Відкриття ключа OpenVPN - TLS не відбулося протягом 60 секунд

2

У мене виникають проблеми з підключенням до моєї домашньої мережі VPN через ноутбук, підключений до мобільної точки доступу.

Клієнт OpenVPN клієнта виглядає наступним чином: 

trevor@xps:~$ sudo openvpn --config ~/dev/net/vpn/vpn.sears.network.ovpn 
[sudo] password for trevor: 
Wed Aug 22 11:53:55 2018 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Wed Aug 22 11:53:55 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.08
Wed Aug 22 11:53:55 2018 WARNING: you are using user/group/chroot/setcon without persist-tun -- this may cause restarts to fail
Wed Aug 22 11:53:55 2018 WARNING: you are using user/group/chroot/setcon without persist-key -- this may cause restarts to fail
Wed Aug 22 11:53:55 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]97.83.39.84:1194
Wed Aug 22 11:53:55 2018 UDP link local (bound): [AF_INET][undef]:1194
Wed Aug 22 11:53:55 2018 UDP link remote: [AF_INET]97.83.39.84:1194
Wed Aug 22 11:53:55 2018 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Wed Aug 22 11:54:55 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Aug 22 11:54:55 2018 TLS Error: TLS handshake failed
Wed Aug 22 11:54:55 2018 SIGUSR1[soft,tls-error] received, process restarting
^CWed Aug 22 11:54:59 2018 SIGINT[hard,init_instance] received, process exiting

Інформація про сервер і клієнт: 

Server Info:
    OS: CentOS 7
    OpenVPN version: 2.4.6

Client Info:
    OS: Debian 9
    OpenVPN version: 2.4.0

З локальної мережі сервера: 

trevor@xps:~$ sudo nmap -sU -p 1194 192.168.2.104
[sudo] password for trevor: 

Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-22 16:23 EDT
Nmap scan report for 192.168.2.104
Host is up (0.0049s latency).
PORT     STATE    SERVICE
1194/udp filtered openvpn
MAC Address: 1E:FB:74:5F:D6:C5 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.66 seconds

Через Інтернет / через точку доступу: 

trevor@xps:~$ sudo nmap -sU -p 1194 vpn.sears.network
[sudo] password for trevor:

Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-22 16:27 EDT
Nmap scan report for vpn.sears.network (97.83.39.84)
Host is up (0.088s latency).
rDNS record for 97.83.39.84: 97-83-39-84.dhcp.trcy.mi.charter.com
PORT     STATE    SERVICE
1194/udp filtered openvpn

Nmap done: 1 IP address (1 host up) scanned in 0.83 seconds

На сервері: 

[root@vpn ~]# netstat -uapn | grep openvpn
udp    0    0 192.168.2.104:1194    0.0.0.0:*                  14096/openvpn

У мене є налаштування правила переадресації на маршрутизаторі: 

External 97.83.39.84:1194 --> Internal 192.168.2.104:1194

Можна знайти мій файл конфігурації сервера тут .

Можна знайти файл конфігурації мого клієнта тут .

І, як він стоїть, я взагалі не зміг підключитися до vpn, як ви бачите в журналі вище. Хто-небудь знає, що тут може відбуватися?

networking  vpn  openvpn 
Trevor Sears
джерело
Зверніть увагу, що ваш фактичний клієнт OpenVPN налаштований на використання UDP, тому марно намагатися сканувати TCP через nmap. Протоколи просто використовують один і той же номер порту.
grawity
@grawity Ах, вірно! Дякую, я оновив питання відповідним скануванням.
Trevor Sears

Відповіді:

0

У файлі клієнта відсутній рядок: 

cipher AES-256-CBC

I думаю це єдина проблема, яка є у вас, решта серверної та клієнтської конфігурації виглядає чудово, згідно з документацією. Мої налаштування дещо інші, тому я не можу безпосередньо порівнювати ...

Що стосується перевірки порту, nmap не дасть вам жодної корисної інформації, на жаль. Вона посилатиме порожній UDP-пакет до цього порту, сподіваючись, що запущений сервіс відповість; у випадку з OpenVPN це не буде. Що стосується nmap, то порт може бути відкритим, або тихо падати пакети. Ми знаємо лише про те, що ви не відхиляєте (наприклад, з iptables) з'єднання, тому що немає ICMP-повідомлення. Оскільки UDP не має статусу, не існує відкриття TCP-з'єднання незалежно від запущеного сервісу, тому він просто використовує пакунок "хіт-і-надія". Nmap є протоколом, тому, наприклад, якщо ви скануєте порт 53, він фактично відправляє запит статусу DNS-сервера (0x1000), до якого він повинен отримати відповідь, але немає жодного еквіваленту "ви живі" OpenVPN запит з очевидних причин.

Перед тестуванням через Інтернет змінити конфігурацію клієнта на 

remote 192.168.2.104 1194 udp

щоб дізнатися, чи можна з'єднатися локально, просто щоб бути впевненим.

Якщо у вас все ще виникають проблеми, варто перевірити, чи розумно теж ви йдете про генерацію сертифікатів.

HTH!

Hygrinet
джерело
На жаль, це, здається, не допомогло: / Я все ще отримую точно такий же потік виходу, як і раніше. Дякуємо за спробу, хоча!
Trevor Sears
Я отримаю вашу конфігурацію встановлену у моїй лабораторії цей тиждень та дивлюся якщо я можу рахувати це. Повинен бути сортувальний, право ?!
Hygrinet
Дуже дякую! Я дуже ціную те, що ви виходите зі свого шляху, щоб зробити це для мене!
Trevor Sears
Не забули ви Тревор - просто робите бій з лабораторією!
Hygrinet
Я розумію, не потрібно пояснювати себе! Ви все-таки робите мені цю послугу!
Trevor Sears
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.