Falha na autenticação OpenVPN HMAC Não importa O que eu faço?


14

Estou tendo um problema com meu servidor openvpn, executando o Debian Wheezy x64, e meu cliente, executando o Ubuntu 14.10 x64. Parece que não importa quais configurações eu tente, eu recebo esse erro repetidamente, pelo menos algumas vezes por minuto:

Mon Mar  9 22:14:10 2015 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Mar  9 22:14:10 2015 TLS Error: incoming packet authentication failed from [AF_INET] x.x.x.(clientip)

Estou usando esta configuração no servidor:

local x.x.x.x
port xxxx
proto udp
dev tun
ca /etc/openvpn/.certs/ca.crt
cert /etc/openvpn/.certs/$up3rR@nD0mCN.crt
key /etc/openvpn/.certs/$up3rR@nD0mCN.key
dh /etc/openvpn/.certs/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir clients
client-to-client
keepalive 7 80
tls-auth /etc/openvpn/.certs/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 3
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
tun-mtu 1500
auth SHA256

E no cliente, a configuração é gerenciada pelo gerenciador de rede, mas tenho a direção da chave correta, o certificado tls correto, um mtu correspondente, a diretiva auth SHA256 e está configurada para verificar o DN, etc. algo que estou perdendo?

Tentei cifras de autenticação diferentes, regenerando a chave tls (com --gen-key --secret ta.key), e o erro persiste. A VPN funciona bem, embora minhas velocidades sejam um pouco mais baixas do que deveriam. Qualquer ajuda seria apreciada.


Estou tentando resolver o mesmo problema. Enquanto isso, estou executando o openvpn como um serviço manualmente. É um problema conhecido, o gerenciador de rede parece ser capaz de executar o SHA1 padrão https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/1217094

Respostas:


14

Na verdade, a solução no meu caso foi adicionar essas diretivas ao server.conf:

mode server
tls-server

E que para a configuração do cliente:

 tls-client

E se você usar uma chave tls incorporada via <tls-auth>, adicione

key-direction 1

Se estiver usando o gerenciador de rede, verifique se a opção 'esperar autenticação tls' está marcada.


2
Eu segui sua postagem, mas nada aconteceu: (
tq

Corremos para o mesmo problema hoje. Parece correto, verifique se a direção da chave está definida de acordo. Usando a configuração acima, se seu cliente key-direction 1configurou seu servidor key-direction 0. Isso resolveu o meu problema
Kevin

Outra fonte de erro pode estar especificando cipherexplicitamente e configurando-o para um valor errado.
arrowd 10/01

3

A adição de linhas de autenticação e cifra correspondentes às do arquivo server.conf ao arquivo .conf do cliente deve ser suficiente. Ou, se você estiver usando o Network Manager para o cliente, clique em Cipher e HMAC Authentication e adicione as configurações nas linhas de cifra e autenticação no server.conf. Deveria funcionar.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.