Конфиг клиента

ca "\\Program Files\\OpenVPN\\config\\ca.crt"
cert "\\Program Files\\OpenVPN\\config\\server.crt"
key "\\Program Files\\OpenVPN\\config\\server.key"

dev tun
proto udp
remote xx.xx.xx.xx 443
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun

ca "\\Program Files\\OpenVPN\\config\\ca.crt"
cert "\\Program Files\\OpenVPN\\config\\server.crt"
key "\\Program Files\\OpenVPN\\config\\server.key"

tls-auth ta.key 1
tls-client
cipher AES-128-CBC
auth SHA512
ifconfig 10.8.0.2 10.8.0.1
verb 3

Конфиг сервера

port 443
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-128-CBC # AES
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3

>>2071938 (OP)
Tue Jun 20 05:48:32 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun 20 05:48:32 2017 TLS Error: TLS handshake failed

Оказывается была проблема в брандмауэре, но теперь другая ебола вылезла.

Tue Jun 20 06:04:40 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Jun 20 06:04:45 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Jun 20 06:04:53 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)

>>2071992
Чего я только не проверял. Ты ведь про eth0?
Делал так
# iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

В ifconfig у меня тоже eth0.
Насколько мне известно, то меня бы не пустило,если бы неправильно было.

Сейчас висит эта хуета

Tue Jun 20 08:09:15 2017 MANAGEMENT: >STATE:1497938957,WAIT,,,,,,
Tue Jun 20 08:09:15 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Jun 20 08:09:17 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Jun 20 08:09:21 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Jun 20 08:09:29 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Jun 20 08:09:45 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Jun 20 08:10:16 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun 20 08:10:16 2017 TLS Error: TLS handshake failed
Tue Jun 20 08:10:16 2017 SIGUSR1[soft,tls-error] received, process restarting
Tue Jun 20 08:10:16 2017 MANAGEMENT: >STATE:1497939018,RECONNECTING,tls-error,,,,,
Tue Jun 20 08:10:16 2017 Restart pause, 300 second(s)


Делал уже все что угодно, но ничего не помогает.
Вообще кто поможет могу полтос на телефон скинуть (больше у меня нет) или битков отсыпать. Просто я уже реально заебался.

>>2072174
Сделал так, теперь выдает только такую ошибку
"TLS key negotiation failed to occur within 60 seconds (check your network connectivity)".

Пробовал переключать тип соединения на tcp, но в итоге все по кругу реконнектится.

>>2073745
Сделал, по tcp соединению доходят пакеты.

Fri Jun 23 00:24:55 2017 TCP connection established with [AF_INET]xx.xx.xx.xx:55950
Fri Jun 23 00:24:55 2017 xx.xx.xx.xx:55950 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:55950, sid=ce468a5f f9a9a69a
Fri Jun 23 00:24:58 2017 xx.xx.xx.xx:55950 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=ef, ST=ef, L=efa, O=efa, OU=efa, CN=efa, name=efa, emailAddress=efa
Fri Jun 23 00:24:58 2017 xx.xx.xx.xx:55950 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Fri Jun 23 00:24:58 2017 xx.xx.xx.xx:55950 TLS Error: TLS object -> incoming plaintext read error
Fri Jun 23 00:24:58 2017 xx.xx.xx.xx:55950 TLS Error: TLS handshake failed
Fri Jun 23 00:24:58 2017 xx.xx.xx.xx:55950 Fatal TLS error (check_tls_errors_co), restarting
Fri Jun 23 00:24:58 2017 xx.xx.xx.xx:55950 SIGUSR1[soft,tls-error] received, client-instance restarting


По udp опять ошибка
Tue Jun 20 08:09:15 2017 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)

>>2071938 (OP)
>пик 2
Орнул

>>2074151
Там не такие.
Лучше помоги мне разобраться, анон

>>2074403
>проблема не с сертификатом
>error=unsupported certificate
>no certificate returned

О, OpenVPN-тред, не придется свой собственный делать.
У меня более странная хуйня. Проблемы не с настройкой - я в начале лета сам настроил серверок при помощи инструкции из >>2074403 , некоторого количества гуглежа и немного тыканья наугад. При том, я до этого с линупсом дел не имел и даже базовейшая хуйня была для меня просто инопланетной. Как-то оно заработало, и удовлетворительно работало без остановки до сегодняшнего дня.

А сегодня с утра сломалось. Ничего не менял в конфигах(по крайней мере до поломки). Файлы конфигов и ключей не перемещал - точно перепроверил. Никто пекарню трогать не мог. Сервис точно оплачен до 4 июля 2017 года. Сервер работает, и открывается через putty. На сайте провайдера никаких сообщений о неполадках нет. Лимит трафика в 2Tb я точно выбрать не мог. Никаких изменений физически в способ подключения к сети не вносил.
Заметил с утра в консоли при подключении что-то выглядело НЕ ТАК. Что именно - я вспомнить не смогу, так как не запоминал и не записывал, как выглядели сообщения нормального подключения. И естественно оно было не так - интернет тупо пропал. Из этого я понял, что мой пк с серваком связался, но дальше дело не але.
Но вот то, что оно пишет сейчас. Мне кажется, что лог короче, чем бывал раньше:

Fri Jun 23 20:59:03 2017 OpenVPN 2.4.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 11 2017
Fri Jun 23 20:59:03 2017 Windows version 6.1 (Windows 7) 64bit
Fri Jun 23 20:59:03 2017 library versions: OpenSSL 1.0.2k 26 Jan 2017, LZO 2.10
Fri Jun 23 20:59:03 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Jun 23 20:59:03 2017 Need hold release from management interface, waiting...
Fri Jun 23 20:59:04 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Jun 23 20:59:04 2017 MANAGEMENT: CMD 'state on'
Fri Jun 23 20:59:04 2017 MANAGEMENT: CMD 'log all on'
Fri Jun 23 20:59:04 2017 MANAGEMENT: CMD 'echo all on'
Fri Jun 23 20:59:04 2017 MANAGEMENT: CMD 'hold off'
Fri Jun 23 20:59:04 2017 MANAGEMENT: CMD 'hold release'
Fri Jun 23 20:59:04 2017 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Fri Jun 23 20:59:04 2017 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Fri Jun 23 20:59:04 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.192:20100
Fri Jun 23 20:59:04 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jun 23 20:59:04 2017 UDP link local: (not bound)
Fri Jun 23 20:59:04 2017 UDP link remote: [AF_INET]xxx.xxx.xxx.192:20100
Fri Jun 23 20:59:04 2017 MANAGEMENT: >STATE:1498240744,WAIT,,,,,,
Fri Jun 23 20:59:05 2017 MANAGEMENT: >STATE:1498240745,AUTH,,,,,,
Fri Jun 23 20:59:05 2017 TLS: Initial packet from [AF_INET]xxx.xxx.xxx.192:20100, sid=xxxxx
Fri Jun 23 20:59:05 2017 VERIFY OK: depth=1, C=X, ST=X, L=X, O=X, OU=X, CN=X, name=X, emailAddress=X
Fri Jun 23 20:59:05 2017 VERIFY KU OK
Fri Jun 23 20:59:05 2017 Validating certificate extended key usage
Fri Jun 23 20:59:05 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Fri Jun 23 20:59:05 2017 VERIFY EKU OK
Fri Jun 23 20:59:05 2017 VERIFY OK: depth=0, C=X, ST=X, L=X, O=X, OU=X, CN=X, name=X, emailAddress=X
Fri Jun 23 20:59:06 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Fri Jun 23 20:59:06 2017 [serv] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.192:20100
Fri Jun 23 20:59:07 2017 MANAGEMENT: >STATE:1498240747,GET_CONFIG,,,,,,
Fri Jun 23 20:59:07 2017 SENT CONTROL [serv]: 'PUSH_REQUEST' (status=1)
Fri Jun 23 20:59:08 2017 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Jun 23 20:59:08 2017 OPTIONS IMPORT: timers and/or timeouts modified
Fri Jun 23 20:59:08 2017 OPTIONS IMPORT: --ifconfig/up options modified
Fri Jun 23 20:59:08 2017 OPTIONS IMPORT: route options modified
Fri Jun 23 20:59:08 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Jun 23 20:59:08 2017 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Jun 23 20:59:08 2017 Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Fri Jun 23 20:59:08 2017 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Jun 23 20:59:08 2017 Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Fri Jun 23 20:59:08 2017 interactive service msg_channel=0
Fri Jun 23 20:59:08 2017 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=11 HWADDR=xxxxxxxxxxxx
Fri Jun 23 20:59:08 2017 open_tun
Fri Jun 23 20:59:08 2017 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{DC37DD2B-6B73-4507-AA00-333D7292C0E6}.tap
Fri Jun 23 20:59:08 2017 TAP-Windows Driver Version 9.21
Fri Jun 23 20:59:08 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {DC37DD2B-6B73-4507-AA00-333D7292C0E6} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri Jun 23 20:59:08 2017 Successful ARP Flush on interface [20] {DC37DD2B-6B73-4507-AA00-333D7292C0E6}
Fri Jun 23 20:59:08 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Fri Jun 23 20:59:08 2017 MANAGEMENT: >STATE:1498240748,ASSIGN_IP,,10.8.0.6,,,,
Fri Jun 23 20:59:13 2017 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Fri Jun 23 20:59:13 2017 C:\Windows\system32\route.exe ADD xxx.xxx.xxx.192 MASK 255.255.255.255 192.168.1.1
Fri Jun 23 20:59:13 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
Fri Jun 23 20:59:13 2017 Route addition via IPAPI succeeded [adaptive]
Fri Jun 23 20:59:13 2017 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5
Fri Jun 23 20:59:13 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Fri Jun 23 20:59:13 2017 Route addition via IPAPI succeeded [adaptive]
Fri Jun 23 20:59:13 2017 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5
Fri Jun 23 20:59:13 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Fri Jun 23 20:59:13 2017 Route addition via IPAPI succeeded [adaptive]
Fri Jun 23 20:59:13 2017 MANAGEMENT: >STATE:1498240753,ADD_ROUTES,,,,,,
Fri Jun 23 20:59:13 2017 C:\Windows\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Fri Jun 23 20:59:13 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Fri Jun 23 20:59:13 2017 Route addition via IPAPI succeeded [adaptive]
Fri Jun 23 20:59:13 2017 Initialization Sequence Completed
Fri Jun 23 20:59:13 2017 MANAGEMENT: >STATE:1498240753,CONNECTED,SUCCESS

Иногда вместо второй и третьей выделенной строк выдается:
> Route addition via IPAPI failed [adaptive]
> ROUTE: route addition failed using CreateIpForwardEntry
но потом все равно у него Sequence Completed и SUCCESS
С утра также было:
> TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
> TLS Error: TLS handshake failed
но я после этого что-то ковырял в конфигах по советам в гугле и оно исчезло. Но подключение не появилось, ясен хуй.

Гуглил в основном по выделенным болдом и гринтекстом строчкам. Несмотря на почти весь день ковыряния в поиске нихуя полезных ответов я не выбил - решение или дебильноватый совет из нулевых "запускайте оpenvpn из-под администратора - о боже спасибо помогло", наверное в пятидесяти процентах ответов(нихуя не помогает, естественно); или "добавьте какие-то там строчки в конфиг клиента" - добавляю указанное, просто пишется меньше сообщений, результат идентичный; или "вот еще несколько строчек" - теперь лезет больше ошибок, которые при введении в гугл показывают те же самые страницы; или "переключитесь на другой порт/включите tcp" - другой порт нихуя не меняет, tcp просто виснет на века на стадии поиска сервера.
Мне кажется, что я упускаю что-то очень простое и важное.