OpenVPN - negociação de chave TLS falhou em ocorrer dentro de 60 segundos

Question

OpenVPN - negociação de chave TLS falhou em ocorrer dentro de 60 segundos

#1 resposta do (0 votos)

2

Estou com problemas para me conectar à minha VPN doméstica por meio do meu laptop, que está conectado a um ponto de acesso móvel.

O log do cliente OpenVPN é o seguinte:

trevor@xps:~$ sudo openvpn --config ~/dev/net/vpn/vpn.sears.network.ovpn 
[sudo] password for trevor: 
Wed Aug 22 11:53:55 2018 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Wed Aug 22 11:53:55 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.08
Wed Aug 22 11:53:55 2018 WARNING: you are using user/group/chroot/setcon without persist-tun -- this may cause restarts to fail
Wed Aug 22 11:53:55 2018 WARNING: you are using user/group/chroot/setcon without persist-key -- this may cause restarts to fail
Wed Aug 22 11:53:55 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]97.83.39.84:1194
Wed Aug 22 11:53:55 2018 UDP link local (bound): [AF_INET][undef]:1194
Wed Aug 22 11:53:55 2018 UDP link remote: [AF_INET]97.83.39.84:1194
Wed Aug 22 11:53:55 2018 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Wed Aug 22 11:54:55 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Aug 22 11:54:55 2018 TLS Error: TLS handshake failed
Wed Aug 22 11:54:55 2018 SIGUSR1[soft,tls-error] received, process restarting
^CWed Aug 22 11:54:59 2018 SIGINT[hard,init_instance] received, process exiting

Informações do servidor e do cliente:

Server Info:
    OS: CentOS 7
    OpenVPN version: 2.4.6

Client Info:
    OS: Debian 9
    OpenVPN version: 2.4.0

Da rede local do servidor:

trevor@xps:~$ sudo nmap -sU -p 1194 192.168.2.104
[sudo] password for trevor: 

Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-22 16:23 EDT
Nmap scan report for 192.168.2.104
Host is up (0.0049s latency).
PORT     STATE    SERVICE
1194/udp filtered openvpn
MAC Address: 1E:FB:74:5F:D6:C5 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.66 seconds

Através da internet / através do hotspot:

trevor@xps:~$ sudo nmap -sU -p 1194 vpn.sears.network
[sudo] password for trevor:

Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-22 16:27 EDT
Nmap scan report for vpn.sears.network (97.83.39.84)
Host is up (0.088s latency).
rDNS record for 97.83.39.84: 97-83-39-84.dhcp.trcy.mi.charter.com
PORT     STATE    SERVICE
1194/udp filtered openvpn

Nmap done: 1 IP address (1 host up) scanned in 0.83 seconds

No servidor:

[root@vpn ~]# netstat -uapn | grep openvpn
udp    0    0 192.168.2.104:1194    0.0.0.0:*                  14096/openvpn

E eu tenho uma configuração de regra de encaminhamento no roteador:

External 97.83.39.84:1194 --> Internal 192.168.2.104:1194

Meu arquivo de configuração do servidor pode ser encontrado aqui .

Meu arquivo de configuração do cliente pode ser encontrado aqui .

E, como está, não consegui me conectar ao vpn, como você vê no log acima. Alguém sabe o que pode estar acontecendo aqui?

networking vpn openvpn

por Trevor Sears 22.08.2018 / 18:09

1 resposta

Tags networking vpn openvpn

Script de logon do Citrix Xendesktop para criar pasta compartilhada com base no endereço IP Definir LD_LIBRARY_PATH para apontar para um backup de sudo não funciona

score 0 · Answer 1

Você está perdendo uma linha no arquivo do cliente:

cipher AES-256-CBC

Eu acho que é o único problema que você tem, o resto da configuração do servidor e do cliente parece bem, de acordo com a documentação. Minhas configurações são um pouco diferentes, então não posso comparar diretamente ...

Com relação ao seu teste de porta, o nmap não lhe dará nenhuma informação útil, infelizmente. Ele enviará um pacote UDP vazio para essa porta, na esperança de que o serviço em execução responda; no caso do OpenVPN, não. No que diz respeito ao nmap, a porta poderia estar aberta ou silenciosamente descartando pacotes. Tudo o que sabemos é que você não está rejeitando (isto é, com iptables) conexões porque não há nenhuma mensagem inacessível do ICMP. Como o UDP é stateless, não há abertura de uma conexão TCP, independentemente do serviço em execução, portanto, ele usa apenas um pacote de hit-and-hope. O Nmap reconhece o protocolo, portanto, por exemplo, se você verificar a porta 53, ele envia a consulta de solicitação de status do servidor DNS (0x1000) à qual deve receber uma resposta, mas não há equivalente à solicitação OpenVPN "por você". p>

Antes de testar sua internet, altere a configuração do cliente para

remote 192.168.2.104 1194 udp

para ver se você pode se conectar localmente, só para ter certeza.

Se você ainda estiver com problemas, vale a pena verificar se você também desenvolveu a geração de certificados de maneira sensata.

HTH!