web-dev-qa-db-ja.com

openvpnの正しいTUN / TAPで--auth-nocacheを使用する方法

/etc/openvpn/nordvpnにアクセス許可700のパスワードファイルnordvpn.txtがあり、.ovpnにauth-user-pass nordvpn.txtを宣言すると、取得して取得しますファイル

root@masi:/etc/openvpn# openvpn --auth-nocache lv2.nordvpn.com.udp1194.ovpn 
Options error: You must define TUN/TAP device (--dev)
Use --help for more information.

私はopenvpn lv2...を行うことができますが、あなたは私が望まない警告を受け取ります

  • Fri Sep 2 20:05:01 2016警告:この設定はパスワードをメモリにキャッシュする可能性があります-これを防ぐにはauth-nocacheオプションを使用してください

  • Fri Sep 2 20:24:14 2016 Authenticate/Decrypt packet error:bad packet ID(may a replay):[#11288]-詳細については、-no-replayおよび--replay-windowのmanページのエントリを参照してください--mute-replay-warningsを使用して、この警告を情報または沈黙させます

NordVPNのudpの標準.ovpnファイル。ここで、auth-user-passを追加しました

masi@masi:/etc/openvpn$ cat ee1.nordvpn.com.udp1194.ovpn 


#           _   _               ___     ______  _   _
#          | \ | | ___  _ __ __| \ \   / /  _ \| \ | |
#          |  \| |/ _ \| '__/ _` |\ \ / /| |_) |  \| |
#          | |\  | (_) | | | (_| | \ V / |  __/| |\  |
#          |_| \_|\___/|_|  \__,_|  \_/  |_|   |_| \_|
#


client
dev tun
proto udp
remote 95.153.32.38 1194
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0

remote-cert-tls server

#mute 10000
auth-user-pass nordvpn.txt

comp-lzo
verb 3
pull
fast-io
cipher AES-256-CBC

<ca>
-----BEGIN CERTIFICATE-----
MIIExDCCA6ygAwIBAgIJAOLB2FG1xMovMA0GCSqGSIb3DQEBBQUAMIGcMQswCQYD
...
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
6c146c94cb099f5ebb0fffc47396a036
...
-----END OpenVPN Static key V1-----
</tls-auth>

ハードウェア:Asus Zenbook UX303UA
OS:Debian 8.5
Linuxカーネル:4.6

関連:

認証データをfileに保存しています。 OpenVPNが追加でそれをRAM=に保存するという事実は、あなたが気にする必要がないものです。パスワードを入力する(またはハードウェアセキュリティモジュールから取得する)環境のために存在します)。警告を無視してください。

--auth-nocacheが本当に必要な場合は、次のいずれかを実行できます。

  1. .ovpnファイルに入れます(auth-nocacheとして)。または
  2. openvpn --auth-nocache --config lv2.nordvpn.com.udp1194.ovpnが機能するはずです。重要なのは、構成名を指定するために--config引数が必要なことです。

不正なパケットIDの警告は、ネットワークで発生した問題について通知しています。認証のキャッシュ(または認証)とは関係ありません。 (再生に関するセクションを読んだ後)この警告を取り除きたい場合は、(コマンドラインまたは.ovpnファイルで)言うように--mute-replay-warningsを使用します。

12
derobert