Openvpn: TLS Error: TLS handshake failed

0

1

Здравствуйте, возникла проблема при настройки OpenVPN. Не могу понять в чем дело, так как раньше без проблем настравивал. Для симуляции использовал 2 виртуалки: одна для сервера, а вторая для клиента. Firewall выключен. Вот лог клиента:

root@usercomp2:/etc/openvpn# openvpn --config client_or.ovpn
Tue Feb 13 04:47:14 2024 OpenVPN 2.4.12 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Aug 21 2023
Tue Feb 13 04:47:14 2024 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Tue Feb 13 04:47:14 2024 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Feb 13 04:47:14 2024 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Feb 13 04:47:14 2024 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Feb 13 04:47:14 2024 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1420)
Tue Feb 13 04:47:14 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.57.101:443
Tue Feb 13 04:47:14 2024 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Feb 13 04:47:14 2024 UDPv4 link local: (not bound)
Tue Feb 13 04:47:14 2024 UDPv4 link remote: [AF_INET]192.168.57.101:443
Tue Feb 13 04:47:14 2024 TLS: Initial packet from [AF_INET]192.168.57.101:443, sid=aa1bd85c ef3c82d6
Tue Feb 13 04:47:14 2024 VERIFY OK: depth=1, C=GB, ST=London, L=Hempshir, O=BBC Ltd, OU=propoganda, CN=ahmengohKei9, emailAddress=ca@mail.com
Tue Feb 13 04:47:14 2024 VERIFY OK: depth=0, C=GB, ST=London, O=BBC Ltd, OU=propoganda, CN=uxooye3aCah3, emailAddress=server@mail.com
Tue Feb 13 04:48:14 2024 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Feb 13 04:48:14 2024 TLS Error: TLS handshake failed
Tue Feb 13 04:48:14 2024 SIGUSR1[soft,tls-error] received, process restarting
Tue Feb 13 04:48:14 2024 Restart pause, 5 second(s)
Tue Feb 13 04:48:19 2024 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Feb 13 04:48:19 2024 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1420)
Tue Feb 13 04:48:19 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.57.101:443
Tue Feb 13 04:48:19 2024 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Feb 13 04:48:19 2024 UDPv4 link local: (not bound)
Tue Feb 13 04:48:19 2024 UDPv4 link remote: [AF_INET]192.168.57.101:443
Tue Feb 13 04:48:19 2024 TLS: Initial packet from [AF_INET]192.168.57.101:443, sid=10c51734 69dfd903
Tue Feb 13 04:48:19 2024 VERIFY OK: depth=1, C=GB, ST=London, L=Hempshir, O=BBC Ltd, OU=propoganda, CN=ahmengohKei9, emailAddress=ca@mail.com
Tue Feb 13 04:48:19 2024 VERIFY OK: depth=0, C=GB, ST=London, O=BBC Ltd, OU=propoganda, CN=uxooye3aCah3, emailAddress=server@mail.com

Перепроверял 1000 раз, но TLS ключи идентичны. Вот содержимоей файла *.ovpn

####################################################
# Client OVPN
####################################################
dev tun
proto udp4
remote 192.168.57.101 443
client
#resolv-retry infinite
#remote-cert-tls server
persist-key
persist-tun
comp-lzo
verb 3
#cipher AES-256-CBC
#data-ciphers AES-256-CBC
keepalive 30 120
server-poll-timeout 4
nobind
dev-type tun
tls-version-min 1.2
#reneg-sec 604800
tun-mtu 1420
#auth-user-pass
push-peer-info
tls-auth [inline]
key-direction 1

<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
ab6451272e4f5ac3d38b14bce280eb83
7dd9d1fc3db42d342b6a35e870460a52
10f0ba297c23fba4481e3183e8680e73
1ac5314c62a4ecb9c37610ac3affe73c
4eaa6a51244d81acbaf159562684e1ff
ad84fcf7cd188d2e1934e46a6f59c36e
945b6a9e8d73238ee025b245da5bcbcc
14569a58cb20495c68448f2b43d33b91
606452714fd4896bface3c761e113380
d15e16c67309d9b534244ba15344b2d2
97878d5c066d2dccf4398b779a8411b3
b07c8a6506fdd0a5ae68b5537d1f3122
ffe4f277d9f4c4d18fa1875cef0f0a62
edd64004ecd427754f4f1ef093ea1be7
958dfd274c928d23e24c88f9040fd6e3
a4195da444cf208b6601ea061cea2257
-----END OpenVPN Static key V1-----
</tls-auth>

сервер запускается без ошибок. Плохо понимаю, что еще можно сделать чтоб понять в чем дело. Гугл не помогает.

←	Yubikey + OTP = решето!

Sendmail

→

TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Пинги до сервера есть? А логи сервера при попытке коннекта?

XMPP ★
(13.02.24 07:51:59 MSK)

WARNING: normally if you use –mssfix and/or –fragment, you should also set –tun-mtu 1500 (currently it is 1420)

не пролазит

Anoxemian ★★★★★
(13.02.24 07:59:33 MSK)

Ответ на: комментарий от XMPP 13.02.24 07:51:59 MSK

Пинги есть. Как я понял MTU нестандартный у VirtualBox internal network !=1500 Я поставил 1460 на интерфейсах сервера и клиента. Поколдовал с разными настройками и сделал нулевой лог на сервере. При попытки подключения клиента лог сервера не меняется. Поколдовал с разными настройками (mtu-tun, mssfix…)в конфиге сервера и клиента, но бестолку.

Последний вариант конфига сервера:

local 192.168.57.101
port 443
proto udp4
dev tun
tun-mtu 1420
fragment 1400
mssfix 1400
user nobody
group nogroup
cd /etc/openvpn
persist-key
persist-tun
tls-server
tls-timeout 120
dh /etc/openvpn/dh_de.pem
ca /etc/openvpn/ca.cert.pem
cert /etc/openvpn/server_de.cert.pem
key /etc/openvpn/server_de.key.pem
crl-verify /etc/openvpn/ca.crl.pem
tls-auth /etc/openvpn/ta_de.key 0
server 10.8.0.0 255.255.255.0
ifconfig-ipv6 fd00::1 fd00::9
client-config-dir /etc/openvpn/ccd
client-to-client
topology subnet
max-clients 5
push "dhcp-option DNS 8.8.8.8"
push "redirect-gateway def1"
#route 10.8.0.0 255.255.255.0
comp-lzo
keepalive 10 120
mode server
daemon
ifconfig-pool-persist /var/log/openvpn/ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;route 10.9.0.0 255.255.255.252
;learn-address ./script

;push "dhcp-option DNS 208.67.220.220"
;duplicate-cn
#cipher AES-256-CBC
data-ciphers-fallback AES-256-CBC
data-ciphers AES-256-GCM:AES-128-GCM
;compress lz4-v2
;push "compress lz4-v2"
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log
verb 0 # make verb 10 on error
mute 20
;explicit-exit-notify 1

pyuriykz
(13.02.24 19:13:58 MSK) автор топика
Последнее исправление: pyuriykz 13.02.24 19:16:12 MSK (всего исправлений: 2)

Ответ на: комментарий от Anoxemian 13.02.24 07:59:33 MSK

Спасибо за подсказку, осталось понять как исправить.

pyuriykz
(13.02.24 19:17:27 MSK) автор топика

Ответ на: комментарий от pyuriykz 13.02.24 19:17:27 MSK

О_о в сообщении же написано как

Anoxemian ★★★★★
(13.02.24 19:54:15 MSK)

Ответ на: комментарий от Anoxemian 13.02.24 19:54:15 MSK

Да колдовал я с этими настройками (mtu-tun, mssfix…). Даже WARNING не пропадает, когда их выставляешь на стороне клиента и сервера. Напишите, пожалуйста конкретные параметры и их значения. Может я какую то комбинацию не проверил.

pyuriykz
(13.02.24 20:22:05 MSK) автор топика

Ответ на: комментарий от pyuriykz 13.02.24 20:22:05 MSK

set -–tun-mtu 1500

Anoxemian ★★★★★
(13.02.24 20:34:56 MSK)

Ответ на: комментарий от Anoxemian 13.02.24 20:34:56 MSK

Проверил, не работает. Вот новый лог:

user@usercomp2:~$ sudo su
[sudo] пароль для user: 
root@usercomp2:/home/user# openvpn set --tun-mtu 1500 --config client_or.ovpn
Options error: I'm trying to parse "set" as an --option parameter but I don't see a leading '--'
Use --help for more information.
root@usercomp2:/home/user# openvpn --tun-mtu 1500 --config client_or.ovpn
Options error: In [CMD-LINE]:1: Error opening configuration file: client_or.ovpn
Use --help for more information.
root@usercomp2:/home/user# cd /etc/openvpn
root@usercomp2:/etc/openvpn# openvpn --tun-mtu 1500 --config client_or.ovpn
Wed Feb 14 06:21:10 2024 OpenVPN 2.4.12 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Aug 21 2023
Wed Feb 14 06:21:10 2024 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Wed Feb 14 06:21:10 2024 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Feb 14 06:21:10 2024 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb 14 06:21:10 2024 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb 14 06:21:10 2024 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1420)
Wed Feb 14 06:21:10 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.57.101:443
Wed Feb 14 06:21:10 2024 Socket Buffers: R=[212992->212992] S=[212992->212992]
Wed Feb 14 06:21:10 2024 UDPv4 link local: (not bound)
Wed Feb 14 06:21:10 2024 UDPv4 link remote: [AF_INET]192.168.57.101:443
Wed Feb 14 06:21:10 2024 TLS: Initial packet from [AF_INET]192.168.57.101:443, sid=0ef1e01e 7d5ec25d
Wed Feb 14 06:21:10 2024 VERIFY OK: depth=1, C=GB, ST=London, L=Hempshir, O=BBC Ltd, OU=propoganda, CN=ahmengohKei9, emailAddress=ca@mail.com
Wed Feb 14 06:21:10 2024 VERIFY OK: depth=0, C=GB, ST=London, O=BBC Ltd, OU=propoganda, CN=uxooye3aCah3, emailAddress=server@mail.com
Wed Feb 14 06:22:10 2024 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Feb 14 06:22:10 2024 TLS Error: TLS handshake failed
Wed Feb 14 06:22:10 2024 SIGUSR1[soft,tls-error] received, process restarting
Wed Feb 14 06:22:10 2024 Restart pause, 5 second(s)
Wed Feb 14 06:22:15 2024 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Feb 14 06:22:15 2024 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1420)
Wed Feb 14 06:22:15 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.57.101:443
Wed Feb 14 06:22:15 2024 Socket Buffers: R=[212992->212992] S=[212992->212992]
Wed Feb 14 06:22:15 2024 UDPv4 link local: (not bound)
Wed Feb 14 06:22:15 2024 UDPv4 link remote: [AF_INET]192.168.57.101:443
Wed Feb 14 06:22:15 2024 TLS: Initial packet from [AF_INET]192.168.57.101:443, sid=68a35b55 24a34e20
Wed Feb 14 06:22:15 2024 VERIFY OK: depth=1, C=GB, ST=London, L=Hempshir, O=BBC Ltd, OU=propoganda, CN=ahmengohKei9, emailAddress=ca@mail.com
Wed Feb 14 06:22:15 2024 VERIFY OK: depth=0, C=GB, ST=London, O=BBC Ltd, OU=propoganda, CN=uxooye3aCah3, emailAddress=server@mail.com
^Z
[1]+  Остановлен    openvpn --tun-mtu 1500 --config client_or.ovpn
root@usercomp2:/etc/openvpn# kill %1
Wed Feb 14 06:22:21 2024 event_wait : Interrupted system call (code=4)
root@usercomp2:/etc/openvpn# Wed Feb 14 06:22:21 2024 SIGTERM[hard,] received, process exiting

Вот новый конфиг сервера:

local 192.168.57.101
port 443
proto udp4
dev tun
tun-mtu 1420
fragment 1400
mssfix 1400
user nobody
group nogroup
cd /etc/openvpn
persist-key
persist-tun
tls-server
tls-timeout 120
dh /etc/openvpn/dh_de.pem
ca /etc/openvpn/ca.cert.pem
cert /etc/openvpn/server_de.cert.pem
key /etc/openvpn/server_de.key.pem
crl-verify /etc/openvpn/ca.crl.pem
tls-auth /etc/openvpn/ta_de.key 0
server 10.8.0.0 255.255.255.0
ifconfig-ipv6 fd00::1 fd00::9
client-config-dir /etc/openvpn/ccd
client-to-client
topology subnet
max-clients 5
push "dhcp-option DNS 8.8.8.8"
push "redirect-gateway def1"
#route 10.8.0.0 255.255.255.0
comp-lzo
keepalive 10 120
mode server
daemon
ifconfig-pool-persist /var/log/openvpn/ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;route 10.9.0.0 255.255.255.252
;learn-address ./script

;push "dhcp-option DNS 208.67.220.220"
;duplicate-cn
#cipher AES-256-CBC
data-ciphers-fallback AES-256-CBC
data-ciphers AES-256-GCM:AES-128-GCM
;compress lz4-v2
;push "compress lz4-v2"
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log
verb 0 # make verb 10 on error
mute 20
;explicit-exit-notify 1

Вот новый конфиг клиента (client_or.ovpn):

####################################################
# Client OVPN
####################################################
dev tun
proto udp4
remote 192.168.57.101 443
client
#resolv-retry infinite
#remote-cert-tls server
persist-key
persist-tun
comp-lzo
verb 3
#tun-mtu 1420
#mssfix 1420
#mtu-test
cipher AES-256-CBC
#data-ciphers AES-256-CBC
keepalive 30 120
server-poll-timeout 4
nobind
dev-type tun
tls-version-min 1.2
#reneg-sec 604800
tun-mtu 1420
#auth-user-pass
push-peer-info
tls-auth [inline]
key-direction 1

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

pyuriykz
(14.02.24 03:46:49 MSK) автор топика

Ответ на: комментарий от pyuriykz 14.02.24 03:46:49 MSK

https://tenor.com/ru/view/dog-no-idea-what-doing-gif-2217224103490177520

Anoxemian ★★★★★
(14.02.24 04:20:29 MSK)

Ответ на: комментарий от Anoxemian 14.02.24 04:20:29 MSK

Спасибо, Вы очень помогли. Правда проблема так и не решена.

pyuriykz
(14.02.24 07:09:04 MSK) автор топика

Ответ на: комментарий от pyuriykz 14.02.24 07:09:04 MSK

Клиент и сервер одной версии ?
cipher и там и там одинаковый.
сервак tls-auth 0 клиент tls-auth 1 (хз че такое tls-auth [inline])

Там по первому логу до МТУ дело не дошло

Tue Feb 13 04:48:14 2024 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Tue Feb 13 04:48:14 2024 TLS Error: TLS handshake failed

P.S. Я верю что все ключи правильно создали.

mx__ ★★★★★
(14.02.24 08:34:58 MSK)

Ответ на: комментарий от mx__ 14.02.24 08:34:58 MSK

Клиент и сервер разных версий. В текущем варианте версия клиента 2.4.х, а сервера 2.5.х Но я пробовал в разных комбинациях версий. Точного соовтетствия достигнуть не получилось, так как клиент Ubuntu 22 (или ubuntu 20 ) Desktop, а сервер Ubuntu 22 (или Ubuntu 20) Server
, 3) Конфиги перед Вами. Я пока новичок в части OpenVPN и выводы делать не хочу.

tls-auth [inline] был всегда закомментирован. Это по невнимательности забыл вернуть назад.

Нужна какаято более глубокая диагностика, но как ее провести х.з. Я пробовал сделать verb 11, но там такая китайская грамота что хрен разберешься.

pyuriykz
(14.02.24 18:10:35 MSK) автор топика
Последнее исправление: pyuriykz 14.02.24 18:18:40 MSK (всего исправлений: 7)

Ответ на: комментарий от pyuriykz 14.02.24 18:10:35 MSK

У ВАС клиента раскрментирован.

Короче сделай как у сервера в конце 1. Но это когда файл рядом лежит.

И цайфер одинаковый делай.

mx__ ★★★★★
(14.02.24 23:34:17 MSK)

Ответ на: комментарий от mx__ 14.02.24 23:34:17 MSK

Так стоп. Вы подумали о томже о чем и я ? На одной машине использовать openvpn и как клиент и как сервер чтоб один проыесс выступал сервером, а второй клиентом ?

pyuriykz
(14.02.24 23:50:09 MSK) автор топика

Ответ на: комментарий от pyuriykz 14.02.24 23:50:09 MSK

Я про это не думал (не понятно зачем) хотя может и будет работать.

Просто разных версий openvpn по умолчанию сайфер разный, бывает что и уже не поддерживается поэтому tls и не катит. Плюс важно указать у tls кто сервер 0, а кто клиент 1.

В его конфигах много всякой не нужной фигни, а что нужно по сути и нет. И потом загон с файлом .openvpn (когда ключи там же) это попахивает виндузятничеством, проще все файлы разложить куда нудо и указать к ним нормальный путь.

mx__ ★★★★★
(15.02.24 06:24:50 MSK)

Ответ на: комментарий от mx__ 15.02.24 06:24:50 MSK

Вообщем я попробовал клиент и сервер на одной машине (и по сути один бинарник): ошибка воспроизводиться. " (не понятно зачем)" - вот затем чтоб не было гаданий, а виновата ли разница в версиях или нет. И еще от сетевого интерфейса меньше зависимостей. Шифр в конфиге(AES например) это как я понимаю(надеюсь правильно) это синхронный блочный шифр при передачи данных, когда уже авторизация пройдена и создан сессионный ключ, а на этапе авторизации первым делом там должна появиться tls сессия на основе (асинхронного) rsa шифра. В конфиге клиента и сервера Вы можете наблюдать tls direction 0 и 1, но на 100 процентов не берусь утверждать что там все верно, а потому их и выложил в теме.

Файл .ovpn может попахивать не только виндой но к примеру wireguard, где один конфиг. А так же он может попахивать встроенным линуксом с домашнего роутера, который принимает как раз конфиг в таком виде. Но можно конечно проверить и «в рассыпную»

pyuriykz
(15.02.24 08:21:03 MSK) автор топика

Ответ на: комментарий от pyuriykz 15.02.24 08:21:03 MSK

не только виндой но к примеру wireguard,

У тупого wireguad нет сертификатов только ключи. И да разные openvpn спокойно пашут друг с другом, лишь бы шифрование совпадало, вроде у них на сайте написана была таблица увязки разных версий сервера и клиента и какие в этом случае допустимы шифрования. Лень искать сейчас.

mx__ ★★★★★
(15.02.24 08:34:06 MSK)

←	Yubikey + OTP = решето!

Security

Sendmail

→

Похожие темы