Tls handshake failed openvpn что делать
Перейти к содержимому

Tls handshake failed openvpn что делать

  • автор:

OpenVPN tls error: tls key negotiation failed to occur within 60 seconds

Если клиенту OpenVPN не подключиться к серверу или это подключение нестабильное, периодически прерывается, а в логе клиента есть ошибка » tls error: tls key negotiation failed to occur within 60 seconds «, то это может быть из-за проблем в соединении:

1) Подвис firewall на сервере (да, такое тоже бывает, connection tracker затупил или еще что, может, не отвисло какое-то соединение). Просто обновите применение правил на сервере.

2) На клиенте проблема с исходящими на порт OpenVPN (по-умолчанию, 1194/udp). Проверить firewall на клиенте.

3) На клиенте вообще проблема с сетью — перезагрузите клиентский компьютер (пусть клиент не жалуется, что у него, дескать, все работает, кроме. ).

4) Проверить корректность указания адреса сервера в конфиге клиента (директива remote )

5) Количество клиентов OpenVPN превысило указанное в директиве max-clients на сервере).

6) Роутер клиента подвисает, глючит провайдер клиента.

7) Глючит провайдер сервера OpenVPN. Поверять стабильность пингами, трассировками и др.

Авторизуйтесь для добавления комментариев!

Почтовый сервер Mikrotik VPN 3proxy Шифрование Squid Резервное копирование Защита почты Виртуальные машины Настройка сервера java kvm Групповые политики SELinux OpenVPN IPFW WDS Lightsquid Samba firewalld systemd Mobile libvirt Remote desktop WiFi Iptables NAT Postfix Dovecot Удаление данных Софт Безопасность Winbox User agent Хостинг Передача данных Онлайн сервисы Privacy LetsEncrypt VPN сервер Настройка прокси RRDTool sendmail Rsync Linux SSH Система Windows Синхронизация Облако fail2ban FreeBSD

openvpn TLS Error: TLS handshake failed

Я настроил два сервера с openvpn, решил проблемы с iptables и drop. Один из серверов так же выступает клиентом второго и подключается к второму серверу.

1. Сервера выдают разные пулы адресов, работают на разных портах. 2. Со своего ПК я подключаюсь к обоим без проблем. т.е. конфиги клиентов рабочие. 

В syslog я получаю следующее:

Sun Mar 22 17:06:53 2020 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jan 9 2019 Sun Mar 22 17:06:53 2020 library versions: OpenSSL 1.0.2g 1 Mar 2016, LZO 2.08 Sun Mar 22 17:06:53 2020 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Sun Mar 22 17:06:53 2020 Control Channel Authentication: tls-auth using INLINE static key file Sun Mar 22 17:06:53 2020 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication Sun Mar 22 17:06:53 2020 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication Sun Mar 22 17:06:53 2020 Socket Buffers: R=[212992->212992] S=[212992->212992] Sun Mar 22 17:06:53 2020 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Sun Mar 22 17:06:53 2020 UDPv4 link local: [undef] Sun Mar 22 17:06:53 2020 UDPv4 link remote: [AF_INET]91.122.221.112:1194 Sun Mar 22 17:07:53 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Sun Mar 22 17:07:53 2020 TLS Error: TLS handshake failed Sun Mar 22 17:07:53 2020 SIGUSR1[soft,tls-error] received, process restarting Sun Mar 22 17:07:53 2020 Restart pause, 2 second(s) Sun Mar 22 17:07:55 2020 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Sun Mar 22 17:07:55 2020 Socket Buffers: R=[212992->212992] S=[212992->212992] Sun Mar 22 17:07:55 2020 UDPv4 link local: [undef] Sun Mar 22 17:07:55 2020 UDPv4 link remote: [AF_INET]**.***.***.112:1194 

В логах сервера, примерно то же самое.

Документация говорит, что появление такой проблемы типично в следующих Случаях

Разница между моим ПК и сервером(выступающим в роли клиента) только в том, что во втором работает ovpn server. Со своего ПК я подключаюсь, с сервера(выступающим в роли клиента) не могу.

На сервере(выступающим в роли клиента) открыты порты 1194 и 1195. На сервере(выступающим в роли клиента) более низкая версия openssl. 

Подскажите куда копать.

andrey7690
22.03.20 16:51:08 MSK
Последнее исправление: andrey7690 22.03.20 17:12:27 MSK (всего исправлений: 3)

На сервере(выступающим в роли клиента) более низкая версия openssl.

это необходимость или прихоть?

anonymous
( 22.03.20 18:05:56 MSK )

«Отсюда и до обеда» .
Вам в вашей предыдущей теме уже писали
1. Полные пути до всех ключей/сертов/отдельный лог(log-append) чтобы не путаться.
2. Повысить логирование параметр verb 11
3. Запустить openvpn —config /path/config-name
А потом смотреть на выхлопы. Но прежде чем спрашивать, стоит и самому разобраться со своей сетью. Вы так и не осилили нарисовать схему сети. И при этом просите какой-то помощи. Извините телепаты из нас так себе.

anc ★★★★★
( 22.03.20 18:18:29 MSK )
Последнее исправление: anc 22.03.20 18:29:21 MSK (всего исправлений: 2)

Ответ на: комментарий от anonymous 22.03.20 18:05:56 MSK

Это констатация факта. Я не знаю может ли это послужить причиной проблемы.

andrey7690
( 22.03.20 18:19:14 MSK ) автор топика

ты явно попутал стороны рпраметра tls-auth

Anoxemian ★★★★★
( 22.03.20 18:21:41 MSK )
Ответ на: комментарий от Anoxemian 22.03.20 18:21:41 MSK

добавлю: трансопрт между серверами таки сделай на ipsec или wireguard. так у стенда будет лучше кпд.

Anoxemian ★★★★★
( 22.03.20 18:22:33 MSK )
Ответ на: комментарий от Anoxemian 22.03.20 18:22:33 MSK

добавлю: трансопрт между серверами таки сделай на ipsec или wireguard

Вы хотите вызвать разрыв мозга у ТС ? Посмотрите соседнюю тему от него. 🙂

anc ★★★★★
( 22.03.20 18:28:09 MSK )
Ответ на: комментарий от anc 22.03.20 18:28:09 MSK

Я искренне приношу извинения за тот сумбур который вам пришлось вынести из прошлой темы, что такое ipsec, gre я знаю и даже настраивал когда то давно, по кпд мне не принципиально, нужно всеuj несколько sql запросов в день.

andrey7690
( 22.03.20 18:43:24 MSK ) автор топика
Ответ на: комментарий от andrey7690 22.03.20 18:43:24 MSK

Уж простите, но последний пост в вашей предыдущей теме, так же является полной глупостью. Так же там я написал откуда копать нужно, но вы не последовали совету. И не последовали советам других. А продолжаете как писал анон «тыкать».
Ещё раз предлагаю просто спокойно сесть и расписать всё на схеме для себя самого. Тогда станет без разницы хоть ovpn, хоть ipsec, хоть wireguard, хоть tinc и т.д. Разница будет только в настройках. А вот тут мы вам с случае если не получаеться, постараемся помочь.

anc ★★★★★
( 22.03.20 18:55:38 MSK )
Последнее исправление: anc 22.03.20 18:57:47 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 22.03.20 18:18:29 MSK

Сервер(выступает исключительно сервером ovpn)

Цикличный кусок лога:

Sun Mar 22 18:34:09 2020 us=212659 SCHEDULE: schedule_find_least wakeup=[Sun Mar 22 18:34:11 2020 us=135843] pri=267344810 Sun Mar 22 18:34:09 2020 us=212680 PO_CTL rwflags=0x0001 ev=8 arg=0x55c47669e168 Sun Mar 22 18:34:09 2020 us=212701 PO_CTL rwflags=0x0001 ev=7 arg=0x55c47669e068 Sun Mar 22 18:34:09 2020 us=212725 I/O WAIT TR|Tw|SR|Sw [1/136498] Sun Mar 22 18:34:10 2020 us=349899 event_wait returned 0 Sun Mar 22 18:34:10 2020 us=349946 I/O WAIT status=0x0020 Sun Mar 22 18:34:10 2020 us=350421 MULTI: REAP range 240 -> 256 Sun Mar 22 18:34:10 2020 us=350453 **.***.**.**:44533 TIMER: coarse timer wakeup 1 seconds Sun Mar 22 18:34:10 2020 us=350492 **.***.**.**:44533 TLS: tls_multi_process: i=0 state=S_PRE_START, mysid=3ed7a5da 75f3b067, stored-sid=7d49fd1b 15882a54, stored-ip=[AF_INET]**.***.**.**:445$ Sun Mar 22 18:34:10 2020 us=350516 **.***.**.**:44533 TLS: tls_process: chg=0 ks=S_PRE_START lame=S_UNDEF to_link->len=0 wakeup=604800 Sun Mar 22 18:34:10 2020 us=350540 **.***.**.**:44533 ACK reliable_can_send active=1 current=0 : [1] 0 Sun Mar 22 18:34:10 2020 us=350576 **.***.**.**:44533 ACK reliable_send_timeout 16 [1] 0 Sun Mar 22 18:34:10 2020 us=350598 **.***.**.**:44533 TLS: tls_process: timeout set to 14 Sun Mar 22 18:34:10 2020 us=350626 **.***.**.**:44533 TLS: tls_multi_process: i=1 state=S_INITIAL, mysid=83162bd8 97e3e1f4, stored-sid=00000000 00000000, stored-ip=[AF_UNSPEC] Sun Mar 22 18:34:10 2020 us=350654 **.***.**.**:44533 TLS: tls_multi_process: i=2 state=S_UNDEF, mysid=00000000 00000000, stored-sid=00000000 00000000, stored-ip=[AF_UNSPEC] Sun Mar 22 18:34:10 2020 us=350689 **.***.**.**:44533 SCHEDULE: schedule_add_modify wakeup=[Sun Mar 22 18:34:12 2020 us=135843] pri=267344810 Sun Mar 22 18:34:10 2020 us=350722 SCHEDULE: schedule_find_least wakeup=[Sun Mar 22 18:34:12 2020 us=135843] pri=1508855979 Sun Mar 22 18:34:10 2020 us=350743 PO_CTL rwflags=0x0001 ev=8 arg=0x55c47669e168 Sun Mar 22 18:34:10 2020 us=350764 PO_CTL rwflags=0x0001 ev=7 arg=0x55c47669e068 Sun Mar 22 18:34:10 2020 us=350788 I/O WAIT TR|Tw|SR|Sw [1/136498] Sun Mar 22 18:34:11 2020 us=487963 event_wait returned 0 Sun Mar 22 18:34:11 2020 us=487999 I/O WAIT status=0x0020 Sun Mar 22 18:34:11 2020 us=488022 MULTI: REAP range 0 -> 16 Sun Mar 22 18:34:11 2020 us=488045 **.***.**.**:44533 TIMER: coarse timer wakeup 1 seconds Sun Mar 22 18:34:11 2020 us=488078 **.***.**.**:44533 SCHEDULE: schedule_add_modify wakeup=[Sun Mar 22 18:34:13 2020 us=135843] pri=1508855979 Sun Mar 22 18:34:11 2020 us=488110 SCHEDULE: schedule_find_least wakeup=[Sun Mar 22 18:34:13 2020 us=14289] pri=1890505480 
port 1194 proto udp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key # This file should be kept secret dh /etc/openvpn/dh2048.pem server 10.9.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt push "route 10.4.31.0 255.255.255.0" client-to-client keepalive 10 120 tls-auth /etc/openvpn/ta.key 0 # This file is secret key-direction 0 cipher AES-128-CBC auth SHA256 user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log verb 9 explicit-exit-notify 1 

Cервер(который выступает как сервер ovpn и клиентом первого сервера)

client dev tun proto udp remote (**.***.**.** 1194 pull-filter ignore redirect-gateway resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun remote-cert-tls server tls-auth ta.key 1 cipher AES-128-CBC auth SHA256 key-direction 1 verb 9 script-security 2 up /etc/openvpn/update-resolv-conf down /etc/openvpn/update-resolv-conf 

andrey7690
( 22.03.20 19:01:06 MSK ) автор топика
Последнее исправление: andrey7690 22.03.20 19:04:58 MSK (всего исправлений: 2)

Ответ на: комментарий от anc 22.03.20 18:55:38 MSK

Я найду подходящий курс на юдеми и выучу тему построения сетей как отче наш. У меня очень простая сеть, я нарисую схему сегодня до 22.00.

andrey7690
( 22.03.20 19:03:29 MSK ) автор топика
Ответ на: комментарий от andrey7690 22.03.20 19:01:06 MSK

А где пути до сертов у клиента? Я вот в упор не вижу.

unixforum.org

вот собсна лог логина. Вроде у многих было подобное, но решение сразу не нашёл.

Fri May 08 01:43:28 2009 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri May 08 01:43:28 2009 TLS Error: TLS handshake failed
Fri May 08 01:43:28 2009 TCP/UDP: Closing socket
Fri May 08 01:43:28 2009 SIGUSR1[soft,tls-error] received, process restarting
Fri May 08 01:43:28 2009 Restart pause, 2 second(s)
Fri May 08 01:43:30 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri May 08 01:43:30 2009 NOTE: OpenVPN 2.1 requires ‘—script-security 2’ or higher to call user-defined scripts or executables
Fri May 08 01:43:30 2009 LZO compression initialized

Спасибо сказали:
butch Сообщения: 331 ОС: :OC

Re: [Решено] Openvpn

Сообщение butch » 08.05.2009 10:12

08.05.2009 01:42

вот собсна лог логина. Вроде у многих было подобное, но решение сразу не нашёл.

Fri May 08 01:43:28 2009 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri May 08 01:43:28 2009 TLS Error: TLS handshake failed
Fri May 08 01:43:28 2009 TCP/UDP: Closing socket
Fri May 08 01:43:28 2009 SIGUSR1[soft,tls-error] received, process restarting
Fri May 08 01:43:28 2009 Restart pause, 2 second(s)
Fri May 08 01:43:30 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri May 08 01:43:30 2009 NOTE: OpenVPN 2.1 requires ‘—script-security 2’ or higher to call user-defined scripts or executables
Fri May 08 01:43:30 2009 LZO compression initialized

опишите полностью ситуацию.
кто, какая ос. к кому подключается.
отключите иптаблес и брандмауэр винды (бывает изза него) на интерфейсе опенвпн.
в винде интерфейс опенвпн должн быть включен до начала подключения и сообщать о неподключенном кабеле.

Почему OpenVPN не может сделать TLS?

Привет всем, такая вот проблема поставил сервер OpenVPN для себя , нашел даже скрипт автоустановки (Но уже и вариант вручную без скриптов тоже пробовал) но все одно к одному в итоге не получается пройти TLS рукопожатие у клиента в ошибке

Fri May 01 20:05:52 2020 TLS: Initial packet from [AF_INET]тут_ип_моего_сервера:13555, sid=ae9503b4 52f4177f Fri May 01 20:06:52 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Fri May 01 20:06:52 2020 TLS Error: TLS handshake failed

Что пробовал делать, включал net ipv4 forward в sysctl.conf, переустанавливал openvpn с нуля раз 5, делал по разным абсолютно инструкциям в том числе через пару скриптов авто установки. Сам процесс такой я ставлю сервер, делаю ключи, делаю клиенту ключи пытаюсь соединиться, соединение начинается но на моменте TLS ошибка.

Вот конфиг сервера

local тут внешний ip адрес сервера port 13555 proto udp dev tun sndbuf 0 rcvbuf 0 ca ca.crt cert server.crt key server.key dh dh.pem duplicate-cn auth SHA512 tls-auth ta.key 0 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" #push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 #fragment 1200 #mssfix 1200 cipher AES-256-CBC user nobody group nobody persist-key persist-tun status openvpn-status.log verb 10 log openvpn-log.log #crl-verify crl.pem

вот конфиг клиента
client.ovpn

client dev tun proto udp sndbuf 0 rcvbuf 0 remote тут_внешний_Ip_моего_сервера 13555 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server auth SHA512 cipher AES-256-CBC setenv opt block-outside-dns key-direction 1 verb 3

Вот мой iptables

# Generated by iptables-save v1.4.21 on Fri May 1 20:17:11 2020 *mangle :PREROUTING ACCEPT [16769:4887526] :INPUT ACCEPT [16769:4887526] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [25942:23122279] :POSTROUTING ACCEPT [25942:23122279] COMMIT # Completed on Fri May 1 20:17:11 2020 # Generated by iptables-save v1.4.21 on Fri May 1 20:17:11 2020 *filter :INPUT DROP [90:4759] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [15067:8176131] :XL-Firewall-1-INPUT - [0:0] :vesta - [0:0] -A INPUT -p udp -m udp --dport 13555 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s мой_внешний_ip/32 -j ACCEPT -A INPUT -s 127.0.0.1/32 -j ACCEPT -A INPUT -p udp -m udp --dport 13555 -j ACCEPT -A INPUT -p tcp -m multiport --dports 22,38022 -j ACCEPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT -A INPUT -p tcp -m multiport --dports 21,12000:12100 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p tcp -m multiport --dports 25,465,587,2525 -j ACCEPT -A INPUT -p tcp -m multiport --dports 110,995 -j ACCEPT -A INPUT -p tcp -m multiport --dports 143,993 -j ACCEPT -A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT -A INPUT -p tcp -m tcp --dport 8083 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 10.8.0.0/24 -j ACCEPT -A FORWARD -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT COMMIT # Completed on Fri May 1 20:17:11 2020 # Generated by iptables-save v1.4.21 on Fri May 1 20:17:11 2020 *nat :PREROUTING ACCEPT [23:1004] :INPUT ACCEPT [20:860] :OUTPUT ACCEPT [4:240] :POSTROUTING ACCEPT [4:240] -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source мой_внешний_ip COMMIT # Completed on Fri May 1 20:17:11 2020

В итоге порт UDP открыт, SNAT сделан чтобы был доступ в интернет, но именно на TLS затык. Но есть одно НО в пользу того что указанное вроде должно работать, в какой-то момент при сохранении изменений в iptables кажется прошел TLS, и все соединенилось, я подключился получил ip 10.8.0.2 проверил ping все работает действительно через сервер и до google, но стоило нажать переподключиться как все перестало работать и вновь ошибка при TLS и вот я уже 2 дня вожусь с этим, просто идеи уже закончились в чем же может быть дело. Уже и проверял вообще мой домашний ПК подключается ли к VPN’ам на всякий случай, все нормально подключился к публичному VPN серверу. Есть еще идеи?

  • Вопрос задан более трёх лет назад
  • 4170 просмотров

1 комментарий

Средний 1 комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *