Sau khi triển khai OpenVPN Server, việc giám sát log là bước then chốt. Bài viết này tập trung vào các công cụ xem log và cách chẩn đoán các lỗi kết nối phổ biến, đặc biệt là lỗi xác thực PAM.

1. Công cụ Xem Log Chính (journalctl)

Trên Ubuntu 24.04, công cụ chính để theo dõi log dịch vụ OpenVPN là journalctl.

• Giám sát theo Thời gian Thực: Lệnh này giúp bạn xem các sự kiện (lỗi khởi động, kết nối, lỗi xác thực) ngay khi chúng xảy ra, rất hữu ích khi đang cố gắng kết nối client:

  Bash

  sudo journalctl -u openvpn@server -f
  

• Xem Log Trạng thái Kết nối: Để xem danh sách các client đang hoạt động, địa chỉ IP và lưu lượng truy cập:

  Bash

  cat /var/log/openvpn-status.log
  

2. Các Lỗi Thường Gặp và Cách Khắc phục

2.1. Lỗi Khởi động Dịch vụ (FATAL/ERROR)

Đây là những lỗi xảy ra ngay khi bạn cố gắng chạy dịch vụ OpenVPN Server.

• Dấu hiệu: Dịch vụ không thể khởi động (Inactive). Log hiển thị FATAL hoặc ERROR.

• Khắc phục:

  • Kiểm tra Đường dẫn Cấu hình: Đảm bảo tệp cấu hình Server nằm tại vị trí tiêu chuẩn: /etc/openvpn/server.conf.

  • Lỗi Tệp Khóa (FATAL: Cannot open CA certificate file...): Lỗi này xảy ra khi OpenVPN không tìm thấy hoặc không thể đọc được các tệp chứng chỉ (ca.crt, server.key, ta.key). Hãy chắc chắn rằng tất cả các tệp này nằm trong thư mục /etc/openvpn/ và có quyền đọc hợp lệ.

2.2. Lỗi Xác thực Tài khoản/Mật khẩu

Đây là lỗi liên quan đến tính năng PAM mà chúng ta đã cấu hình.

• Dấu hiệu: Log Client hiển thị AUTH_FAILED. Log Server hiển thị authentication failure.

• Khắc phục:

  • Kiểm tra Log Xác thực: Dùng sudo journalctl -u openvpn@server -f và kiểm tra kỹ thông báo authentication failure.

  • Kiểm tra Tài khoản/Mật khẩu: Xác nhận người dùng nhập đúng tên người dùng và mật khẩu tài khoản Linux đã tạo.

  • Kiểm tra Cấu hình PAM: Đảm bảo tệp /etc/pam.d/openvpn được cấu hình chính xác để sử dụng pam_unix.so.

2.3. Lỗi Kết nối TLS/Mạng

Đây là các lỗi xảy ra ở giai đoạn trước hoặc sau khi xác thực thành công.

• Lỗi Tường lửa (TCP/UDP: Connection reset):

  • Dấu hiệu: Server đóng kết nối đột ngột. Log Server không thấy yêu cầu hoặc thấy lỗi tls-error.

  • Khắc phục: Đảm bảo cổng 1194/udp đã được mở trên UFW và bất kỳ tường lửa Cloud bên ngoài nào (Security Group).

• Lỗi Khóa TLS Auth (TLS Error: Auth failure):

  • Dấu hiệu: Lỗi xác thực mã hóa.

  • Khắc phục: Kiểm tra tệp .ovpn Client: Đảm bảo đã thêm key-direction 1 và nội dung của ca.crt, ta.key được sao chép chính xác và đầy đủ.

• Lỗi Định tuyến (Kết nối nhưng không truy cập mạng):

  • Dấu hiệu: Client nhận được IP (ví dụ: 10.8.0.x) nhưng không thể truy cập Internet.

  • Khắc phục: 1. Xác nhận IP Forwarding đã bật (net.ipv4.ip_forward=1). 2. Kiểm tra lại quy tắc NAT trong /etc/ufw/before.rules đã áp dụng đúng cho dải IP VPN và giao diện mạng công cộng.

• Lỗi Client Windows (Cannot Allocate TUN/TAP):

  • Khắc phục: Luôn chạy ứng dụng OpenVPN Client với quyền ADMINISTRATOR (Chạy với tư cách Quản trị viên).

3. Quy trình Chẩn đoán Nhanh

Khi gặp sự cố, hãy thực hiện theo trình tự sau:

1. Kiểm tra Trạng thái Dịch vụ: Dùng sudo systemctl status openvpn@server. Nếu Inactive, chuyển sang bước 2.

2. Xem Log Khởi động: Dùng sudo journalctl -u openvpn@server -n 50. Xác định lỗi FATAL hoặc ERROR đầu tiên để sửa lỗi cấu hình/đường dẫn.

3. Giám sát Kết nối: Khi dịch vụ chạy, dùng sudo journalctl -u openvpn@server -f và cố gắng kết nối từ Client. Phân tích log:

   • Nếu lỗi xảy ra ngay lập tức (trước yêu cầu Username): Lỗi là Tường lửa hoặc TLS/Auth.

   • Nếu thấy yêu cầu xác thực nhưng thất bại: Lỗi là Tài khoản/Mật khẩu hoặc PAM