сегодня моя проблема в том, что не удаётся установить VPN соединение с сервером. С сервером никаких проблем нет, к нему удаётся подключиться из других мест. Но почему-то с теми же конфигрурационными файлами клиента не удаётся подключиться из дома.
Дома у меня ADSL роутер и компьютер, который подключён к нему по WiFi, система Ubuntu 11.04.
Sat Jul 16 22:55:01 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jul 16 22:55:01 2011 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sat Jul 16 22:55:01 2011 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Sat Jul 16 22:55:01 2011 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Sat Jul 16 22:55:01 2011 LZO compression initialized
Sat Jul 16 22:55:01 2011 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Sat Jul 16 22:55:01 2011 Socket Buffers: R=[114688->131072] S=[114688->131072]
Sat Jul 16 22:55:06 2011 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jul 16 22:55:06 2011 Local Options hash (VER=V4): '03fa487d'
Sat Jul 16 22:55:06 2011 Expected Remote Options hash (VER=V4): '1056bce3'
Sat Jul 16 22:55:06 2011 UDPv4 link local (bound): [undef]
Sat Jul 16 22:55:06 2011 UDPv4 link remote: [AF_INET]8.8.8.8:1194
Sat Jul 16 22:56:06 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Jul 16 22:56:06 2011 TLS Error: TLS handshake failed
Sat Jul 16 22:56:06 2011 TCP/UDP: Closing socket
Sat Jul 16 22:56:06 2011 SIGUSR1[soft,tls-error] received, process restarting
Sat Jul 16 22:56:06 2011 Restart pause, 2 second(s)
Sat Jul 16 22:56:08 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jul 16 22:56:08 2011 Re-using SSL/TLS context
Sat Jul 16 22:56:08 2011 LZO compression initialized
Sat Jul 16 22:56:08 2011 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
В интернете пишут, что TLS Error означает о невозможности установить соединение с сервером. На вид проблем с установкой соединения не должно быть. Сервер пингуется нормально. Смотрел tcpdump-ом UDP пакеты серверу уходят, но ответа от сервера не приходит.
Может быть проблемы в роутере? Какие ещё есть варианты решения проблемы?
Актуальней -- показать настройки сервера.
Сейчас, в качестве гадания на кофейной гуще:
- на сервере стоит tcp вместо udp
- сервер использует порт отличный от 1194
- провайдер режет UDP-трафик(на определённые порты, например)
- на сервере существует какой-либо файрволл
Актуальней -- показать настройки сервера.
Сейчас, в качестве гадания на кофейной гуще:
- на сервере стоит tcp вместо udp
- сервер использует порт отличный от 1194
- провайдер режет UDP-трафик(на определённые порты, например)
- на сервере существует какой-либо файрволл
Показать настройки сервера не имею возможности, потому что к нему у меня доступа нет. Да и смысла в этом особого не вижу, потому что с теми же самыми конфигурационными файлами клиента я успешно подключаюсь к серверу из четырёх других мест. Поэтому предполагаю, что что-то не так либо с домашним компьютером, либо с провайдером, либо с роутером.
По поводу резки провайдером UDP портов думал, вот только не знаю, как бы это сейчас проверить.
Актуальней -- показать настройки сервера.
Сейчас, в качестве гадания на кофейной гуще:
- на сервере стоит tcp вместо udp
- сервер использует порт отличный от 1194
- провайдер режет UDP-трафик(на определённые порты, например)
- на сервере существует какой-либо файрволл
Показать настройки сервера не имею возможности, потому что к нему у меня доступа нет. Да и смысла в этом особого не вижу, потому что с теми же самыми конфигурационными файлами клиента я успешно подключаюсь к серверу из четырёх других мест. Поэтому предполагаю, что что-то не так либо с домашним компьютером, либо с провайдером, либо с роутером.
По поводу резки провайдером UDP портов думал, вот только не знаю, как бы это сейчас проверить.
Роутер дома? У меня похожая ситуация - настроил клиент, подключается, все ок. Перенес все ОС на другой комп (далеко географически даже), но за роутер Asus WL500G, настроенный по умолчанию. И не работает! Роутер не мой, в настройках не копался. Причем на сервер пакеты доходят, но не происходит соединение на уровне OpenVPN.
Актуальней -- показать настройки сервера.
Сейчас, в качестве гадания на кофейной гуще:
- на сервере стоит tcp вместо udp
- сервер использует порт отличный от 1194
- провайдер режет UDP-трафик(на определённые порты, например)
- на сервере существует какой-либо файрволл
Показать настройки сервера не имею возможности, потому что к нему у меня доступа нет. Да и смысла в этом особого не вижу, потому что с теми же самыми конфигурационными файлами клиента я успешно подключаюсь к серверу из четырёх других мест. Поэтому предполагаю, что что-то не так либо с домашним компьютером, либо с провайдером, либо с роутером.
По поводу резки провайдером UDP портов думал, вот только не знаю, как бы это сейчас проверить.
Роутер дома? У меня похожая ситуация - настроил клиент, подключается, все ок. Перенес все ОС на другой комп (далеко географически даже), но за роутер Asus WL500G, настроенный по умолчанию. И не работает! Роутер не мой, в настройках не копался. Причем на сервер пакеты доходят, но не происходит соединение на уровне OpenVPN.
А 1194 порт на раутере профорвардить пробовали? Хотя, кажется, у меня ВПН через АСУС-520 ходил и без этого, но не помню точно.
Пробовал профорвардить TCP/UDP 1194, но результата нет. На роутере внутри линукс крутится. К сожалению, там нет tcpdump, так бы можно было глянуть уходит ли трафик провайдеру. Хотя если кто-то поможет, то, наверное, можно вписать туда дополнительно правило, которое выходной трафик уходящий в интернет направляет обратно на мой компьютер и можно будет посмотреть проходят ли пакеты сквозь роутер в интернет или нет.
То есть ifconfig нужен только для того чтобы пинговать что-то?
вы не прочитали мой пост, или не поняли, что я спрашивал?
Хм....я не понял и этого вопроса если честно.
2 aniily
В данном случае он является шлюзом по умолчанию. ВПН сервер делает роутинг или дает новый шлюз? Было бы неплохо посмотреть настройки с того компа где все работает, до и после подключения впна.
Indarien
ок·
попробую совсем по-простому·
ifconfig работает некорректно с сетевой подсистемой linux·
использовать его как средство диагностики — не стоит·
ещё попроще?
пожалуйста:
если вас интересуют закреплённые за интерфейсами ip-адреса, в разных операционных системах следует запрашивать вывод совершенно разных команд·
в windows — ipconfig
в *bsd (и прочих unix-ах) — ifconfig
в gnu/linux — ip a
В данном случае он является шлюзом по умолчанию. ВПН сервер делает роутинг или дает новый шлюз? Было бы неплохо посмотреть настройки с того компа где все работает, до и после подключения впна.
ВПН делает новый шлюз. На "проблемном" компьютере до DHCP и дело не доходит, он даже интерфейс поднять не успевает.
Indarien
ок·
попробую совсем по-простому·
ifconfig работает некорректно с сетевой подсистемой linux·
использовать его как средство диагностики — не стоит·
ещё попроще?
пожалуйста:
если вас интересуют закреплённые за интерфейсами ip-адреса, в разных операционных системах следует запрашивать вывод совершенно разных команд·
в windows — ipconfig
в *bsd (и прочих unix-ах) — ifconfig
в gnu/linux — ip a
ок, если статика, то cat /etc/network/interfaces
если dhcp то ip a
С другой стороны, для каждого определенного случая лучше всего использовать либо оптимальный инструмент, либо адекватный, адекватный в смысле не юзать нано для просмотра 2 гб логов а, допустим лесс.
Ну да ладно, в данном случае хотелось взглянуть на ип интерфейса.
aniily
Надо бы взглянуть на роуты у компа где все ок до и после, имхо все дело в роутинге в данном конкретном случае. Либо, какая-то специфика адсл подключения, модем как подключен, бриджем или нат?
Надо бы взглянуть на роуты у компа где все ок до и после, имхо все дело в роутинге в данном конкретном случае. Либо, какая-то специфика адсл подключения, модем как подключен, бриджем или нат?
Проблема оказалась в недостаточности времени на TLS авторизацию на клиенте.
Дефолт - две секунды (очень интересно почему на ADSL этого не хватало? пинг = 100-150мс).
Увеличил на клиентах "tls-timeout 15" (с запасом) и со вчерашнего вечера ошибок пока не вижу.
Кстати, где-то уже видел такой совет но в отношении использования VPN через GPRS шлюзы - там связь действително нестабильная. Так что вот.
Проблема оказалась в недостаточности времени на TLS авторизацию на клиенте.
Дефолт - две секунды (очень интересно почему на ADSL этого не хватало? пинг = 100-150мс).
Увеличил на клиентах "tls-timeout 15" (с запасом) и со вчерашнего вечера ошибок пока не вижу.
Кстати, где-то уже видел такой совет но в отношении использования VPN через GPRS шлюзы - там связь действително нестабильная. Так что вот.
Authenticate/Decrypt packet error: packet HMAC authentication failed
Клиент и сервер не могут разобраться какой протокол шифрования выбрать....причин может быть много, а попробуйте-ка ради эксперимента без md5.....
Authenticate/Decrypt packet error: packet HMAC authentication failed
Клиент и сервер не могут разобраться какой протокол шифрования выбрать....причин может быть много, а попробуйте-ка ради эксперимента без md5.....
При установке AUTH в NONE тоже не устанавливается, зато потом методом "научного" перебора было установлено правильное значение параметра - SHA1. Удивительно, что из Windows с этим же конфигурационным файлом подключается без всяких проблем. Надо будет там подробнее клиентские логи подключения посмотреть.
Authenticate/Decrypt packet error: packet HMAC authentication failed
Клиент и сервер не могут разобраться какой протокол шифрования выбрать....причин может быть много, а попробуйте-ка ради эксперимента без md5.....
При установке AUTH в NONE тоже не устанавливается, зато потом методом "научного" перебора было установлено правильное значение параметра - SHA1. Удивительно, что из Windows с этим же конфигурационным файлом подключается без всяких проблем. Надо будет там подробнее клиентские логи подключения посмотреть.
Спасибо всем за помощь.
Спасибо человек, за научный перебор.. Измучился искать в чем проблема, а оказалось как у тебя SHA(, гребаный,)1!!