мой клиент OpenVPN для OSX не подключается к моему серверу OpenVPN

Я пытался установить сервер VPN на Amazon EC2 с Ubuntu и OpenVPN, а также клиент OpenVPN Connect для MacOS, но это не сработало.

Согласно этому учебнику на https://ubuntu.com/server/docs/how-to-install-and-use-openvpn,
я создал server1.conf, client1.ovpn (оба сгенерированы скриптом setup_openvpn1.sh),
но клиент не может подключиться к VPN-серверу.

Используя другую конфигурацию, которую я запросил у perplexity.ai,
я создал server2.conf, client2.ovpn (оба сгенерированы скриптом setup_openvpn2.sh),
клиент подключается к VPN-серверу, но у меня нет доступа в интернет.

(в EC2 я уже активировал IP-перенаправление, я открыл UDP порт 1194 в Ubuntu и в консоли EC2)

Какие идеи?

server1.conf

#################################################
# Пример конфигурационного файла OpenVPN 2.6 для  #
# много-клиентского сервера.                      #
#                                                 #
# Этот файл предназначен для серверной части      #
# конфигурации OpenVPN для                       #
# множество-клиентов <-> один-сервер.        #
#                                                 #
# OpenVPN также поддерживает                     #
# одиночные-узлы <-> одиночные-узлы         #
# конфигурации (См. страницу Примеры              #
# на веб-сайте для получения дополнительной информации). 
#                                                 #
# Эта конфигурация должна работать на Windows     #
# или системах Linux/BSD. Помните, что            #
# на Windows нужно обрамлять имена путей          #
# двойными обратными слешами, например:           #
# "C:\\Program Files\\OpenVPN\\config\\foo.key"   #
#                                                 #
# Комментарии предшествуют символу '#' или ';'    #
#################################################

# На каком локальном IP-адресе должен слушать OpenVPN 
# (необязательно)
;local a.b.c.d

# На каком TCP/UDP порту должен слушать OpenVPN?
# Если вы хотите запустить несколько экземпляров OpenVPN
# на одной машине, используйте другой номер порта
# для каждого из них. Вам нужно будет
# открыть этот порт в вашем фаерволе.
port 1194

# TCP или UDP сервер?
;proto tcp
proto udp

# "dev tun" создаст маршрутизируемый IP-канал,
# "dev tap" создаст Ethernet-канал.
# Используйте "dev tap0", если вы делаете Ethernet-бриджинг
# и заранее создали виртуальный интерфейс tap0
# и соединили его с вашим Ethernet интерфейсом.
# Если вы хотите управлять политиками доступа
# по VPN, вам необходимо создать правила фаервола
# для интерфейса TUN/TAP.
# На не-Windows системах вы можете указать
# явный номер юнита, такой как tun0.
# На Windows используйте "dev-node" для этого.
# На большинстве систем VPN не будет работать
# если вы частично или полностью не отключите/не откроете
# фаервол для интерфейса TUN/TAP.
;dev tap
dev tun

# Windows нуждается в имени адаптера TAP-Win32
# из панели Сетевые подключения, если у вас
# больше одного.
# Вам может потребоваться выборочно отключить
# фаервол Windows для TAP адаптера.
# Ненадлежащие Windows системы обычно не нуждаются в этом.
;dev-node MyTap

# Корневой сертификат SSL/TLS (ca), сертификат
# (cert) и приватный ключ (key). Каждый клиент
# и сервер должны иметь свой собственный cert и
# ключ. Сервер и все клиенты будут
# использовать один и тот же ca файл.
#
# См. проект "easy-rsa" на
# https://github.com/OpenVPN/easy-rsa
# для генерации RSA сертификатов
# и приватных ключей. Помните, чтобы использовать
# уникальное Общее Имя для сервера
# и каждого сертификата клиента.
#
# Может быть использована любая система управления ключами X509.
# OpenVPN также может использовать файл ключа в формате PKCS #12
# (см. директиву "pkcs12" в man-странице).
#
# Если вы не хотите поддерживать CA
# и у вас небольшое количество клиентов
# вы также можете использовать самоподписанные сертификаты
# и использовать параметр peer-fingerprint.
# См. man-страницу openvpn-examples для
# примера конфигурации.
ca ca.crt
cert server.crt
key server.key  # Этот файл должен храниться в секрете

# Параметры Диффи-Хеллмана.
# Создайте свои собственные с помощью:
#   openssl dhparam -out dh2048.pem 2048
dh dh2048.pem

# Разрешить подключения к очень старым версиям OpenVPN
# без поддержки AEAD (OpenVPN 2.3.x или старше)
# Это добавляет AES-256-CBC в качестве резервного шифра и
# сохраняет современные шифры.
;data-ciphers AES-256-GCM:AES-128-GCM:?CHACHA20-POLY1305:AES-256-CBC

# Сетевой топология
# Должна быть подсеть (адресация по IP)
# если только клиенты Windows версии 2.0.9 и ниже не должны
# быть поддержаны (тогда net30, т.е. по /30 на клиент)
# По умолчанию net30 (не рекомендуется).
topology subnet

# Настройка режима сервера и предоставление подсети VPN
# для OpenVPN для получения адресов клиентов.
# Сервер будет брать 10.8.0.1 для себя,
# остальные адреса будут доступны для клиентов.
# Каждый клиент сможет достигнуть сервера
# на 10.8.0.1. Закомментируйте эту строку, если вы
# делаете Ethernet-бриджинг. См. man-страницу для получения дополнительной информации.
server 10.8.0.0 255.255.255.0

# Вести учет соответствий между клиентом и виртуальным IP-адресом
# в этом файле. Если OpenVPN отключится или
# будет перезапущен, пере подключающиеся клиенты могут быть назначены
# тому же виртуальному IP-адресу из пула, который был
# ранее назначен.
ifconfig-pool-persist /var/log/openvpn/ipp.txt

# Настройка режима сервера для Ethernet-бриджинга.
# Сначала вы должны использовать возможности бриджинга вашей ОС
# чтобы соединить TAP интерфейс с Ethernet
# NIC интерфейсом. Затем вы должны вручную установить
# IP/маску подсети на интерфейсе мосте, здесь мы
# предполагаем 10.8.0.4/255.255.255.0. В конце концов
# мы должны оставить диапазон IP в этой подсети
# (start=10.8.0.50 end=10.8.0.100) для выделения
# подключающимся клиентам. Оставьте эту строку закомментированной
# если вы не делаете Ethernet-бриджинг.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Настройка режима сервера для Ethernet-бриджинга
# с использованием DHCP-прокси, где клиенты обращаются
# к DHCP-серверу сторон сервера OpenVPN
# чтобы получить выделение IP-адреса
# и адреса серверов DNS. Сначала вы должны использовать
# возможности бриджинга вашей ОС, чтобы соединить TAP
# интерфейс с Ethernet NIC интерфейсом.
# Примечание: этот режим работает только на клиентах (таких как
# Windows), где адаптер TAP со стороны клиента связан
# с DHCP клиентом.
;server-bridge

# Передать маршруты клиенту, чтобы он мог
# добраться до других частных подсетей за
# сервером. Помните, что эти
# частные подсети тоже должны
# знать, как маршрутизировать пул адресов OpenVPN
# (10.8.0.0/255.255.255.0)
# обратно на сервер OpenVPN.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

# Чтобы назначить конкретные IP-адреса конкретным
# клиентам или если подключающийся клиент имеет частную
# подсеть за ним, которая также должна иметь доступ к VPN,
# используйте подкаталог "ccd" для специфических
# конфигурационных файлов клиентов (см. man-страницу для получения дополнительной информации).

# ПРИМЕР: Предположим, что клиент
# с общим именем сертификата "Thelonious"
# также имеет небольшую подсеть за своей подключающей
# машиной, такой как 192.168.40.128/255.255.255.248.
# Сначала раскомментируйте эти строки:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Затем создайте файл ccd/Thelonious с этой строкой:
#   iroute 192.168.40.128 255.255.255.248
# Это позволит личной подсети Thelonious
# получить доступ к VPN. Этот пример будет работать
# только если вы маршрутизируете, а не бриджируете, т.е. вы
# используете директивы "dev tun" и "server".

# ПРИМЕР: Предположим, вы хотите предоставить
# Thelonious фиксированный VPN IP-адрес 10.9.0.1.
# Сначала раскомментируйте эти строки:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Затем добавьте эту строку в ccd/Thelonious:
#   ifconfig-push 10.9.0.1 10.9.0.2

# Предположим, что вы хотите включить разные
# политики доступа фаервола для разных групп
# клиентов. Есть два метода:
# (1) Запустите несколько демонов OpenVPN, один для каждой
#     группы и устанавливайте фаервол для интерфейса TUN/TAP
#     для каждой группы/демона соответствующим образом.
# (2) (Расширенный) Создайте скрипт для динамического
#     изменения фаервола в ответ на доступ
#     от разных клиентов. См. man
#     страницу для получения дополнительной информации о скрипте learn-address.
;learn-address ./script

# Если включено, эта директива настроит
# всех клиентов перенаправлять свой дефолтный
# сетевой шлюз через VPN, что приведет к тому,
# что весь IP-трафик, такой как веб-серфинг и
# и DNS-запросы, будет проходить через VPN
# (Машина сервера OpenVPN может потребовать NAT
# или бриджинг интерфейса TUN/TAP в интернет
# для правильного выполнения этой функции).
;push "redirect-gateway def1 bypass-dhcp"

# Определенные специфические для Windows настройки сети
# могут быть переданы клиентам, такие как DNS
# или адреса серверов WINS. ПРЕДУПРЕЖДЕНИЕ:
# http://openvpn.net/faq.html#dhcpcaveats
# Адреса ниже относятся к публичным
# DNS серверам, предоставляемым opendns.com.
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

# Раскомментируйте эту директиву, чтобы разрешить разным
# клиентам "видеть" друг друга.
# По умолчанию клиенты будут видеть только сервер.
# Чтобы заставить клиентов видеть только сервер, вам
# необходимо будет также соответствующим образом установить фаервол на
# интерфейсе TUN/TAP сервера.
;client-to-client

# Раскомментируйте эту директиву, если несколько клиентов
# могут подключаться с одними и теми же сертификатами/ключами
# или общими именами. Это рекомендуется
# только для тестирования. Для использования в производстве
# каждому клиенту следует предоставить свой собственный сертификат/ключ
# пару.
#
# ЕСЛИ ВЫ НЕ СОЗДАЛИ ИНДИВИДУАЛЬНЫЕ
# СЕРТИФИКАТЫ/КЛЮЧИ ДЛЯ КАЖДОГО КЛИЕНТА,
# КАЖДЫЙ С УНИКАЛЬНЫМ "ОБЩИМ ИМЕНЕМ",
# РАСКОММЕНТИРУЙТЕ ЭТУ СТРОКУ.
;duplicate-cn

# Директива keepalive вызывает отправку сообщений, похожих на ping
# взад и вперед по соединению, чтобы каждая сторона знала, когда
# другая сторона отключилась.
# Ping каждые 10 секунд, предположите, что удаленный
# пир отключен, если не получен ping за
# 120-секундный интервал времени.
keepalive 10 120

# Для дополнительной безопасности, помимо той, которую предоставляет
# SSL/TLS, создайте "HMAC фаервол"
# для помощи в блокировке атак DoS и затопления UDP портов.
#
# Сгенерируйте с помощью:
#   openvpn --genkey tls-auth ta.key
#
# Сервер и каждый клиент должны иметь
# копию этого ключа.
# Второй параметр должен быть '0'
# на сервере и '1' на клиентах.
;tls-auth ta.key 0 # Этот файл секретен

# Максимальное количество одновременно подключенных
# клиентов, которых мы хотим разрешить.
;max-clients 100

# Это хорошая идея уменьшить привилегии демона OpenVPN
# после инициализации.
#
# Вы можете раскомментировать это на не-Windows
# системах после создания отдельного пользователя.
;user openvpn
;group openvpn

# Параметры persist пытаются избежать
# доступа к определенным ресурсам при перезапуске
# которые могут больше не быть доступными из-за
# понижения привилегий.
persist-key
persist-tun

# Выводить короткий файл статуса, показывающий
# текущие подключения, обрезанный
# и переписанный каждую минуту.
status /var/log/openvpn/openvpn-status.log

# По умолчанию, журналы сообщений будут направляться в syslog (или
# на Windows, если запущен как служба, они будут отправляться в
# директорию "\Program Files\OpenVPN\log").
# Используйте log или log-append, чтобы переопределить эту настройку по умолчанию.
# "log" будет обрезать файл журнала при старте OpenVPN,
# в то время как "log-append" будет добавлять к нему. Используйте один
# или другой (но не оба).
;log         /var/log/openvpn/openvpn.log
;log-append  /var/log/openvpn/openvpn.log

# Установите соответствующий уровень
# подробно о файле журнала.
#
# 0 - без звука, кроме фатальных ошибок
# 4 - разумно для общего использования
# 5 и 6 могут помочь диагностировать проблемы с подключением
# 9 - чрезвычайно подробно
verb 3

# Тишина повторяющимся сообщениям. Максимум 20
# последовательных сообщений одной и той же категории
# будут выводиться в журнал.
;mute 20

# Уведомить клиента о том, когда сервер перезапускается, чтобы он
# мог автоматически переподключиться.
explicit-exit-notify 1
log-append  /var/log/openvpn/openvpn.log
verb 9

client1.ovpn

client
dev tun
proto udp
remote 54.233.111.111 1194   # изменен IP...
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
data-ciphers AES-256-GCM:AES-128-GCM
data-ciphers-fallback AES-256-CBC
auth SHA256
verb 3
key-direction 1

<ca>
-----BEGIN CERTIFICATE-----
MIIDSzCCAjOgAwIBAgIUZJAIaE86Or8PXG2FHDcvkEp8dcwwDQYJKoZIhvcNAQEL
...
-----END CERTIFICATE-----
</ca>
<cert>
Certificate:
...
</cert>
<key>
-----BEGIN PRIVATE KEY-----
MIIEuwIBADANBgkqhkiG9w0BAQEFAASCBKUwggShAgEAAoIBAQCcKLcQ7uzNtor6
...
</key>
<tls-auth>
# 2048 битный статический ключ OpenVPN
-----BEGIN OpenVPN Static key V1-----
c77fc495b0fda4dbf91452da7ae6ca5f
...
</tls-auth>

setup_openvpn1.sh

#!/bin/bash

set -x
set -e

# Обновить и установить необходимые пакеты
sudo apt update && sudo apt upgrade -y
sudo apt install -y openvpn easy-rsa ufw

# Настройка Easy-RSA
make-cadir ~/easy-rsa
cd ~/easy-rsa
sudo chown -R $USER:$USER ~/easy-rsa

# Инициализировать PKI
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh

# Генерация TLS аутентифицирующего ключа
openvpn --genkey secret ta.key

# Копирование файлов в директорию OpenVPN
sudo cp pki/ca.crt pki/issued/server.crt pki/private/server.key pki/dh.pem ta.key /etc/openvpn/
sudo cp pki/dh.pem /etc/openvpn/dh2048.pem  #DAVID

# Создание конфигурации сервера
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/server.conf
cat <<EOF >>/etc/openvpn/server.conf

log-append  /var/log/openvpn/openvpn.log
verb 9
EOF

# Включить IP-перенаправление
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
sudo sysctl -p /etc/sysctl.conf  #DAVID


# Настройка UFW
sudo ufw allow 1194/udp
sudo ufw allow OpenSSH
sudo ufw enable

# Запустить и включить OpenVPN
sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

sudo journalctl -u openvpn@server -xe | cat
sudo systemctl status openvpn@server | cat


# Генерация сертификата клиента
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

# Создание конфигурации клиента
# OUTPUT_CLIENT_OVPN_FILE=~/client1.ovpn
OUTPUT_CLIENT_OVPN_FILE=/home/ubuntu/client1.ovpn
SERVER_IP=$(curl ifconfig.me)
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf $OUTPUT_CLIENT_OVPN_FILE
sed -i "s/my-server-1/$SERVER_IP/g" $OUTPUT_CLIENT_OVPN_FILE
sed -i '/^ca /d; /^cert /d; /^key /d' $OUTPUT_CLIENT_OVPN_FILE

cat <<EOF >> $OUTPUT_CLIENT_OVPN_FILE

<ca>
$(cat /etc/openvpn/ca.crt)
</ca>
<cert>
$(cat ~/easy-rsa/pki/issued/client1.crt)
</cert>
<key>
$(cat ~/easy-rsa/pki/private/client1.key)
</key>
<tls-auth>
$(cat /etc/openvpn/ta.key)
</tls-auth>
EOF

chown ubuntu:ubuntu /home/ubuntu/client1.ovpn
echo "Установка сервера OpenVPN завершена."
echo "Файл конфигурации клиента создан по адресу $OUTPUT_CLIENT_OVPN_FILE"

server2.conf

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
data-ciphers AES-256-GCM:AES-128-GCM
data-ciphers-fallback AES-256-CBC
auth SHA256
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0
key-direction 0
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
explicit-exit-notify 1

client2.ovpn

client
dev tun
proto udp
remote 54.233.139.209 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
data-ciphers AES-256-GCM:AES-128-GCM
data-ciphers-fallback AES-256-CBC
auth SHA256
verb 3
key-direction 1

<ca>
-----BEGIN CERTIFICATE-----
MIIDSzCCAjOgAwIBAgIULruzihoDOmuco3yAXktnMO83AYcwDQYJKoZIhvcNAQEL
...
</ca>
<cert>
Certificate:
...
</cert>
<key>
-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC14WXJb9OQ8fdG
...
</key>
<tls-auth>
# 2048 битный статический ключ OpenVPN
-----BEGIN OpenVPN Static key V1-----
ed8ad4e02cfebe2e007301b7676c56f9
...
</tls-auth>

setup_openvpn2.sh

#!/bin/bash

# https://ubuntu.com/server/docs/how-to-install-and-use-openvpn

set -x
set -e

# Обновить и установить необходимые пакеты
sudo apt update && sudo apt upgrade -y
sudo apt install -y openvpn easy-rsa ufw

# Настройка Easy-RSA
make-cadir ~/easy-rsa
cd ~/easy-rsa
sudo chown -R $USER:$USER ~/easy-rsa

# Инициализировать PKI
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh

# Генерация TLS аутентифицирующего ключа
openvpn --genkey secret ta.key

# Копирование файлов в директорию OpenVPN
sudo cp pki/ca.crt pki/issued/server.crt pki/private/server.key pki/dh.pem ta.key /etc/openvpn/

# Создание конфигурации сервера
cat <<EOF | sudo tee /etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
data-ciphers AES-256-GCM:AES-128-GCM
data-ciphers-fallback AES-256-CBC
auth SHA256
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0
key-direction 0
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
explicit-exit-notify 1
EOF

# Включить IP-перенаправление
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

# Настройка UFW
sudo ufw allow 1194/udp
sudo ufw allow OpenSSH
sudo ufw enable

# Запустить и включить OpenVPN
sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

# Генерация сертификата клиента
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

# Создание конфигурации клиента
OUTPUT_DIR=~/client-configs/files
mkdir -p "$OUTPUT_DIR"

SERVER_IP=$(curl ifconfig.me)
cat <<EOF > "$OUTPUT_DIR/client1.ovpn"
client
dev tun
proto udp
remote $SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
data-ciphers AES-256-GCM:AES-128-GCM
data-ciphers-fallback AES-256-CBC
auth SHA256
verb 3
key-direction 1

<ca>
$(cat /etc/openvpn/ca.crt)
</ca>
<cert>
$(cat ~/easy-rsa/pki/issued/client1.crt)
</cert>
<key>
$(cat ~/easy-rsa/pki/private/client1.key)
</key>
<tls-auth>
$(cat /etc/openvpn/ta.key)
</tls-auth>
EOF

echo "Установка сервера OpenVPN завершена."
echo "Файл конфигурации клиента создан по адресу $OUTPUT_DIR/client1.ovpn"