[ Megoldva ] OpenVPN kapcsolódási probléma

Linux-security

Van egy 2.3-as OpenVPN szerverem, amihez jelenleg egy 2.5-ös OpenVPN klienssel kapcsolódom sikeresen.

Gépköltözés miatt szeretnék egy már újabb verziójú, 2.6-os OpenVPN klienssel is felkapcsolódni. Mindkét kliens Debian Gnome alatti.

Az új gépen azonban nem épül ki a VPN kapcsolat. A szerver naplójában sokszor ismétlődő

MULTI: multi_create_instance called
Re-using SSL/TLS context
LZO compression initialized
Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Local Options String: 'V4,dev-type tap,link-mtu 1590,tun-mtu 1532,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Expected Remote Options String: 'V4,dev-type tap,link-mtu 1590,tun-mtu 1532,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-
Local Options hash (VER=V4): '1a6d5c5d'
Expected Remote Options hash (VER=V4): 'c6c7c21a'
TLS: Initial packet from [AF_INET]178.164.216.47:39311, sid=2440f1b9 47406e0d

sorok után egyedül a

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

hibaüzenetet találom. A szerver alapértelmezetten a BF-CBC cipher-t használta, ami már nem használható 2.6 alatt. Ezt átváltottam AES-256-CBC -re. A régi géppel így is rendben kiépül a kapcsolat, az új géppel így sem.

Mindkét gép ugyanarról a hálózatról próbál meg kapcsolódni, ugyanazokkal a paraméterekkel. (Természetesen a hitelesítési kulcsa a klienseknek egyedi.)

Ha lenne valakinek ötlete, hogy merre keressem a hibát, vagy hogy mire próbál utalni a hibaüzenet, azt örömmel olvasnám.

Megoldás: mind a kliens, mind a szerver konfigurációjában be kell állítani a "tls-version-min" értékét, ráadásul azonosra.

  • 166 megtekintés

Végül a kliens oldalon is parancssorral kapcsolódtam fel, hogy lássam a hibaüzeneteket, és így elárulta, hogy a tls-version-min értéke nem ugyanarra van beállítva. Tehát hiába tudja mindkét oldal a TLS 1.2 verziót, ha ez nincs mindkét konfigurációban beállítva, nem megy.

( Zs | 2023. 04. 08., szo – 22:45 )

Szerintem nem jutsz el oda, hogy bármiféle TLS kommunikáció történjen. Az openvpn alapértelmezetten UDP kapcsolatot használ, az meg stateles. Az, hogy pont 60 másodperc után koppan ki a kapcsolódás, sokkal inkább sejteti azt, hogy az UDP connection failed, mint hogy kellett 60 másodperc arra, hogy rájöjjön, hogy TLS gebasz van.

Opciók:
1) átállsz TCP kapcsolatra - az valószínű menni fog, de ha nem, akkor mivel itt megvan a 3 lépéses kézfogás, ha a kapcsolat nem épül fel, akkor connection timed out lesz,
2) tcpdumppal a szerveren csekkolod, hogy beesik-e a kérés a klienstől, illetve megy-e rá válasz a szervertől (volt olyan szolgáltató, amelyik alapértelmezettem tiltotta az ismeretlen UDP forgalmat)