OpenVPN TLS key negotiation failed

Показывай конфиг. А ещё почитай, как оформлять сообщения

Конфиг сервера

port 1194
proto udp4
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1

Конфиг клиента

client
dev tun
proto udp4
remote {ip} 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert m.romanov.crt
key m.romanov.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3

1. На клиенте в типовой конфигурации nat/POSTROUTING не нужен

2. 10.8.0.0/8 - правда что ли? Может всё же /16 ?

3. tcpdump в руки и смотреть трафик

маску исправил
при вводе команды sudo tcpdump -i tun0 вообще никакого трафика нет

Добавь вывод логов (log <файл, куда писать логи>, если ничего не путаю) как на сервере, так и на клиенте

А что с настройкой аутентификации тлс ключа на сервере/клиенте? Настраивалось?

Сгенерировал ключ, добавил ссылку на него в конфиг сервера, скопировал его в архив клиента и в конфиге клиета тоже прописал ссылку на него.

Лог сервера и клиента закинь плиз

Думается мне, что ты напутал кому какой ключ закинуть. Есть конечно опция в опенвпн, включение которой решит проблему. Но так делать нельзя.

Логи клиента

2021-09-14 16:06:17.577274 MANAGEMENT: CMD ‘hold release’
2021-09-14 16:06:17.577398 NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
2021-09-14 16:06:17.587378 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2021-09-14 16:06:17.587401 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2021-09-14 16:06:17.588225 TCP/UDP: Preserving recently used remote address: [AF_INET]{ip}:1194
2021-09-14 16:06:17.588283 Socket Buffers: R=[786896->786896] S=[9216->9216]
2021-09-14 16:06:17.588298 UDPv4 link local: (not bound)
2021-09-14 16:06:17.588310 UDPv4 link remote: [AF_INET]{ip}:1194
2021-09-14 16:06:17.588358 MANAGEMENT: >STATE:1631624777,WAIT,,,,,,
2021-09-14 16:07:17.945518 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2021-09-14 16:07:17.945629 TLS Error: TLS handshake failed
2021-09-14 16:07:17.946528 SIGUSR1[soft,tls-error] received, process restarting
2021-09-14 16:07:17.946767 MANAGEMENT: >STATE:1631624837,RECONNECTING,tls-error,,,,,

Логи сервера

Tue Sep 14 16:26:28 2021 us=28209 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021
Tue Sep 14 16:26:28 2021 us=28263 library versions: OpenSSL 1.1.1f 31 Mar 2020, LZO 2.10
Tue Sep 14 16:26:28 2021 us=29086 PKCS#11: pkcs11_initialize - entered
Tue Sep 14 16:26:28 2021 us=29205 PKCS#11: pkcs11_initialize - return 0-‘CKR_OK’
Tue Sep 14 16:26:28 2021 us=38450 Diffie-Hellman initialized with 2048 bit key
Tue Sep 14 16:26:28 2021 us=39103 PRNG init md=SHA1 size=36
Tue Sep 14 16:26:28 2021 us=39238 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Tue Sep 14 16:26:28 2021 us=39258 Outgoing Control Channel Authentication: HMAC KEY: 0fc45afa 55a73232 65bd4bfb 81290e1d 3151819d
Tue Sep 14 16:26:28 2021 us=39269 Outgoing Control Channel Authentication: HMAC size=20 block_size=20
Tue Sep 14 16:26:28 2021 us=39282 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Tue Sep 14 16:26:28 2021 us=39299 Incoming Control Channel Authentication: HMAC KEY: 3c546ee3 a63a358c b29fe550 29d0315b ce5842ee
Tue Sep 14 16:26:28 2021 us=39312 Incoming Control Channel Authentication: HMAC size=20 block_size=20
Tue Sep 14 16:26:28 2021 us=39327 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 28 bytes
Tue Sep 14 16:26:28 2021 us=39359 TLS-Auth MTU parms [ L:1621 D:1184 EF:66 EB:0 ET:0 EL:3 ]
Tue Sep 14 16:26:28 2021 us=39373 MTU DYNAMIC mtu=1450, flags=2, 1621 -> 1450
Tue Sep 14 16:26:28 2021 us=42251 ROUTE_GATEWAY 10.0.0.1
Tue Sep 14 16:26:28 2021 us=44507 TUN/TAP device tun0 opened
Tue Sep 14 16:26:28 2021 us=45831 TUN/TAP TX queue length set to 100
Tue Sep 14 16:26:28 2021 us=45931 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Sep 14 16:26:28 2021 us=45957 /sbin/ip link set dev tun0 up mtu 1500
Tue Sep 14 16:26:28 2021 us=61732 /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Tue Sep 14 16:26:28 2021 us=65209 /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
Tue Sep 14 16:26:28 2021 us=69537 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ]
Tue Sep 14 16:26:28 2021 us=69631 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Sep 14 16:26:28 2021 us=69681 UDPv4 link local (bound): [AF_INET][undef]:1194
Tue Sep 14 16:26:28 2021 us=69696 UDPv4 link remote: [AF_UNSPEC]
Tue Sep 14 16:26:28 2021 us=69724 MULTI: multi_init called, r=256 v=256
Tue Sep 14 16:26:28 2021 us=69774 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Tue Sep 14 16:26:28 2021 us=69817 IFCONFIG POOL LIST
Tue Sep 14 16:26:28 2021 us=69869 PO_INIT maxevents=4 flags=0x00000002
Tue Sep 14 16:26:28 2021 us=71700 Initialization Sequence Completed
Tue Sep 14 16:26:28 2021 us=71756 SCHEDULE: schedule_find_least NULL
Tue Sep 14 16:26:28 2021 us=71774 PO_CTL rwflags=0x0001 ev=6 arg=0x560340717198
Tue Sep 14 16:26:28 2021 us=71787 PO_CTL rwflags=0x0001 ev=5 arg=0x560340717068
Tue Sep 14 16:26:28 2021 us=71806 I/O WAIT TR|Tw|SR|Sw [10/0]
Tue Sep 14 16:26:28 2021 us=71829 PO_WAIT[1,0] fd=5 rev=0x00000001 rwflags=0x0001 arg=0x560340717068
Tue Sep 14 16:26:28 2021 us=71843 event_wait returned 1
Tue Sep 14 16:26:28 2021 us=71856 I/O WAIT status=0x0004
Tue Sep 14 16:26:28 2021 us=71999 read from TUN/TAP returned 48
Tue Sep 14 16:26:28 2021 us=72028 SCHEDULE: schedule_find_least NULL
Tue Sep 14 16:26:28 2021 us=72042 PO_CTL rwflags=0x0001 ev=6 arg=0x560340717198
Tue Sep 14 16:26:28 2021 us=72055 PO_CTL rwflags=0x0001 ev=5 arg=0x560340717068
Tue Sep 14 16:26:28 2021 us=72071 I/O WAIT TR|Tw|SR|Sw [10/0]
Tue Sep 14 16:26:32 2021 us=191847 PO_WAIT[1,0] fd=5 rev=0x00000001 rwflags=0x0001 arg=0x560340717068
Tue Sep 14 16:26:32 2021 us=191943 event_wait returned 1
Tue Sep 14 16:26:32 2021 us=191960 I/O WAIT status=0x0004
Tue Sep 14 16:26:32 2021 us=191989 MULTI: REAP range 0 -> 16
Tue Sep 14 16:26:32 2021 us=192016 read from TUN/TAP returned 48
Tue Sep 14 16:26:32 2021 us=192055 SCHEDULE: schedule_find_least NULL
Tue Sep 14 16:26:32 2021 us=192069 PO_CTL rwflags=0x0001 ev=6 arg=0x560340717198
Tue Sep 14 16:26:32 2021 us=192080 PO_CTL rwflags=0x0001 ev=5 arg=0x560340717068
Tue Sep 14 16:26:32 2021 us=192107 I/O WAIT TR|Tw|SR|Sw [10/0]

У сервера и клиента одинаковые ta.key и ca.crt, так же у клиента сгенерированные для него client.crt и client.key

Блджад. Вытекли глаза. Ты хоть какой пастебин бы заюзал.

Проблема у тебя с ключами. С ними надо разбираться. Сейчас посмотрю вменяемый ман.

Вот тут обычно более-менее вменяемо бывает https://www.digitalocean.com/community/tutorials/how-to-set-up-and-configure-an-openvpn-server-on-ubuntu-20-04-ru

Потрай. Там даже ключи правильные делают.

У вас часики не правильно ходють или вы нам логи за разное время кажите?

О, товарищ анк пожаловали. Я в часики не вдавался. Вытекли глаза. Достаточно того, что рукопожатие не происходит. Что было очевидно даже по старту топика.

Как Ваши успехи?

Спасибо! Попробую повторить все по этому гайду.

Вэлком. Если не получится, обращайси.

Естественно нет - у вас сессия не установлена. Смотрите на внешнем интерфейсе а не на туннеле

Попробуйте еще TCP а не UDP и отключите tls auth

В том, что не установлена сессия в его случае нет сетевой подоплеки. Проблема с сертификатами. Решить в лоб эту пробоеиу можно единственной директивой в настройках овпн сервера, но так делать нельзя.

Не сбивайте человека с толку. Нельзя действовать методом перебора вводных. Это контрпродуктивно. Если Вы внимательнее посмотрите на описание проблемы и логи, Вы увидите ошибку, наверное.

Пс. Если написано обратитесь к сетевому администратору, далеко не всегда значит, что проблема с сетью. Надо уметь понимать проблему.

Я сделал все по этому гайду, та же самая ошибка(

Ок. Старые сертификаты и весь софт надеюсь сносили, прежде чем делать?! Вместе с удалением конфигов. Хорошо. Попробуйте время на клиенте и сервере сделать чуть более равнозначным в минутах.

iptables -L тоже не помешает.

Сносил.

Время на клиенте и сервере одинаковое.

Залил вывод iptables сюда, чтобы глаза не вытекали)

Раз сносил, тогда странно. Там годный, рабочий туториал. У всех все работает. Хостер кто?

По выводу рулсетов. Я видимо никогда не пойму зачем вы используете это дерьмо.

Вот скажи, микрософт дс сервис у тебя зачем открыт?

По овпн вроде вижу правило.

nc -z -v -u {ip} 1194 выдает Connection to {ip} 1194 port [udp/openvpn] succeeded!

Это точно со стороны клиента на сервер?

Давай чтобы сетевую составляющую разом отмести попробуем iptables -F

И разово добавить iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Чтобы уж совсем совесть очистить.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens3 -j MASQUERADE

Или так. Если интерфейс ens3 там у тебя.

И таки да. Когда флашнешь рулсеты твой ссш отвалится. Но это не бида. У всякого хостера есть доступ через kvm и или vnc в зависимости от технологии виртуализации.

На серверфолте посоны пишут что есть баг у некоторых хостеров.

Дай вывод ip addr

Ну или сам посмотри и добавь в конфиг овпн local

Говорят пофиксится.

local <ип якорь> блджа. Разметка съела

И да, никого не слушай. Для 10.8.0.0 24 будет префикс маски.

Пруф https://infocisco.ru/ip_calculator.php

Хостер firstVDS

Да, такой ответ я получил на клиентском компьютере

nc -z -v -u {ip} 1194 выдает Connection to {ip} 1194 port [udp/openvpn] succeeded!

Команды iptables ввел, вот Вывод iptables -L

Вывод ip addr

Хостер firstVDS

Стесняюсь спросить, а зачем тебе впн у них? Под какие задачи?

Да, такой ответ я получил на клиентском компьютере

Тогда с сетью нет проблемы.

Команды iptables ввел, вот Вывод iptables -L

Странно. После флаша правила должны были выглядеть не так. Или этот тупой бэкэнд подумал за тебя, как в венде и поднял все сам. Кстати обрати внимание, он микросовтовских порт открывает тебе.

Прибей эту шляпу ufw или кто эту гадость тебе генерть и повтори все то по иптаблес. Хотя я думаю, что это не поможет, но чисто эксперимента ради.

Вот где ты значение в строке 9 стер, пропиши директиву local в овпн с тем значением. Попробуй с маской и без. Кому говорят адрес помог, кому якорь.

Хотя не. В твоем случае не сработает. Это когда у хостера два айпи на интерфейс.

Сделай так, чтобы вывод iptables -L давал только маскарад.

Тс, ну шо ты там поробляешь? Давай уже закроем твой тикет, да спать пора.

Что там с очисткой правил пипитаблес и вкрячиванием правила маскарада, которое я приводил?

Или ты чиста потроллить решил, заведя тему с впн на российском хостинге?

Ну нет хендшейка у тебя. Ну дали те туториал правильный. Ну должно было оно взлететь, если ты по шагам все правильно сгенерил и раскидал.

И таки да, свежий выхлоп сервера и клиента на пастебин, плиз. Ну и чистый iptables -L только с маскарадом. Без этого вашего «вумного» бэкэнда.

Тс, как там твой туннель поживает? Хендшейкнулся а ты решил по-англицки удолиться? Или ты в принципе троллил все это время?

Если не троллил, давай доведем дело до конца.

Прошу прощения за долгий ответ. Сегодня много работы было. Хостинг у них чисто для пет-проектов, тарифы у них довольно дешевые. Впн я хотел завести для того, чтобы установить phpmyadmin и сделать доступ к нему только из локальных адресов. Я новичок во всем этом, поэтому это была наилучшая идея из тех, что пришла ко мне в голову.

Выключил ufw, но, как мне кажется, вывод iptables все равно довольно странный. Судя по всему, не судьба мне openvpn завести)

Все логи клиента

Все логи сервера

Я думаю, может просто переустановить систему и заново попробовать пройтись по туториалу… Либо может проблема в ufw, который, судя по всему, довольно странно настроен по дефолту.

Впн я хотел завести для того, чтобы установить phpmyadmin и сделать доступ к нему только из локальных адресов.

Щито??? Дичь дикая.

Ты издеваешься? Ок. Вчера был другой клиент. Сегодня туннелблик. Ты по туториалу починил шифрование. Но поломал сетевую составляющую? Куда ты пушишь роут на 0.0.0.0 ?

У меня рилли такое чувство, что ты издеваешься.

С айпитаблесом да, беда. Где маскарад? Как ты прибивал богомерзкий ufw? Ты убил непосрелственно его процесс? Проверил не авторестартнулся ли он? Современный линукс он такой. За тебя все делает. Какой тут kiss.

Если ты реально не стебешься, то так мы каши не сварим. Если тебе это рилли нужно, могу бесплатно помочь. Мне быстрее это сделать самому, чем мы будем тут обсуждать и тыкаться.

Вообще я не думаю, что оно тебе для пыходмина в принципе нужно. Достаточно просто наманого сертификата. Наманого пароля. Наманой настройки мускуля по визарду mysql secure install или как оно там.

Если ты хочешь в голландский штурвал, возьми pfsense. Там все мышкой решается на раз. И даже пыхмайодмин по моему в модулях был.

Можешь просто взять wireguard. Это клево/модно/современно. И будет тебе попроще в настройке.

Вчера тоже был туннелбик. Ufw отключил командой sudo ufw disable. В выводе top его нет. Вывод iptables -L не меняется в зависимости от того, ввожу я команду sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens3 -j MASQUERADE или нет…

В выводе top его нет

Омг. А что-то типа ps -aux | grep ufw

Изначально я хотел самостоятельно все настроить, так как интересно научиться самому все делать. Если все сделать за меня, то и смысла особого в этом нет т.к. в моем случае без openvpn прожить можно. Попробую тогда другие технологии, которые вы порекомендовали. В любом случае, спасибо большое за потраченное время.

Уважаю.

Тогда давай так.

Выноси к такой-то матери всю машину. Ставь с 0 по туториалу.

Что-нибудь отличное от бубунты оно тебе там предлагает? Образ свой ручками залить можно?

Доступные системы: Debian, Ubuntu, FreeBSD, CentOS. Свой образ, на сколько мне известно, нельзя.

Я в своей жизни только с убунтой взаимодействовал, поэтому ее и выбрал изначально, хотя слышал что ее ругают, но почему не объясняли.