Blocking dns failed openvpn как исправить
Перейти к содержимому

Blocking dns failed openvpn как исправить

  • автор:

OpenVPN Support Forum

# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# to silence duplicate packet warnings.
;mute-replay-warnings
# file can be used for all clients.

——BEGIN CERTIFICATE——

# EasyRSA can do this for you.
remote-cert-tls server

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

—pull-filter ignore redirect-gateway
—block-outside-dns
[/oconf]

Ошибки с DNS при подключении через OpenVPN на Ubuntu18?

Options error: Unrecognized option or missing or extra
parameter(s) in [PUSH-OPTIONS]:6: block-outside-dns (2.5.2)
Options error: Unrecognized option or missing or extra
parameter(s) in [PUSH-OPTIONS]:7: register-dns (2.5.2)

Узнал из похожих вопросов о добавлении этих строк в .ovpn:

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

И все же я получаю ту же ошибку

Из похожих вопросов ответы не помогли

В чем может быть проблема?

На ubuntu 20 все работает без костылей

  • Вопрос задан более двух лет назад
  • 481 просмотр

2 комментария

Простой 2 комментария

OpenVPN Support Forum

I have a strange one where I can’t get one computer out of 6 or 7 machines so far to connect to my VPN hosted through my Synology NAS. All the machines run Windows 10 Home and are either a desktop machine I custom assembled, or a variant of a Lenovo Yoga or Thinkpad laptop. I was also able to connect my Android phone without issue, there is just this one machine (one of the Lenovo’s) that just won’t connect.

I have tried allowing an exception to the firewall, disabling the firewall altogether, disabling the anti-virus, checking all the settings against the other machines, flushing the DNS, disabling IPv6 and short of throwing the computer in the bin and buying a new one, tried just about all else.

The log is showing a «socket_protect error (UDP)» and it just attempts to reconnect, brings this error, disconnects, attempts again, rinse and repeat. It has declining so quickly that it feels like it is a firewall issue, however as I mentioned, I disabled that and it did not change anything. The log on the server end is not even showing an attempt by this username to log in which helps cement the suspiction it is being blocked at the local machine end.

It is frustrating that it is just this one machine so far in isolation doing this.

Does anyone have any ideas as to what is causing this?

My configuration (although I doubt this is the issue as it is working on all the other machines):

View Original VPN Config

dev tun
tls-client

Remote was here and removed

# The «float» tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the —remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

# If redirect-gateway is enabled, the client will redirect it’s
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

# If you want to connect by Server’s IPv6 address, you should use
# «proto udp6» in UDP mode or «proto tcp6-client» in TCP mode
proto udp

auth-user-pass

——BEGIN CERTIFICATE——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——END CERTIFICATE——
——BEGIN CERTIFICATE——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——END CERTIFICATE——

Как исправить DNS leak на OpenVPN?

Настроил OpenVPN на AWS инстансе скриптом https://github.com/Nyr/openvpn-install
Вылезла проблема — DNS Leak.

script-security 2 up /etc/openvpn/update-resolv-conf down /etc/openvpn/update-resolv-conf

Сначала обрадовался, т.к. при первой проверке утечка исчезла, но заметил, если перезагружаешь страницу нескольок раз, то утечка все равно вылазит.

Как исправить? Убунта 16.04

  • Вопрос задан более трёх лет назад
  • 16306 просмотров

Комментировать
Решения вопроса 0
Ответы на вопрос 5

TrueBers

Гуглю за еду
—block-outside-dns
Ответ написан более трёх лет назад
cakoxo @cakoxo Автор вопроса
Пробовал, не работает.

TrueBers

cakoxo: а версия какая? у меня всё работает
нужна версия 2.3.9 или выше
cakoxo @cakoxo Автор вопроса

Options error: Unrecognized option or missing parameter(s) in [CMD-LINE]:1: block-outside-dns (2.3.10)

Добавление в конфиг тоже дает ошибку.

cakoxo @cakoxo Автор вопроса

sudo openvpn --block-outside-dns --config openvpn/client.ovpn

cakoxo @cakoxo Автор вопроса
OpenVPN 2.3.10 x86_64-pc-linux-gnu

TrueBers

cakoxo: так подождите, у вас клиент на линуксах тоже что ли? эта опция только для винды
cakoxo @cakoxo Автор вопроса
Дмитрий: ну естественно.

ky0

Миллиардер, филантроп, патологический лгун
Прибейте фаерволлом на клиенте всё, летящее на 53 порт, кроме впнной подсети.
Ответ написан более трёх лет назад
cakoxo @cakoxo Автор вопроса
Звучит красиво! А поточнее можно как это сделать, или вас нужно упрашивать? :))
cakoxo @cakoxo Автор вопроса
gufw, Ubuntu

Fix dns leak
попробуйте добавить строку block-outside-dns в файл client.conf (по шаблону которого будут генериться клиентские конфиги) при этом конечно необходимо сгенерировать и доставить новые конфиги клиентам.
Также используйте последние версии openVpn как сервера так и клиентов.

Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
younghacker @younghacker

Нужно передать DNS со стороны сервера на клиента , и на клиенте как уже сказали выше рубануть исходящий и входящий трафик на 53 порту везде кроме tun интерфейса.
Разумеется в этом случае адрес VPN сервера должен быть указал в цифровом виде. Не доменный.
iptables на клиенте будет выглядить как-то так:

-A OUTPUT -o lo -j ACCEPT -A OUTPUT -o tun+ -j ACCEPT -A OUTPUT -o eth0 -d adresservera -p udp -dport vpnport -j ACCEPT -A OUTPUT -j DROP

кусочек конфига openvpn сервера:

push "dhcp-option DNS 10.1.10.1" push "redirect-gateway"

Разумеется DNS должен быть проксирован или проброшен снаружи через туннель
Если всё ещё актуально, постучитесь в скайп — поясню/помогу.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *