התחברות לvpn של נטפרי
-
שלום
מנסה להתחבר לvpn דרך התוכנה שממליצים עליה כאן בתמיכה (tunnelblick)
המחשב הוא macbook air של אפל והos -
(mac os mojave (10.14
נציג של נטפרי הגדיר את הvpn אבל ברגע שאני מתחברת דרך התוכנה אין לי שום אינטרנט והוא לא ידע לעזור לי
באפל אומרים שהבעיה היא של נטפרי
יש כאן מישהו שמכיר את הבעיה או חושב שיוכל לעזור לי דרך שליטה מרחוק
בתשלום כמובן
זה ממש דחוף
תודה רבה -
א. יש לכם מספר פניה? אם תכתבו מספר פניה, אני יכול לראות את התיעוד מה התומך ניסה לעשות ואיפה נכשל.
ב. ברור שהבעיה לא קשורה לאפל, אבל יתכן וזה באג בtunnelblick. צריך לראות את הlog שלו. -
פניה #535389
-
אולי ל @MacroShadow יש אפשרות לסכם את הבעיה בצורה מובנת.
על פניו זה נראה באג של tunnelblick. אולי שינמוך הגירסה יעזור.
תנסו להתקין גירסה ישנה יחסית (נניח מלפני חצי שנה) שלהם ותעדכנו.אולי @yzahn יסכים לחקור את זה.
בתשלום כמובן
-
אפשר לנסות עם תוכנות אחרות
פרטי השרת והגדרות הצפנה רשומות כאן
https://netfree.link/wiki/אפשרויות_הגדרת_VPN_במחשב, לא צריך להתקבע על tunnelblick או על open vpn,
יש את זה שאמור לאפשר התחברות בפרוטוקול pptp
https://github.com/molcik/pptp-vpn-macosx/releases
אבל אין לנטפרי נסיון עם זה. -
@shraga בינתיים גם אני נתקל בבעיה בחיבור במאק דרך tunnelblick. נראה אם אוכל למצוא פתרון.
-
@shraga @MacroShadow צריך להוסיף שורה זו לקובץ התצורה:
comp-lzo -
@yzahn
איזה שגיאה אתה מקבל?
הבעיה המדוברת כאן היא שגיאה בקבלת כתובת אייפי, לא נראה שהגדרות הדחיסה קשורים לענין. -
@MacroShadow לא יודע מה הבעיה שדובר לעיל. אני קיבלתי IP ומבחינת tunnelblick הכל היה נראה בסדר, אבל עדיין שום דבר לא עבד. נסיתי עם אותו קובץ תצורה גם בווינדוס (עם openvpn-gui) וגם לא הצליח. אחרי שהוספתי את השורה הנ"ל, גם במאק וגם בווינדוס, החיבור הצליח.
-
@yzahn מה הכוונה ששום דבר לא עבד? מה קרה שניסית לגלוש?
אגב, כמדומני שהשורה המדוברת הוסרה מקובץ ההגדרות מכיון שהגירסאות החדשות של טנלבליק כבר לא תומכים בדחיסה הזו. -
@MacroShadow הגלישה לא עבד - כרום מדווח על connection timeout. התעבורה לא עוברת. ב-log יש איזה שגיאה לא ברורה
write to TUN/TAP : Unknown error (code=122).
אתה לא צריך מאק כדי לחוות את הבעיה - קח את קובץ התצורה ונסה להתחבר דרכו - גם בווינדוס לא עובד.
תכלית, המבחן יהיה אם תיקון זה עוזר ל@efrat ...אגב, כמדומני שהשורה המדוברת הוסרה מקובץ ההגדרות מכיון שהגירסאות החדשות של טנלבליק כבר לא תומכים בדחיסה הזו.
tunnelblick מתריע על כך שייתכן שבגירסאות הבאות של openVPN לא יהיה תמיכה בזה. אבל בינתיים זה נתמך - עיין כאן וכאן
-
@yzahn
אתה צודק שזה גם בעיה ואכן צריך להגדיר זאת בקובץ התצורה, מה שמוזר שלעיתים זה עובד בלי להגדיר.
השאלה אם זה הבעיה של @efrat
כי הלוג שלה הוא עם שגיאה אחרת:2019-02-26 19:40:37 TCP connection established with [AF_INET]185.18.205.51:143 2019-02-26 19:40:37 TCP_CLIENT link local: (not bound) 2019-02-26 19:40:37 TCP_CLIENT link remote: [AF_INET]185.18.205.51:143 2019-02-26 19:40:37 MANAGEMENT: >STATE:1551202837,WAIT,,,,,, 2019-02-26 19:40:37 MANAGEMENT: >STATE:1551202837,AUTH,,,,,, 2019-02-26 19:40:37 TLS: Initial packet from [AF_INET]185.18.205.51:143, sid=40ebacd2 0e8f67c3 2019-02-26 19:40:37 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this 2019-02-26 19:40:37 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=netfree, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain 2019-02-26 19:40:37 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=netfree, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain 2019-02-26 19:40:38 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1543', remote='link-mtu 1544' 2019-02-26 19:40:38 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo' 2019-02-26 19:40:38 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA 2019-02-26 19:40:38 [server] Peer Connection Initiated with [AF_INET]185.18.205.51:143 2019-02-26 19:40:39 MANAGEMENT: >STATE:1551202839,GET_CONFIG,,,,,, 2019-02-26 19:40:39 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) 2019-02-26 19:40:39 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route-gateway 100.77.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 100.77.3.239 255.255.0.0' 2019-02-26 19:40:39 OPTIONS IMPORT: timers and/or timeouts modified 2019-02-26 19:40:39 OPTIONS IMPORT: --ifconfig/up options modified 2019-02-26 19:40:39 OPTIONS IMPORT: route options modified 2019-02-26 19:40:39 OPTIONS IMPORT: route-related options modified 2019-02-26 19:40:39 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified 2019-02-26 19:40:39 Outgoing Data Channel: Cipher 'BF-CBC' initialized with 128 bit key 2019-02-26 19:40:39 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). 2019-02-26 19:40:39 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication 2019-02-26 19:40:39 Incoming Data Channel: Cipher 'BF-CBC' initialized with 128 bit key 2019-02-26 19:40:39 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). 2019-02-26 19:40:39 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication 2019-02-26 19:40:39 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks. 2019-02-26 19:40:39 Opening utun (connect(AF_SYS_CONTROL)): Resource busy (errno=16) 2019-02-26 19:40:39 Opening utun (connect(AF_SYS_CONTROL)): Resource busy (errno=16) 2019-02-26 19:40:39 Opened utun device utun2 2019-02-26 19:40:39 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 2019-02-26 19:40:39 MANAGEMENT: >STATE:1551202839,ASSIGN_IP,,100.77.3.239,,,, 2019-02-26 19:40:39 /sbin/ifconfig utun2 delete ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address 2019-02-26 19:40:39 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure 2019-02-26 19:40:39 /sbin/ifconfig utun2 100.77.3.239 100.77.3.239 netmask 255.255.0.0 mtu 1500 up 2019-02-26 19:40:39 /sbin/route add -net 100.77.0.0 100.77.3.239 255.255.0.0 add net 100.77.0.0: gateway 100.77.3.239 2019-02-26 19:40:39 /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw utun2 1500 1543 100.77.3.239 255.255.0.0 init ********************************************** Start of output from[ client.up.tunnelblick.sh](http://client.up.tunnelblick.sh/) Disabled IPv6 for 'Wi-Fi' Disabled IPv6 for 'Bluetooth PAN' Disabled IPv6 for 'Thunderbolt Bridge' Retrieved from OpenVPN: name server(s) [ 8.8.8.8 8.8.4.4 ], search domain(s) [ ] and SMB server(s) [ ] and using default domain name [ openvpn ] Not aggregating ServerAddresses because running on macOS 10.6 or higher Setting search domains to 'openvpn' because the search domains were not set manually (or are allowed to be changed) and 'Prepend domain name to search domains' was not selected Saved the DNS and SMB configurations so they can be restored Changed DNS ServerAddresses setting from '91.200.152.000 91.200.152.000' to '8.8.8.8 8.8.4.4' Changed DNS SearchDomains setting from '' to 'openvpn' Changed DNS DomainName setting from '' to 'openvpn' Did not change SMB NetBIOSName setting of '' Did not change SMB Workgroup setting of '' Did not change SMB WINSAddresses setting of '' DNS servers '8.8.8.8 8.8.4.4' will be used for DNS queries when the VPN is active The DNS servers include only free public DNS servers known to Tunnelblick. Flushed the DNS cache via dscacheutil /usr/sbin/discoveryutil not present. Not flushing the DNS cache via discoveryutil Notified mDNSResponder that the DNS cache was flushed Not notifying mDNSResponderHelper that the DNS cache was flushed because it is not running Setting up to monitor system configuration with process-network-changes End of output from[ client.up.tunnelblick.sh](http://client.up.tunnelblick.sh/) ********************************************** 2019-02-26 19:40:44 *Tunnelblick: No 'connected.sh' script to execute 2019-02-26 19:40:44 /sbin/route add -net 185.18.205.51 192.168.1.1 255.255.255.255 add net 185.18.205.51: gateway 192.168.1.1 2019-02-26 19:40:44 /sbin/route add -net 0.0.0.0 100.77.0.1 128.0.0.0 add net 0.0.0.0: gateway 100.77.0.1 2019-02-26 19:40:44 /sbin/route add -net 128.0.0.0 100.77.0.1 128.0.0.0 add net 128.0.0.0: gateway 100.77.0.1 2019-02-26 19:40:44 Initialization Sequence Completed 2019-02-26 19:40:44 MANAGEMENT: >STATE:1551202844,CONNECTED,SUCCESS,100.77.3.239,185.18.205.51,143,192.168.1.12,52764 2019-02-26 19:41:24 *Tunnelblick: After 30.0 seconds, gave up trying to fetch IP address information using the ipInfo host's name after connecting. 2019-02-26 19:41:58 *Tunnelblick: An error occured fetching IP address information using the ipInfo host's IP address after connecting 2019-02-26 19:42:28 *Tunnelblick: Disconnecting; 'Disconnect all' menu command invoked 2019-02-26 19:42:28 *Tunnelblick: No 'pre-disconnect.sh' script to execute 2019-02-26 19:42:28 *Tunnelblick: Disconnecting using 'kill' 2019-02-26 19:42:28 event_wait : Interrupted system call (code=4) 2019-02-26 19:42:28 /sbin/route delete -net 185.18.205.51 192.168.1.1 255.255.255.255 delete net 185.18.205.51: gateway 192.168.1.1 2019-02-26 19:42:28 /sbin/route delete -net 0.0.0.0 100.77.0.1 128.0.0.0 delete net 0.0.0.0: gateway 100.77.0.1 2019-02-26 19:42:28 /sbin/route delete -net 128.0.0.0 100.77.0.1 128.0.0.0 delete net 128.0.0.0: gateway 100.77.0.1 2019-02-26 19:42:28 Closing TUN/TAP interface 2019-02-26 19:42:28 /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw utun2 1500 1543 100.77.3.239 255.255.0.0 init ********************************************** Start of output from[ client.down.tunnelblick.sh](http://client.down.tunnelblick.sh/) Cancelled monitoring of system configuration changes Restored the DNS and SMB configurations Re-enabled IPv6 (automatic) for 'Wi-Fi' Re-enabled IPv6 (automatic) for 'Bluetooth PAN' Re-enabled IPv6 (automatic) for 'Thunderbolt Bridge' Flushed the DNS cache via dscacheutil /usr/sbin/discoveryutil not present. Not flushing the DNS cache via discoveryutil Notified mDNSResponder that the DNS cache was flushed Not notifying mDNSResponderHelper that the DNS cache was flushed because it is not running /Library/Application Support/Tunnelblick/expect-disconnect/ALL does not exist End of output from[ client.down.tunnelblick.sh](http://client.down.tunnelblick.sh/) ********************************************** 2019-02-26 19:42:32 SIGTERM[hard,] received, process exiting 2019-02-26 19:42:32 MANAGEMENT: >STATE:1551202952,EXITING,SIGTERM,,,,, 2019-02-26 19:42:33 *Tunnelblick: No 'post-disconnect.sh' script to execute 2019-02-26 19:42:33 *Tunnelblick: Expected disconnection occurred. -
@shraga אמר בהתחברות לvpn של נטפרי:
מה שמוזר שלעיתים זה עובד בלי להגדיר.
אצלי זה אף פעם לא עבד.
כי הלוג שלה הוא עם שגיאה אחרת:
עכשיו שאני רואה את הלוג אני די בטוח שצדקתי באבחון.
באיזה שורה לדעתך נמצא השגיאה? אין שגיאה של OpenVPN בפלט, להיפך כתוב בפירוש שקיבלה IP:2019-02-26 19:40:44 MANAGEMENT: >STATE:1551202844,CONNECTED,SUCCESS,100.77.3.239,185.18.205.51,143,192.168.1.12,52764מה שיש זה שגיאה של tunnelblick שמנסה לבדוק מול שרת שלו אם כתובת ה-IP השתנה (כדי לזהות אם החיבור מצליח ומקונפג נכון):
2019-02-26 19:41:24 *Tunnelblick: After 30.0 seconds, gave up trying to fetch IP address information using the ipInfo host's name after connecting.תנסה להוסיף את השורה של:
comp-lzoותראה ישועות בעז"ה.
-
-
פוסט זה נמחק! -
עובד
תודה רבה @shraga @yzahn @MacroShadow על כל העזרה והמאמץ!! -
הי @shraga
@MacroShadow
@yzahn
@meirbenin
הבעיה חזרה
tunnelblick לא מצליח להתחבר לשרת כשהפיירוול דולק (כשהוא כבוי אין בעיה בהתחברות אבל אז לא הרווחתי כלום)
זה השגיאות בלוג2019-05-20 00:38:15 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2019-05-20 00:38:15 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2019-05-20 00:38:15 NOTE: --fast-io is disabled since we are not using UDP
2019-05-20 00:38:15 MANAGEMENT: >STATE:1558301895,RESOLVE,,,,,,
2019-05-20 00:38:16 TCP/UDP: Preserving recently used remote address: [AF_INET]185.217.99.131:143
2019-05-20 00:38:16 Socket Buffers: R=[131072->131072] S=[131072->131072]
2019-05-20 00:38:16 Attempting to establish TCP connection with [AF_INET]185.217.99.131:143 [nonblock]
2019-05-20 00:38:16 MANAGEMENT: >STATE:1558301896,TCP_CONNECT,,,,,,
2019-05-20 00:38:16 MANAGEMENT: CMD 'hold release'יכול להיות שהיה איזה שינוי בdns או שעבר התוקף של הcertificates?
אשמח לעזרה זה קרה לי פתאום היום -
@efrat אני רואה שלאחרונה הוסיפו כנראה עוד שרת בישראל, עדכני את הגדרות חומת האש שיכללו את השרת החדש,
lan = "{ 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 }" vpn_intf = "{ utun0, utun1, utun2, utun3 }" allowed_vpn = "{ 185.18.205.51, 66.97.33.67, 78.129.212.85, 172.96.166.99, 51.15.222.150, 185.217.99.131 }" block out inet6 proto tcp block out inet4 proto tcp pass out inet4 proto tcp to $allowed_vpn pass out on $vpn_intf pass out to $lan pass on lo0 all -
@yzahn זה עזר תודה!
בשביל הסקרנות-
למה בעצם מגדירים שם IP ולא hostname? -
@efrat בהתחלה באמת עשיתי לפי hostname אבל נתקלתי בבעיה שההגדרות לא נטענו אוטומטי בשעת עליית המערכת כאשר כתבתי פה:
בעיקרון אפשר לכתוב גם דומיינים, וכך עדיף בד"כ מכיון שה-IP יכול להשתנות, אבל הבעיה פה שההגדרות נטענות בשעת עליית המערכת כאשר עדיין אין גישה לרשת וא"א לשלוח DNS לתרגם דומיינים ל-IP, לכן זה נכשל רק בהפעלה אוטומטית ולא כאשר הטענתי אותם ידנית כדי לבדוק אותם.
כלומר, חומת האש תומך רק ב-IP, אפשר אומנם לכתוב hostname בקובץ אבל בשעת טעינה זה מתורגם ל-IP, לכן זה לא יעבוד אם לא דואגים להטעין אותו דוקא אחרי עליית ממשקי הרשת.
