Ошибка аутентификации OpenVPN HMAC Без разницы Что я делаю?


14

У меня проблема с моим сервером openvpn под управлением Debian Wheezy x64 и моим клиентом под управлением Ubuntu 14.10 x64. Кажется, независимо от того, какие конфигурации я пробую, я получаю эту ошибку снова и снова, по крайней мере, пару раз в минуту:

Mon Mar  9 22:14:10 2015 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Mar  9 22:14:10 2015 TLS Error: incoming packet authentication failed from [AF_INET] x.x.x.(clientip)

Я использую эту конфигурацию на сервере:

local x.x.x.x
port xxxx
proto udp
dev tun
ca /etc/openvpn/.certs/ca.crt
cert /etc/openvpn/.certs/$up3rR@nD0mCN.crt
key /etc/openvpn/.certs/$up3rR@nD0mCN.key
dh /etc/openvpn/.certs/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir clients
client-to-client
keepalive 7 80
tls-auth /etc/openvpn/.certs/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 3
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
tun-mtu 1500
auth SHA256

И на клиенте конфигурация управляется сетевым менеджером, но у меня правильное направление ключа, правильный сертификат tls, соответствующий mtu, директива auth SHA256, и он настроен для проверки DN и т. Д. Есть ли что-то мне не хватает?

Я пробовал разные аутентификационные шифры, восстанавливая ключ tls (с --gen-key --secret ta.key), и ошибка сохраняется. VPN работает нормально, хотя мои скорости немного ниже, чем должны быть. Любая помощь будет оценена.


Я пытаюсь решить ту же проблему, тем временем я запускаю openvpn как сервис вручную. Это известная проблема, по-видимому, сетевой менеджер может использовать только SHA1 по умолчанию https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/1217094

Ответы:


14

На самом деле, решением в моем случае было добавить эти директивы в server.conf:

mode server
tls-server

И чем конфиг клиента:

 tls-client

И если вы используете встроенный ключ TLS через <tls-auth>, добавьте

key-direction 1

Если вы используете диспетчер сети, убедитесь, что установлен флажок «Ожидайте аутентификацию tls».


2
Я следил за вашим постом, но ничего не произошло: (
tq

Сегодня столкнулся с тем же вопросом. Это кажется правильным, убедитесь, что ваше ключевое направление установлено соответственно. Используя вышеуказанный конфиг, если ваш клиент key-direction 1настроил ваш сервер на key-direction 0. Это решило мою проблему
Кевин

Другим источником ошибки может быть cipherявное указание и установка неправильного значения.
arrowd

3

Добавление строк авторизации и шифрования, совпадающих со строками в файле server.conf, в файл .conf клиента должно быть достаточным. Или, если вы используете Network Manager для клиента, нажмите Cipher и HMAC Authentication и добавьте параметры в строках шифра и аутентификации из файла server.conf. Он должен работать.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.