VPN Fedora 41 KDE

Sziasztok!

Kettő típusú VPN szervert tudok elérni az ASUS RT-N18U routeren, PPTP és OpenVPN. Jelenleg Fedora 41-es géppel nem akarja felépíteni a kapcsolatot.

A PPTP beállítása után a

"Nem sikerült elindítani a VPN kapcsolatot biztosító szolgáltatást."

üzenet  van.

Az OpenVPN-nél meg a konfigurációs fájl betöltése után.

"Az VPN kapcsolatot biztosító szolgáltatás leállt."  

illetve a

"A VPN kapcsolat aktiválása meghiúsult."

üzenet van.

 

Valamely csomagok hiányozhatnak vagy túlságosan frissek a régebbi routerhez, csak valami rossz beállítás?

Esetleg találkoztatok ilyen problémával, netán van megoldás? Köszi ha tudtok segíteni.

Rendszer: Fedora 41 KDE-Plasma

Hozzászólások

Szerkesztve: 2024. 11. 03., v – 13:12

mi koze a KDE-nek a VPN-hez? Ugy erted, hogy a GUI-jan nem megy a VPN, de parancssorbol megy?

A VPN kliens logjai sokat tudnak segiteni abban, hogy mi lehet a baj amugy, meg akar a megoldasban is :D

Gondolom a networkmanager KDE frontendjén akar csatlakozni, ennyi köze lehet.

Networkmanagernek pedig kellenek pluginek legalábbis az openvpn-hez biztosan (https://networkmanager.dev/docs/vpn/). Gondolom ez fedorán is külön csomag, fel kell tenni, és megoldja a problémát - már ha a hiánya volt a probléma oka :)

en ertem, de eloszor vegig kellenbe menni a hibakereses folyamatan, azaz megnezni parancssorban mukodik e, mert ez igy kb bekotott szemmel repules a sotetben a kodben (mindegy, igy se ugy se latunk es meghalunk :D)

Illetve a parancssori eszkozok altalaban kifossak magukbol mi a fene a bajuk. Vagy kiprobalta gnome-al es megy? Mi az hogy KDE VPN? Erted talan mire akarok kilyukadni. Nem tudjuk hogy fel van e rakva vagy nem a plugin, nem tudunk korulbelul semmit. Csak hogy a KDE VPN nem mukodik :D

A régi verziójú openssl és openvpn tud csak kapcsolatot felépíteni a régebbi asus routerben található openvpnnel.

Az újabb nm meg nem működik a régebbi openvpn és openssl csomagokkal amiket csak  nodeps lehet feltolni. Ez önmagában is halálra van ítélve. Eddig jutottam a googlizással. Több kevesebb sikerel próbálkoztak némi kalapálással. Csak érdekeség, hogy Androidon is csak a régebbi 3.2.5 verzió működik, amit persze állandóan frissíteni akar. Új routeren kívül nagyon más ötletem nincs, amit csak emiatt kellene kidobni. :(

Szia Karesz,

RT-N18U routerem van, freshtomato firmware-el (2024.03 verzió).

Fedora 40-en vagyok, sima Gnome VPN beállítás.

Gond nélkül tudok csatlakozni távolról az otthoni routeremre.

VPN verzió a routeren és a kliensen is OpenVPN 2.6.12. (free community edition).

Otthoni internetem Telekom-os, nem NAT-olt publikus IP-vel. A szolgáltatói eszköz Sagemcom bridge üzemmódban van, WIFI off rajta.

A routerre a firmware-t innen tudod leszedni: https://freshtomato.org/

https://freshtomato.org/downloads/freshtomato-arm/2024/2024.3/

Az adott routerre a firmware file neve: freshtomato-RT-N18U-K26ARM-2024.3-AIO-64K-NOSMP.zip

Kicsomagolás után lehet telepíteni a router webes felületéről.

Utána nyilván újra be kell konfigurálni a routert illetve az OpenVPN szervert.

Egy dolog még eszembe jutott a fedora OpenVPN kliens kapcsán:

A hivatalos repóból telepítettem az OpenVPN csomagot: 2.6.12. (https://packages.fedoraproject.org/pkgs/openvpn/openvpn/index.html)

Létre kellett hoznom a home mappán belül egy .cert mappát.

Ebbe másoltam bele a router által generált kulcsokat 3db-ot.

A többi beállítást a Gnome VPN beállító felületen adtam meg: Publikus IP, felhasználónév, jelszó. A kulcsokat betallóztam a .cert mappából (CTRL+H hogy látszódjanak a rejtett mappák.)

Szerkesztve: 2024. 11. 04., h – 11:09

Erős a gyanúm, hogy az új (Fedora 33-óta :) ) crypto policy lehet a ludas, szerintem sem KDE függő dolog ez. (mondjuk némi log segítene a megértésben)
Az alapbeállításnál ugyanis nem engedi használni az outdated crypto algoritmusokat, hash algoritmusokat.

Emiatt régebben volt problémám nekem is asszem az OpenVPN-nel, de főként azokkal a szerverekkel SSH tekintetbven, ahol régi hash algo-t, vagy túl rövid RSA kulcsot használtam.

Első körben érdemes lenne LEGACY-ra állítani az update-crypto-policies paranccsal. (Valószínűleg DEFAULT-on van.)
Így engedni fogja a régebbi rendszerekkel való kompatibilitást, e.g.: a régebbi gyengébb algo-k használatát.

Meg kellene próbálni így kapcsolódni ahhoz a VPN szerverhez. Egy próbát megér.
Egyébként anno emiatt konfigoltam teljesen újra a VPN-ünket, ami mostmár ED25519 alapú RSA helyett.

hint: https://fedoraproject.org/wiki/Changes/CryptoPolicy
https://archive.fosdem.org/2020/schedule/event/security_custom_crypto_p…

Talisker Single Malt Scotch Whisky aged 10 years - o.k. Yamazaki is playing as well :)

Tipp, emlékeim szerint nincs kivezetve egy paraméter felületre (openvpn esetében):

szerkeszteni a kapcsolat konfig fájlt: /etc/NetworkManager/system-connections/openvpn_kapcsolat.nmconnection

valamelyik a kettő közül nincs benne, bele kell tenni, érték ugyanaz:

cipher=AES-...
data-ciphers=AES-...

Igen, most megkerestem:

OpenVPN 2.6 introduced a change in how ciphers should be specified. The value from --cipher is no more copied to --data-ciphers. In NetworkManager-openvpn this behavior was maintained aiming for backwards compatibility, but it seems it was not a good idea and it was reverted in NetworkManager-openvpn 1.11.0:
https://gitlab.gnome.org/GNOME/NetworkManager-openvpn/-/issues/112
https://gitlab.gnome.org/GNOME/NetworkManager-openvpn/-/merge_requests/64

Workaround:

nmcli connection modify CONNECTION_NAME +vpn.data "data-ciphers = AES-256-CBC"

Real solution: ask your server's admin to update the config and reimport the .ovpn after that:
https://gitlab.gnome.org/GNOME/NetworkManager-openvpn/-/issues/112#note_2191737

 

Mármint az AES-256-CBC az én esetemre bír relevanciával, de a hibaüzenetekből, logból azt hiszem, látszik. Ugye, a CONNECTION_NAME értelemszerűen az, ami, szóval nem szó szerint értendő.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

ott hogy nem ertettem minek hozta ide a KDE-t mert semmi koze a vpn-nek a DE-hez (kiveve ha bebizonyosodik, hogy megy cli-ban vagy masik DE-vel, es a hiba tenylegesen a KDE altal adott programban van), de most rajottem, hogy ez a termek neve a fedoranal :D 

my bad :D