Witam,
Jakiś czas temu wiele razy walczyłem z postawieniem serwera VPN na Malince. Korzystałem z wielu poradników: “Raspberry Pi jako serwer VPN - blogi użytkowników portalu dobreprogramy” oraz “How to turn your Raspberry Pi into a Home VPN Server using PiVPN”. Za każdym razem przy próbie połączeniu występuje błąd TLS handshake failed.
Moim dostawcą jest UPC (sprawdzałem również na LTE z PLUSa) , postawiłem ddns na NoIP, dodałem na routerze przekierowanie portów 1194 na routerze Technicolor z UPC i Huawei (nie pamiętam modelu) z PLUSa ( na NOIP podczas konfigurowania wybiera się do jakiego celu używamy i później sprawdza dostępność odblokowania portu - wyrzucając, że port jest zablokowany). Czy dostawcy mogą coś blokować? Czy to może coś po stronie klienta? (przy zaporach wyłączonych też to samo). Czy da radę w ogóle postawić serwer VPN z mobilnego neta, z komórki czy z routera dedykowanego od np.: PLUSA? Czy trzeba jakieś dodatkowe usługi wykupywać w przypadku PLUSA jak i UPC?

Pozdrawiam
Jacek

Na mobilnym internecie jak najbardziej się da pod warunkiem, że nie jesteś za NATem ISP.

Pokaż dokładną treść błędu.

Fri Jul 06 12:00:39 2018 SIGUSR1[soft,tls-error] received, process restarting
Fri Jul 06 12:05:39 2018 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Fri Jul 06 12:05:39 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]89.64.16.253:1194
Fri Jul 06 12:05:39 2018 UDP link local: (not bound)
Fri Jul 06 12:05:39 2018 UDP link remote: [AF_INET]89.64.16.253:1194
Fri Jul 06 12:06:39 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jul 06 12:06:39 2018 TLS Error: TLS handshake failed
Fri Jul 06 12:06:39 2018 SIGUSR1[soft,tls-error] received, process restarting

Od czegoś to zależy kiedy jesteśmy za NATem? Jak to sprawdzić?

Pierwsze.

Drugie. Opcji jest kilka, albo RPi jest za NATem ISP, albo masz złe przekierowania, albo błąd w konfiguracji. VPNy nie lubią się z NATem. Jeśli masz możliwość, zrób NAT 1:1 lub dodaj RPi do DMZ.

Co masz po stronie klienta?

Jakiego typu połączenia używasz? TUN czy TAP?

“Jeśli masz możliwość, zrób NAT 1:1 lub dodaj RPi do DMZ.” - Nie wiem jak zrobić NAT 1:1, DMZ nie mam możliwości na routerze.
“Jakiego typu połączenia używasz? TUN czy TAP?” - nie wiem, nigdy nie spotkałem się z takimi termianmi, nie jestem sieciowcem
“Co masz po stronie klienta?” - no to właśnie, ta lista błędów.

Pod koniec roku będę przedłużał umowę w Plus i zmieniać będę router, wtedy jeszcze raz podejdę do tematu.

Czy opcja w ddns NoIP pokazuująca odblokowany dany port jest wiarygodna? To samo tyczy się strony typu: https://www.yougetsignal.com/tools/open-ports/ ?

Pokombinuję jeszcze, jeżeli jest jakaś różnica z NoIP ddns:
https://www.remot3.it/web/index.html

Skoro nie wiesz czy użyłeś TUN czy TAP, bo nie jesteś sieciowcem, to jakim cudem chcesz odpalić serwer VPN?

Zapytam inaczej na OVPN robisz bridge czy routing?

Musisz rozumieć działanie usługi, inaczej nie skonfigurujesz jej dobrze. To że posilkujesz się tutorialami bez zrozumienia nic Ci nie da.

OVPN to VPN typu SSL, działającym w 7 warstwie, a nie 3 jak, np. IPSec. W związku z tym musi być poprawnie skonfugurowane nawiązywanie sesji ssl/tls. OpenVPN może działać w dwóch trybach 1. mostkowany (tap), 2. tunelowania/routingu (tun).

Pierwszy działa tak, jakbyś był bezpośrednio wpięty do podsiecibi z niej dostawał IP, drugi masz osobną podsiec i pakiety są routowane na serwerze VPN. Wybierz drugi typ (dev tun).