセージはWarningなので大きな問題ではありませんが、ベースとなる
ネットワークが不安定な場合に出ることがあります。

TUN/TAPデバイスのデバイスドライバを最新版に更新して試してみていただくの
もよいかもしれません。
https://openvpn.net/index.php/open-source/downloads.html
の「Tap-windows」の項目からダウンロードできます。

Reply all

Reply to author

Forward