Назад | Перейти на главную страницу

Исправьте ошибку TLS: сбой подтверждения TLS на клиенте OpenVPN

Я настраиваю OpenVPN 2.3.6-1 на своем сервере Arch Linux для шифрования трафика SMB в общедоступном Интернете. Когда я тестирую настройку на одном из клиентов виртуальной машины Linux, я получаю сообщение об ошибке: TLS Error: TLS handshake failed.

Я быстро читаю (OpenVPN на OpenVZ Ошибка TLS: не удалось выполнить рукопожатие TLS (предлагаемые Google решения не помогают)) и попытался переключиться с UDP по умолчанию на TCP, но это только заставило клиента неоднократно сообщать, что время ожидания соединения истекло. Я также попытался отключить шифрование и аутентификацию TLS, но это привело к сбою сервера с Assertion failed at crypto_openssl.c:523. В обоих случаях требуемые изменения были внесены в конфигурацию клиента и сервера.

Я следовал инструкциям на (https://wiki.archlinux.org/index.php/OpenVPN) для настройки OpenVPN и инструкции на (https://wiki.archlinux.org/index.php/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts) для создания ключей и сертификатов. Единственные отклонения, которые я сделал от этих инструкций, - это указание имен моих собственных компьютеров и соответствующих им имен файлов ключей / сертификатов.

См. Также мой исходный вопрос о защите SMB-трафика через Интернет: (Простое шифрование для общих ресурсов Samba)

Кто-нибудь может объяснить, как я могу решить эту проблему?

Подробности:

Сервер: Arch Linux (последняя версия), подключенный напрямую к шлюзу через кабель Ethernet. Никаких iptables.

Клиент: виртуальная машина Arch Linux (последняя версия) на VirtualBox 4.3.28r100309, хост Windows 8.1, сетевой адаптер с мостовым подключением. Никаких iptables. Брандмауэр Windows отключен.

Шлюз: включена переадресация порта для порта 1194, ограничений брандмауэра нет.

Вот файлы конфигурации на сервере и клиенте соответственно. Я создал их в соответствии с инструкциями на Arch Wiki.

/etc/openvpn/server.conf (Только строки без комментариев):

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server-name.crt
key /etc/openvpn/server-name.key
dh /etc/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

/etc/openvpn/client.conf (Только строки без комментариев):

client
dev tun
proto udp
remote [my public IP here] 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client-name.crt
key /etc/openvpn/client-name.key
remote-cert-tls server
tls-auth /etc/openvpn/ta.key 1
comp-lzo
verb 3

Вот результаты запуска openvpn на машинах с вышеуказанными конфигурациями. Сначала я запустил сервер, затем клиент.

Выход openvpn /etc/openvpn/server.conf на сервере:

Thu Jul 30 17:02:53 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec  2 2014
Thu Jul 30 17:02:53 2015 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.09
Thu Jul 30 17:02:53 2015 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Jul 30 17:02:53 2015 Diffie-Hellman initialized with 2048 bit key
Thu Jul 30 17:02:53 2015 Control Channel Authentication: using '/etc/openvpn/ta.key' as a OpenVPN static key file
Thu Jul 30 17:02:53 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 30 17:02:53 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 30 17:02:53 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Thu Jul 30 17:02:53 2015 ROUTE_GATEWAY 192.168.0.1/255.255.255.0 IFACE=enp5s0 HWADDR=##:##:##:##:##:##
Thu Jul 30 17:02:53 2015 TUN/TAP device tun0 opened
Thu Jul 30 17:02:53 2015 TUN/TAP TX queue length set to 100
Thu Jul 30 17:02:53 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Jul 30 17:02:53 2015 /usr/bin/ip link set dev tun0 up mtu 1500
Thu Jul 30 17:02:53 2015 /usr/bin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Thu Jul 30 17:02:53 2015 /usr/bin/ip route add 10.8.0.0/24 via 10.8.0.2
Thu Jul 30 17:02:53 2015 GID set to nobody
Thu Jul 30 17:02:53 2015 UID set to nobody
Thu Jul 30 17:02:53 2015 UDPv4 link local (bound): [undef]
Thu Jul 30 17:02:53 2015 UDPv4 link remote: [undef]
Thu Jul 30 17:02:53 2015 MULTI: multi_init called, r=256 v=256
Thu Jul 30 17:02:53 2015 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Thu Jul 30 17:02:53 2015 IFCONFIG POOL LIST
Thu Jul 30 17:02:53 2015 Initialization Sequence Completed

Выход openvpn /etc/openvpn/client.conf на клиенте:

Thu Jul 30 21:03:02 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec  2 2014
Thu Jul 30 21:03:02 2015 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.09
Thu Jul 30 21:03:02 2015 WARNING: file '/etc/openvpn/client-name.key' is group or others accessible
Thu Jul 30 21:03:02 2015 WARNING: file '/etc/openvpn/ta.key' is group or others accessible
Thu Jul 30 21:03:02 2015 Control Channel Authentication: using '/etc/openvpn/ta.key' as a OpenVPN static key file
Thu Jul 30 21:03:02 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 30 21:03:02 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 30 21:03:02 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Thu Jul 30 21:03:02 2015 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Thu Jul 30 21:03:02 2015 UDPv4 link local: [undef]
Thu Jul 30 21:03:02 2015 UDPv4 link remote: [AF_INET][my public IP here]:1194
Thu Jul 30 21:04:02 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jul 30 21:04:02 2015 TLS Error: TLS handshake failed
Thu Jul 30 21:04:02 2015 SIGUSR1[soft,tls-error] received, process restarting
Thu Jul 30 21:04:02 2015 Restart pause, 2 second(s)

openvpn

У меня тоже была эта проблема.

Я использую провайдера digitalocean для своего сервера, и проблема связана с функцией плавающего IP.

Чтобы исправить это, вам нужно обновить настройку конфигурации openvpn:

local <ip anchor>

IP-адрес должен быть IP-адресом, полученным из ip addr команду, см. пример:

Кредиты на это сообщение

Как предположили Майкл Хэмптон и Михал Соколовски в комментариях к моему вопросу, это была проблема с правилом переадресации портов, которое я создал на своем шлюзе. OpenVPN настроен на использование UDP, и я забыл переключиться с TCP на UDP на шлюзе, поскольку обычно я не использую этот протокол. Правило пересылки теперь использует UDP, и мой VPN работает.

Моя текущая конфигурация будет работать в некоторых странах, но не в других. Я подозреваю, что мой текущий провайдер блокирует пакет подтверждения TLS. Решение? Поскольку я единственный, кто использует эту VPN, я перешел на аутентификацию со статическим ключом, которая в моем случае оказалась очень быстрой. https://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html

Если он появляется после обновления ядра ОС. Или входящие пакеты отображаются в tcpdump на сервере, но все равно не работают. Попробуйте простой брандмауэр отключить / включить. Может кому поможет.

sudo ufw disable
sudo ufw enable

У меня возникла эта проблема из-за неправильно настроенного шлюза по умолчанию на стороне сервера. Сервер OpenVPN получал попытку подключения от клиента, но ответ терялся, потому что он не достиг нужного маршрутизатора.

Просто у меня была эта проблема. При проверке моего файла .ovpn я увидел, что? .Ddns.net был изменен на IP-адрес, поэтому он не подключился. Я изменил IP обратно на адрес? .Ddns.net, и он подключился.