Por que o cliente OpenVPN falha ao iniciar (tempo limite TLS) quando o sinal wifi não é o ideal?

1

Tenho clientes OpenVPN rodando em dispositivos Carambola2 [1] e quando eu uso 3G / UMTS furar ou Ethernet com fio, em seguida, os clientes OpenVPN estabelecer túnel VPN cada vez.

Quando o wifi é usado, então o cliente OpenVPN falha devido ao tempo limite de TLS se o sinal do wifi não for perfeito 10/10! Os logs mostram tempos limite LS após 60 segundos.

Se o dispositivo carambola (clientes) estiver no mesmo espaço que o AP, o OpenVPN será estabelecido sem nenhum problema!

Quando o dispositivo carambola em outro quarto (duas paredes entre ele e AP, o sinal mostra torno 80dBm), não há sibilos deixado cair, mas OpenVPN falhar depois de 60 segundos, porque devido ao TLS tempo limite.

Eu tentei configuração "TLS-timeout 120" em clientes e no servidor, mas estes ainda está TLS tempo limite após 60 segundos, o que estou fazendo de errado?

Devo mudar para tcp em vez de udp no servidor OpenVPN? Existem outros ajustes que eu possa tentar?

Eu li que os dispositivos às vezes menos poderosos (smartphons e roteadores casa wi-fi pequenas) ou ao usar conexão muito lenta (GPRS na área com cobertura de sinal baixo) causar problemas de tempo limite TLS durante TLS aperto de mão, porque um tempo limite ocorre antes que os clientes são feitas calcular as respectivas chaves de sessão.

Mas porque é que estes dispositivos estabelecer a conexão OpenVPN sem TLS tempo limite quando o sinal wifi é ideal 10/10?

[1] ligação

    
por valentt 09.03.2014 / 23:26

2 respostas

1

   --hand-window n
          Handshake  Window  -- the TLS-based key exchange must finalize within n seconds of handshake initiation by any peer (default = 60 seconds).  If the handshake fails we
          will attempt to reset our connection with our peer and try again.  Even in the event of handshake failure we will still use our expiring key for up  to  --tran-window
          seconds to maintain continuity of transmission of tunnel data.                                                                                                             
    
por 24.02.2017 / 15:17
0

Você deve tentar usar reneg-sec 0 .

Apenas dizendo.

    
por 16.05.2015 / 03:40