Błąd uwierzytelnienia OpenVPN HMAC Bez względu na to, co robię?

14

Mam problem z moim serwerem openvpn z systemem Debian Wheezy x64 i moim klientem z systemem Ubuntu 14.10 x64. Wydaje się, że bez względu na to, jakie konfiguracje próbuję, ten błąd pojawia się w kółko, co najmniej kilka razy na minutę:

Mon Mar  9 22:14:10 2015 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Mar  9 22:14:10 2015 TLS Error: incoming packet authentication failed from [AF_INET] x.x.x.(clientip)

Korzystam z tej konfiguracji na serwerze:

local x.x.x.x
port xxxx
proto udp
dev tun
ca /etc/openvpn/.certs/ca.crt
cert /etc/openvpn/.certs/[email protected]
key /etc/openvpn/.certs/[email protected]
dh /etc/openvpn/.certs/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir clients
client-to-client
keepalive 7 80
tls-auth /etc/openvpn/.certs/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 3
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
tun-mtu 1500
auth SHA256

A na kliencie konfiguracją zarządza menedżer sieci, ale mam poprawny kierunek klucza, poprawny certyfikat tls, pasujące mtu, dyrektywę auth SHA256 i ustawiono weryfikację nazwy wyróżniającej itp. Czy istnieje coś mi brakuje?

Próbowałem różnych szyfrów uwierzytelniania, regenerując klucz tls (przy pomocy --gen-key --secret ta.key), a błąd nadal występuje. VPN działa dobrze, chociaż moje prędkości są nieco niższe niż powinny. Każda pomoc będzie mile widziana.

openvpn Chev_603
źródło
Próbuję rozwiązać ten sam problem, w międzyczasie ręcznie uruchamiam openvpn jako usługę. Jest to znany problem, network-manager wydaje się być tylko w stanie uruchomić domyślny SHA1 https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/1217094

Odpowiedzi:

14

Właściwie rozwiązaniem w moim przypadku było dodanie tych dyrektyw do server.conf:

mode server
tls-server

A potem do konfiguracji klienta:

 tls-client

A jeśli używasz wbudowanego klucza tls przez <tls-auth>, dodaj

key-direction 1

Jeśli używasz menedżera sieci, upewnij się, że zaznaczone jest „oczekiwanie uwierzytelnienia tls”.

Chev_603
źródło
2
Śledziłem twój post, ale nic się nie wydarzyło: (
tq
Wpadłem dzisiaj na ten sam problem. Wydaje się to poprawne, upewnij się, że kierunek klucza jest odpowiednio ustawiony. Korzystając z powyższej konfiguracji, jeśli twój klient key-direction 1skonfigurował serwer tak key-direction 0. To rozwiązało mój problem
Kevin
Innym źródłem błędu może być cipherjawne określenie i ustawienie niewłaściwej wartości.
arrowd
3

Dodanie linii uwierzytelniania i szyfru pasujących do linii w pliku server.conf do pliku .conf klienta powinno wystarczyć. Lub jeśli używasz Menedżera sieci dla klienta, kliknij Uwierzytelnianie szyfru i HMAC i dodaj ustawienia w wierszach szyfru i uwierzytelniania z server.conf. To powinno działać.

SinaOwolabi
źródło