LINUX.ORG.RU

OpenVPN: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

 ,


0

2

Собственно, ошибка описана в топике: не коннектится к поднятому VPN на Ubuntu 14 c OS X Yosemite с помощью Tunnelblick.

Сразу хочу заметить, что вижу check your network connectivity, но тем не менее не понимаю, в чем дело.

Также гуглил, на оф сайте нашел:

One of the most common problems in setting up OpenVPN is that the two OpenVPN daemons on either side of the connection are unable to establish a TCP or UDP connection with each other.

This is almost a result of:

1) A perimeter firewall on the server's network is filtering out incoming OpenVPN packets (by default OpenVPN uses UDP or TCP port number 1194).

2) A software firewall running on the OpenVPN server machine itself is filtering incoming connections on port 1194. Be aware that many OSes will block incoming connections by default, unless configured otherwise.

3) A NAT gateway on the server's network does not have a port forward rule for TCP/UDP 1194 to the internal address of the OpenVPN server machine.

4) The OpenVPN client config does not have the correct server address in its config file. The remote directive in the client config file must point to either the server itself or the public IP address of the server network's gateway.

5) Another possible cause is that the windows firewall is blocking access for the openvpn.exe binary. You may need to whitelist (add it to the «Exceptions» list) it for OpenVPN to work.

Хотелось бы конечно, самостоятельно проверить каждый пункт, но увы не хватает знаний в Linux.

server.conf

#Порт для подключения, стандартный 1194, но вы можете выбрать тот который больше нравится

port 1194

#Тип соединения TCP или UDP

proto udp

#Тин тоннеля

dev tun

#Список сертификатов

ca /etc/openvpn/ca.crt

cert /etc/openvpn/server.crt

key /etc/openvpn/server.key

dh /etc/openvpn/dh2048.pem

# При подключении мы будем попадать в эту сеть

server 192.168.100.0 255.255.255.0

#Сохраняем выдаенные адреса клиентов в файл

ifconfig-pool-persist ipp.txt

#Проверяем состояние канала

keepalive 20 120

#использовать сжатие

comp-lzo

persist-key

persist-tun

#включаем логирование

status openvpn-status.log

#уровень логирования

verb 3

#Определяем наш OpenVPN сервер в качестве шлюза по умолчанию

push «redirect-gateway» ##### МОЖЕТ ЗДЕСЬ ошибка?

#Разрешаем соединения между клиентами

client-to-client

#добавляем маршруты

route 192.168.100.0 255.255.255.0

#Указываем DNS сервер

push «dhcp-option 8.8.8.8» # ИЛИ ТУТ?

client.ovpn

client

dev tun

proto udp

# Указываем адрес и порт своего сервера

# Если адрес статический то достаточно прописать IP.

remote ip 1194

resolv-retry infinite

nobind

persist-key

persist-tun

ca /Users/Ivan/OVPN/ca.crt

cert /Users/Ivan/OVPN/t.crt

key /Users/Ivan/OVPN/t.key

comp-lzo

verb 3

push redirect-gateway def1

Ответ на: комментарий от KillTheCat

sudo cat /var/log/openvpn.log

No such file or directory

То смотрел, писал об этом в топике, что не знаю как проверить каждый из пунктов...

Iceland ()

Самая бесячая проблема, причин может быть масса.

push «redirect-gateway» ##### МОЖЕТ ЗДЕСЬ ошибка?

Нет, у тебя до этого даже не доходит.

Советую начать со смены порта (хорошо бы повесить на 443 или 80, если есть возможность, на время проверки) и udp на tcp.

Да, важное уточнение - другие клиенты не проверял с этим сервером?

xtraeft ★★☆☆ ()
Последнее исправление: xtraeft (всего исправлений: 1)

client.ovpn
remote ip 1194

У тебя там прямо так и написано или вместо ip ip\адрес сервера?

KillTheCat ★★★★★ ()
Ответ на: комментарий от xtraeft

>> Советую начать со смены порта (хорошо бы повесить на 443 или 80, если есть возможность, на время проверки) и udp на tcp.

Заработало на tcp 443

Но теперь нету интернета. Т.е. tunnelblick коннектится, авторизовывается, но нельзя зайти ни на какой сайт.

Iceland ()
Ответ на: комментарий от Iceland

Заработало на tcp 443

Значит клиент, сервер или кто-то между ними режут или udp, или 1194 порт.

Но теперь нету интернета. Т.е. tunnelblick коннектится, авторизовывается, но нельзя зайти ни на какой сайт.

1. Маскарад или snat на сервере настроен? ip_forward включен?
2. Логи туннелблика покажи.

xtraeft ★★☆☆ ()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от xtraeft

2. Логи туннелблика покажи.

2014-11-09 16:12:59 *Tunnelblick: OS X 10.10.0; Tunnelblick 3.4.1 (build 4054)
2014-11-09 16:12:59 *Tunnelblick: Attempting connection with config using shadow copy; Set nameserver = 1; monitoring connection
2014-11-09 16:12:59 *Tunnelblick: openvpnstart start config.tblk 1338 1 0 1 0 16688 -ptADGNWradsgnw 2.3.4
2014-11-09 16:12:59 *Tunnelblick: openvpnstart starting OpenVPN
2014-11-09 16:13:00 *Tunnelblick: openvpnstart log:
     Tunnelblick: 
     OpenVPN started successfully. Command used to start OpenVPN (one argument per displayed line):
     
          /Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.3.4/openvpn
          --daemon
          --log
          /Library/Application Support/Tunnelblick/Logs/-SUsers-SIvan-SLibrary-SApplication Support-STunnelblick-SConfigurations-Sconfig.tblk-SContents-SResources-Sconfig.ovpn.1_0_1_0_16688.1338.openvpn.log
          --cd
          /Library/Application Support/Tunnelblick/Users/Ivan/config.tblk/Contents/Resources
          --config
          /Library/Application Support/Tunnelblick/Users/Ivan/config.tblk/Contents/Resources/config.ovpn
          --cd
          /Library/Application Support/Tunnelblick/Users/Ivan/config.tblk/Contents/Resources
          --management
          127.0.0.1
          1338
          --management-query-passwords
          --management-hold
          --script-security
          2
          --up
          /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d -f -ptADGNWradsgnw
          --down
          /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d -f -ptADGNWradsgnw

2014-11-09 16:13:00 *Tunnelblick: Established communication with OpenVPN
2014-11-09 16:13:00 OpenVPN 2.3.4 x86_64-apple-darwin [SSL (OpenSSL)] [LZO] [PKCS11] [MH] [IPv6] built on Oct 15 2014
2014-11-09 16:13:00 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
2014-11-09 16:13:00 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1338
2014-11-09 16:13:00 Need hold release from management interface, waiting...
2014-11-09 16:13:00 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:1338
2014-11-09 16:13:00 MANAGEMENT: CMD 'pid'
2014-11-09 16:13:00 MANAGEMENT: CMD 'state on'
2014-11-09 16:13:00 MANAGEMENT: CMD 'state'
2014-11-09 16:13:00 MANAGEMENT: CMD 'bytecount 1'
2014-11-09 16:13:00 MANAGEMENT: CMD 'hold release'
2014-11-09 16:13:00 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2014-11-09 16:13:00 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2014-11-09 16:13:00 Socket Buffers: R=[131072->65536] S=[131072->65536]
2014-11-09 16:13:00 Attempting to establish TCP connection with [AF_INET]62.109.17.235:443 [nonblock]
2014-11-09 16:13:00 MANAGEMENT: >STATE:1415538780,TCP_CONNECT,,,
2014-11-09 16:13:01 TCP connection established with [AF_INET]62.109.17.235:443
2014-11-09 16:13:01 TCPv4_CLIENT link local: [undef]
2014-11-09 16:13:01 TCPv4_CLIENT link remote: [AF_INET]62.109.17.235:443
2014-11-09 16:13:01 MANAGEMENT: >STATE:1415538781,WAIT,,,
2014-11-09 16:13:01 MANAGEMENT: >STATE:1415538781,AUTH,,,
2014-11-09 16:13:01 TLS: Initial packet from [AF_INET]62.109.17.235:443, sid=6056b40b 353655c0
2014-11-09 16:13:01 VERIFY OK: depth=1, C=RU, ST=MO, L=Moscow, O=Is-gaming, OU=OpenVPNHosting, CN=Is-gaming CA, name=EasyRSA, emailAddress=theicelander88@gmail.com
2014-11-09 16:13:01 VERIFY OK: depth=0, C=RU, ST=MO, L=Moscow, O=Is-gaming, OU=OpenVPNHosting, CN=server, name=EasyRSA, emailAddress=theicelander88@gmail.com
2014-11-09 16:13:02 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
2014-11-09 16:13:02 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2014-11-09 16:13:02 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
2014-11-09 16:13:02 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2014-11-09 16:13:02 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
2014-11-09 16:13:02 [server] Peer Connection Initiated with [AF_INET]62.109.17.235:443
2014-11-09 16:13:03 MANAGEMENT: >STATE:1415538783,GET_CONFIG,,,
2014-11-09 16:13:04 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
2014-11-09 16:13:04 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,dhcp-option 8.8.8.8,route 192.168.100.0 255.255.255.0,topology net30,ping 20,ping-restart 120,ifconfig 192.168.100.6 192.168.100.5'
2014-11-09 16:13:04 OPTIONS IMPORT: timers and/or timeouts modified
2014-11-09 16:13:04 OPTIONS IMPORT: --ifconfig/up options modified
2014-11-09 16:13:04 OPTIONS IMPORT: route options modified
2014-11-09 16:13:04 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2014-11-09 16:13:04 Opened utun device utun0
2014-11-09 16:13:04 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
2014-11-09 16:13:04 MANAGEMENT: >STATE:1415538784,ASSIGN_IP,,192.168.100.6,
2014-11-09 16:13:04 /sbin/ifconfig utun0 delete
                                        ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
2014-11-09 16:13:04 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
2014-11-09 16:13:04 /sbin/ifconfig utun0 192.168.100.6 192.168.100.5 mtu 1500 netmask 255.255.255.255 up
2014-11-09 16:13:04 /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d -f -ptADGNWradsgnw utun0 1500 1544 192.168.100.6 192.168.100.5 init
                                        **********************************************
                                        Start of output from client.up.tunnelblick.sh
                                        UNKNOWN: 'foreign_option_1' = 'dhcp-option 8.8.8.8' ignored
                                        No DNS information received from OpenVPN, so no network configuration changes need to be made.
                                        Will NOT monitor for other network configuration changes.
                                        End of output from client.up.tunnelblick.sh
                                        **********************************************
2014-11-09 16:13:06 /sbin/route add -net 62.109.17.235 192.168.0.1 255.255.255.255
                                        add net 62.109.17.235: gateway 192.168.0.1
2014-11-09 16:13:06 /sbin/route delete -net 0.0.0.0 192.168.0.1 0.0.0.0
                                        delete net 0.0.0.0: gateway 192.168.0.1
2014-11-09 16:13:06 /sbin/route add -net 0.0.0.0 192.168.100.5 0.0.0.0
                                        add net 0.0.0.0: gateway 192.168.100.5
2014-11-09 16:13:06 MANAGEMENT: >STATE:1415538786,ADD_ROUTES,,,
2014-11-09 16:13:06 /sbin/route add -net 192.168.100.0 192.168.100.5 255.255.255.0
                                        add net 192.168.100.0: gateway 192.168.100.5
2014-11-09 16:13:06 Initialization Sequence Completed
2014-11-09 16:13:06 MANAGEMENT: >STATE:1415538786,CONNECTED,SUCCESS,192.168.100.6,62.109.17.235
2014-11-09 16:13:06 *Tunnelblick: No 'connected.sh' script to execute

И в самом низу, наверное, самое главное:

2014-11-09 16:13:42 *Tunnelblick: After 30.0 seconds, gave up trying to fetch IP address information using the ipInfo host's name after connecting. 2014-11-09 16:14:12 *Tunnelblick: After 30.0 seconds, gave up trying to fetch IP address information using the ipInfo host's IP address after connecting.

Iceland ()
Ответ на: комментарий от Iceland

1. Маскарад или snat на сервере настроен? ip_forward включен?
2. С подключенным openvpn с клиента попингуй 8.8.8.8. Возможно, трафик ходит, просто днс не работают. У тебя они почему то не пушатся.

xtraeft ★★☆☆ ()

Замени push «dhcp-option 8.8.8.8» на

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
KillTheCat ★★★★★ ()
Ответ на: комментарий от xtraeft

1. Маскарад или snat на сервере настроен? ip_forward включен?

Спасибо, дело было в этом.

Iceland ()

Нужно подсказать серверу, что время действия ключа уже наступило! Проверить системное время сервера, если кто не понял ;) С ув., walter@ukr.net

anonymous ()
Ответ на: комментарий от anonymous

А как это сделать? У меня та же проблема с tunnelblic.Файл с конфигами закинул в айфон все работает,конектится по 443 порту,выход в интернет есть! такж файл с конфигами закинул в openvpn на windows коннект работает,выход в интернет есть!!! но в туннельблик ни в какую не хочет работать;((

anonymous ()
Ответ на: комментарий от Iceland

Подскажи пожалуйста как решил проблему? У меня те же траблы с коннектом tunnelblick.связь с сервером устанавливается а в интернет выйти не может.Вообщем в логах туннельблика те же ошибки что и тебя!!ответ оставь в конце темы;)

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.