LINUX.ORG.RU
ФорумGeneral

Вопрос по OpenVPN

 


0

0

Настраиваю небольшую сеть по OpenVPN. Приходится иногда добавлять новых клиентов, и при каждом добавлении клиента вылезает куча ошибок среди них актуальная:

TLS Error: cannot locate HMAC in incoming packet from [AF_INET]ХХХ.ХХХ.ХХ.ХХХ:1194

Есть подозрение на ta.key. Вопрос в том: При подключении новых клиентов в openvpn надо только сделать ключ клиента, или еще надо переделать ta.key ?

ssh Bad owner or permissions on
Проблема с монтированием на Xubuntu 17.10

Что такое ta.key? Покажите конфиги сервера и клиента. Насколько помню, подобная ошибка может возникать, если у сервера и клиента прописаны разные шифры/хэши.

lu4nik ★★★
()
Ответ на: комментарий от lu4nik

Новая ошибка: «Authenticate/Decrypt packet error: packet HMAC authentication failed TLS Error: incoming packet authentication failed from [AF_INET]192.168.88.180:1194 » Сервер уже работает с одним клиентом в другой подсети. Новый клиент и сервер в одной подсети.

Когда добавлял нового клиента просто добавил его сертефикат, то бишь «build-key client» и отправил ключи на машину клиента

Вот конфиг сервера: 

dev tun
proto udp
port 1194
tls-server
ca "C:\\Program Files\\OpenVPN\\ssl\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\ssl\\server.crt" 
key "C:\\Program Files\\OpenVPN\\ssl\\server.key" 
dh "C:\\Program Files\\OpenVPN\\ssl\\dh1024.pem" 
server 10.8.0.0 255.255.255.0 
cipher AES-128-CBC 
persist-key 
tls-auth "C:\\Program Files\\OpenVPN\\ssl\\ta.key" 0
client-to-client 
client-config-dir "C:\\Program Files\\OpenVPN\\ccd" 
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ccd\\ipp.txt"  
status "C:\\Program Files\\OpenVPN\\log\\logopenvpn-status.log" 
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log" 
tun-mtu 1500 
comp-lzo 
mssfix 
keepalive 10 120
verb 3
Вот конфиг клиента:

dev tun 
proto udp 
remote 192.168.88.168 1194
route-delay 3 
client 
tls-client 
remote-cert-tls server
ca "C:\\Program Files\\OpenVPN\\ssl\\ca.crt" 
cert "C:\\Program Files\\OpenVPN\\ssl\\maindesktop.crt" 
key "C:\\Program Files\\OpenVPN\\ssl\\maindesktop.key" 
tls-auth "C:\\Program Files\\OpenVPN\\ssl\\ta.key" 0 
cipher AES-128-CBC 
comp-lzo 
mssfix
tun-mtu 1500
ping-restart 300
ping 10 
verb 4

Буду очень благодарен за помощь

tech_cerberus
() автор топика
Ответ на: комментарий от tech_cerberus

Ошибка в конфиге: в tls-auth в конце надо использовать разные цифры для клиента и сервера (direction). Например, на клиенте должно быть 0, а на сервере 1, или наоборот. Или вообще опустить тот параметр. Детали читайте в man openvpn.

P.S. Файл с ключами для tls-auth (ta.key) НЕ нужно перегенерировать для каждого клиента. Он должен быть одинаковым на всех машинах.

lu4nik ★★★
()
Последнее исправление: lu4nik (всего исправлений: 1)
Ответ на: комментарий от ving2

Да, ip и порт правильные Tа ошибка пропала.

Теперь статическая ошибка на сервере: 

Authenticate/Decrypt packet error: packet HMAC authentication failed
TLS Error: incoming packet authentication failed from [AF_INET]192.168.88.180:1194

И на клиенте: 

TCP/UDP: Socket bind failed on local address [AF_INET6][undef]:1194

Сам вопрос состоит в том, как добавить нового клиента к существующей ovpn сети? И, кстати, спасибо за ответы ;)

tech_cerberus
() автор топика
Ответ на: комментарий от tech_cerberus

Попробуй опцию nobind на клиенте.

Кстати, client в конфиге подразумевает tls-client. То же и с server.

lu4nik ★★★
()
Ответ на: комментарий от lu4nik

Вот именно тут и была проблема. Спасибо большое, все работает ;)

tech_cerberus
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
ssh Bad owner or permissions on
General
Проблема с монтированием на Xubuntu 17.10