OpenVPN HMAC Authentication Failure No Matter Cosa faccio?

14

Sto riscontrando un problema con il mio server openvpn, che esegue Debian Wheezy x64, e il mio client, che esegue Ubuntu 14.10 x64. Sembra non importa quali configurazioni provo, ottengo questo errore, ancora e ancora, almeno un paio di volte al minuto:

Mon Mar  9 22:14:10 2015 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Mar  9 22:14:10 2015 TLS Error: incoming packet authentication failed from [AF_INET] x.x.x.(clientip)

Sto usando questa configurazione sul server:

local x.x.x.x
port xxxx
proto udp
dev tun
ca /etc/openvpn/.certs/ca.crt
cert /etc/openvpn/.certs/$up3rR@nD0mCN.crt
key /etc/openvpn/.certs/$up3rR@nD0mCN.key
dh /etc/openvpn/.certs/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir clients
client-to-client
keepalive 7 80
tls-auth /etc/openvpn/.certs/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 3
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
tun-mtu 1500
auth SHA256

E sul client, la configurazione è gestita dal gestore della rete, ma ho la direzione della chiave corretta, il certificato tls corretto, un mtu corrispondente, la direttiva auth SHA256 ed è impostato per verificare il DN, ecc ... Esiste qualcosa che mi manca?

Ho provato diversi codici di autenticazione, rigenerando la chiave tls (con --gen-key --secret ta.key) e l'errore persiste. La VPN funziona bene, anche se le mie velocità sono leggermente inferiori a quanto dovrebbero essere. Qualsiasi aiuto sarebbe apprezzato.

openvpn 
Chev_603
fonte
Sto cercando di risolvere lo stesso problema, nel frattempo eseguo openvpn come servizio manualmente. È un problema noto, il gestore di rete sembra essere in grado di eseguire solo SHA1 predefinito https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/1217094

Risposte:

14

In realtà, la soluzione nel mio caso era quella di aggiungere queste direttive a server.conf:

mode server
tls-server

E rispetto alla configurazione del client:

 tls-client

E se usi una chiave tls incorporata tramite <tls-auth>, aggiungi

key-direction 1

Se si utilizza il gestore di rete, assicurarsi che l'opzione "prevede autenticazione tls" sia selezionata.

Chev_603
fonte
2
Ho seguito il tuo post ma non è successo nulla: (
tq
Ho partecipato allo stesso problema oggi. Questo sembra corretto, assicurati che la direzione della chiave sia impostata di conseguenza. Usando la configurazione sopra, se il tuo client ha key-direction 1impostato il tuo server key-direction 0. Ciò ha risolto il mio problema
Kevin,
Un'altra fonte di errore potrebbe essere quella di specificare cipheresplicitamente e impostarlo su un valore errato.
arrowd
3

L'aggiunta di righe di autenticazione e cifratura corrispondenti a quelle nel file server.conf, al file .conf del client dovrebbe essere sufficiente. Oppure, se si utilizza Network Manager per il client, fare clic su Crittografia e autenticazione HMAC e aggiungere le impostazioni nelle righe di crittografia e di autenticazione su server.conf. Dovrebbe funzionare.

SinaOwolabi
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.