Disconnessione dal server OpenVPN ogni ora

Sto riscontrando un problema piuttosto strano con la mia OpenVPNconfigurazione. Mi collego Windows 7con l'ultimo OpenVPNclient ufficiale al mio OpenVPNserver ( OpenVPN 2.1.4 i386-redhat-linux-gnu).

Il problema è che mi sto disconnettendo dal mio OpenVPNserver esattamente dopo 1 ora e non riesco a capire quale direttiva / opzione sia responsabile per questo. Forse è un problema del cliente? Ho provato diversi Windowssistemi e Windows VPNclient. I Linuxclient funzionano come previsto senza disconnessioni.

Potresti aiutarmi per favore a risolvere questo problema? Ho provato a leggere libri e cercare su Google e alcune persone consigliano di giocare keepalivee reneg-secdirettive. Ma questo non sembra aiutare.

Config server OpenVPN

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.0.0.0 255.0.0.0"
client-config-dir ccd
route 192.168.51.0 255.255.255.0
keepalive 60 600
reneg-sec 5000
hand-window 15
tls-auth ta.key 0
comp-lzo
max-clients 50
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 4
crl-verify crl.pem
management localhost 11111
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
push "dhcp-option DNS 192.168.2.1"
push "dhcp-option DOMAIN example.com"
push "dhcp-option SEARCH example.com"

Registro del server (non è il problema in reinit_src = 1?)

Oct  9 07:23:38 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct  9 07:23:38 vpn openvpn[19495]: user/192.168.253.20:54568 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIVE reinit_src=1
Oct  9 07:24:53 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct  9 07:26:08 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS key negotiation failed to occur within 15 seconds (check your network connectivity)
Oct  9 07:26:08 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct  9 07:26:39 vpn openvpn[19495]: user/192.168.253.20:54568 [UNDEF] Inactivity timeout (--ping-restart), restarting
Oct  9 07:26:39 vpn openvpn[19495]: user/192.168.253.20:54568 SIGUSR1[soft,ping-restart] received, client-instance restarting

Registro client

RwrWRwRwRwRwTue Oct 09 07:26:39 2012 us=796000 TLS: soft reset sec=0 bytes=7405621/0 pkts=9459/0
Tue Oct 09 07:26:39 2012 us=600000 ERROR: could not read Auth username from stdin
Tue Oct 09 07:26:39 2012 us=600000 Exiting
Tue Oct 09 07:26:39 2012 us=600000 C:\WINDOWS\system32\route.exe DELETE 192.168.2.1 MASK 255.255.255.255 192.168.100.150
Tue Oct 09 07:26:39 2012 us=600000 Route deletion via IPAPI succeeded [adaptive]
Tue Oct 09 07:26:39 2012 us=600000 C:\WINDOWS\system32\route.exe DELETE 10.0.0.0 MASK 255.0.0.0 192.168.100.150
Tue Oct 09 07:26:39 2012 us=600000 Route deletion via IPAPI succeeded [adaptive]
Tue Oct 09 07:26:39 2012 us=600000 Closing TUN/TAP interface

Grazie mille.

Il colpevole sembra essere la tua configurazione di autenticazione. Stai utilizzando plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so loginciò che richiederebbe al client di fornire una combinazione nome utente / password valida per la connessione. Apparentemente, questo è richiesto anche al momento della reimpostazione e il tuo client OpenVPN sembra incapace di richiedere il nome utente da stdin( ERROR: could not read Auth username from stdin).

Per quanto riguarda il motivo per cui aumentare il reneg-sec nella configurazione del tuo server non aiuta le cose, questo è perché il parametro deve essere specificato in entrambi - la configurazione del server e del client deve essere effettivamente elevata al di sopra del valore predefinito di 3600 secondi (che succede a causa un'ora - disconnettiti che stai vedendo).

Quindi le tue opzioni sarebbero

• utilizzare un metodo di autenticazione che non richiede l'input dell'utente (vengono in mente i certificati)
• risolvere il motivo per cui il client non è in grado di richiedere la combinazione nome utente / password dopo aver stabilito la connessione
• aumentare il periodo di ripetizione o disabilitare completamente la ripetizione (che indebolisce la sicurezza della connessione, quindi sicuramente è solo una soluzione inferiore al problema)

puoi provare a reneg-sec 0nel tuo server.conf:

https://duo.com/docs/openvpn

https://tldrify.com/m80

è abbastanza semplice davvero. Poiché OpenVPN tenta di rinegoziare una nuova sessione TLS ogni 3600 secondi per impostazione predefinita, è necessario eseguire nuovamente l'autenticazione, utilizzando un nuovo OTP. Per evitare questo tipo di comportamento, si tratta solo di dire a openvpn di non rinegoziare mai una sessione TLS e mantenere viva quella esistente, se si uniscono le keepalivedirettive e reneg-sec 0si avrà una connessione stabile, senza alcuna rinegoziazione.

Ho riscontrato un effetto simile quando ho aggiunto l'opzione 'auth-nocache' alla configurazione del mio client. Uso i certificati E una combinazione nome utente + password per autenticarmi.

Alcune volte ho notato nei log di connessione che openvpn riportava il seguente avviso:

ATTENZIONE: questa configurazione può memorizzare nella cache le password - utilizzare l'opzione auth-nocache per evitarlo

Quindi ho pensato di aggiungere questa opzione e vedere cosa succede. Bene, l'avviso di cui sopra scompare, ma dopo un'ora è spuntata una finestra di dialogo che mi chiedeva nome utente e password.

Ho notato che la configurazione precedente di Andrew non contiene questa opzione, quindi sono un po 'perplesso sul perché non memorizza nella cache la password. Forse questo è perché sto usando una versione più recente di openvpn o forse può essere impostato sulla configurazione del server per inviare questa opzione al client.

Questo è stato visto su: OpenVPN 2.2.1-8 + deb7u2 con OpenVPN GUI v5 per Windows.