Не удалось выполнить согласование ключа OpenVPN-TLS в течение 60 секунд

у меня возникли проблемы с подключением к моему домашнему VPN через мой ноутбук, который подключен к мобильной точке доступа.

клиент OpenVPN log выглядит следующим образом:

trevor@xps:~$ sudo openvpn --config ~/dev/net/vpn/vpn.sears.network.ovpn 
[sudo] password for trevor: 
Wed Aug 22 11:53:55 2018 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Wed Aug 22 11:53:55 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.08
Wed Aug 22 11:53:55 2018 WARNING: you are using user/group/chroot/setcon without persist-tun -- this may cause restarts to fail
Wed Aug 22 11:53:55 2018 WARNING: you are using user/group/chroot/setcon without persist-key -- this may cause restarts to fail
Wed Aug 22 11:53:55 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]97.83.39.84:1194
Wed Aug 22 11:53:55 2018 UDP link local (bound): [AF_INET][undef]:1194
Wed Aug 22 11:53:55 2018 UDP link remote: [AF_INET]97.83.39.84:1194
Wed Aug 22 11:53:55 2018 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Wed Aug 22 11:54:55 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Aug 22 11:54:55 2018 TLS Error: TLS handshake failed
Wed Aug 22 11:54:55 2018 SIGUSR1[soft,tls-error] received, process restarting
^CWed Aug 22 11:54:59 2018 SIGINT[hard,init_instance] received, process exiting

информация о сервере и клиенте:

Server Info:
    OS: CentOS 7
    OpenVPN version: 2.4.6

Client Info:
    OS: Debian 9
    OpenVPN version: 2.4.0

из локальной сети сервера:

trevor@xps:~$ sudo nmap -sU -p 1194 192.168.2.104
[sudo] password for trevor: 

Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-22 16:23 EDT
Nmap scan report for 192.168.2.104
Host is up (0.0049s latency).
PORT     STATE    SERVICE
1194/udp filtered openvpn
MAC Address: 1E:FB:74:5F:D6:C5 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.66 seconds

через интернет/через точки:

trevor@xps:~$ sudo nmap -sU -p 1194 vpn.sears.network
[sudo] password for trevor:

Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-22 16:27 EDT
Nmap scan report for vpn.sears.network (97.83.39.84)
Host is up (0.088s latency).
rDNS record for 97.83.39.84: 97-83-39-84.dhcp.trcy.mi.charter.com
PORT     STATE    SERVICE
1194/udp filtered openvpn

Nmap done: 1 IP address (1 host up) scanned in 0.83 seconds

на сервере:

[root@vpn ~]# netstat -uapn | grep openvpn
udp    0    0 192.168.2.104:1194    0.0.0.0:*                  14096/openvpn

и у меня есть правило переадресации на маршрутизаторе:

External 97.83.39.84:1194 --> Internal 192.168.2.104:1194

мой сервер файл конфигурации можно найти здесь.

моя файл конфигурации клиента можно найти здесь.

и, как он стоит, я не смог подключиться к vpn, как вы видите в журнале выше. Кто-нибудь знает, что здесь может происходить?

18
задан Trevor Sears
14.04.2023 6:29 Количество просмотров материала 2915
Распечатать страницу

1 ответ

в клиентском файле отсутствует строка:

cipher AES-256-CBC

I think это единственная проблема, которая у вас есть, остальная часть конфигурации сервера и клиента выглядит нормально, согласно документации. Мои конфиги несколько отличаются, поэтому я не могу напрямую сравнивать...

что касается вашего теста порта, nmap, к сожалению, не даст вам никакой полезной информации. Это отправит пустой пакет UDP к тому порту в надежде, что выполнение сервиса ответит; в случае OpenVPN-нет. Что касается nmap, то порт может быть открыт или автоматически отбрасывать пакеты. Все, что мы знаем, это то, что вы не отвергаете (т. е. с iptables) соединения, потому что нет ICMP недостижимое сообщение. Поскольку UDP не имеет состояния, TCP-соединение не открывается независимо от запущенной службы,поэтому он просто использует пакет hit-and-hope. Nmap поддерживает протокол, поэтому, например, если вы сканируете порт 53, он фактически отправляет запрос о состоянии DNS-сервера (0x1000) на который он должен получить ответ, но нет эквивалентного запроса OpenVPN "are you alive", по понятным причинам.

перед тестированием через ваш интернет измените конфигурацию клиента на

remote 192.168.2.104 1194 udp

чтобы увидеть, если вы можете подключиться локально, просто чтобы быть уверенным.

Если у вас все еще есть проблемы, то стоит проверить, что вы пошли о генерации сертификатов разумно тоже.

HTH!

0
отвечен Hygrinet 2023-04-15 14:17

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх