Используйте опцию "пробного прогона":
mkfifo $(mktemp -ut pipe.XXX)
Сначала необходимо изменить полномочия на Вашем /home/login/client/client.key
файл так, чтобы это не была группа или доступные другие.
chmod 400 /home/login/client/client.key
Затем, как описано здесь необходимо реализовать метод, чтобы проверить, что клиенты соединяются с корректным сервером и что никакое нападение человека в середине не возможно.
Существует полный список проблем здесь, и необходимо взять предупреждения, данные серьезным OpenVPN. Но существуют только предупреждения а не причина Вашей проблемы для получения соединения. openvpn плагин NetworkManager пытается соединить использование UDP. Я не знаю, какое отношение Ваш client.conf имеет к Вашей фактической клиентской конфигурации. Это использовалось для импорта vpn настроек в NetworkManager?
Так или иначе необходимо проверить флажок соединения TCP в диалоговое окно расширенных настроек профиля соединения VPN.
Поскольку Вы, кажется, не используете tls-автора ни на одном клиенте, ни серверной стороне, там не должны быть никакие ta.key пропавшие без вести файла (но использование tls-автора является хорошей идеей).
Шифр, кажется, то же с обеих сторон и не должен быть проблемой.
Я действительно настоятельно рекомендую проверить сертификат сервера, как morlix указанный.
Чтобы избавиться от предупреждения No server certificate verification method has been enabled
, создайте сертификаты клиента и сервера с правильным расширением extendedKeyUsage
и добавьте remote-cert-tls server
к openvpn.conf
клиента.
Добавьте два раздела в свой ЦСopenssl.cnf
:
[server_cert]
basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
[client_cert]
basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection
Подпишите сертификаты сервера в вашем ЦС следующим образом:
openssl ca -config openssl.cnf -extensions server_cert -notext -md sha256 -in csr.pem -out cert.pem
Подпишите клиентские сертификаты следующим образом:
openssl ca -config openssl.cnf -extensions client_cert -notext -md sha256 -in csr.pem -out cert.pem
Затем в клиенте openvpn.cnf
добавьте следующую строку:
remote-cert-tls server
и перезапустите службу openvpn.