OpenVPN HMAC-Authentifizierungsfehler, egal was ich mache?

14

Ich habe ein Problem mit meinem OpenVPN-Server, auf dem Debian Wheezy x64 ausgeführt wird, und meinem Client, auf dem Ubuntu 14.10 x64 ausgeführt wird. Es spielt keine Rolle, welche Konfigurationen ich versuche, ich erhalte diesen Fehler immer wieder, mindestens ein paar Mal pro Minute:

Mon Mar  9 22:14:10 2015 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Mar  9 22:14:10 2015 TLS Error: incoming packet authentication failed from [AF_INET] x.x.x.(clientip)

Ich verwende diese Konfiguration auf dem Server:

local x.x.x.x
port xxxx
proto udp
dev tun
ca /etc/openvpn/.certs/ca.crt
cert /etc/openvpn/.certs/[email protected]
key /etc/openvpn/.certs/[email protected]
dh /etc/openvpn/.certs/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir clients
client-to-client
keepalive 7 80
tls-auth /etc/openvpn/.certs/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 3
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
tun-mtu 1500
auth SHA256

Und auf dem Client wird die Konfiguration vom Netzwerkmanager verwaltet, aber ich habe die richtige Schlüsselrichtung, das richtige TLS-Zertifikat, eine passende MTU, die Auth-SHA256-Direktive und die Einstellung zum Überprüfen des DN usw. Ist da was fehlt mir

Ich habe verschiedene Authentifizierungscodes ausprobiert und den tls-Schlüssel neu generiert (mit --gen-key --secret ta.key), und der Fehler bleibt bestehen. Das VPN funktioniert einwandfrei, obwohl meine Geschwindigkeiten etwas niedriger sind, als sie sein sollten. Jede Hilfe wäre dankbar.

Chev_603
quelle
Ich versuche das gleiche Problem zu lösen, in der Zwischenzeit starte ich openvpn als Dienst manuell. Es ist ein bekanntes Problem, der Netzwerkmanager kann anscheinend nur das Standard-SHA1 https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/1217094

Antworten:

14

In meinem Fall bestand die Lösung darin, der server.conf die folgenden Anweisungen hinzuzufügen:

mode server
tls-server

Und dann zur Client-Konfiguration:

 tls-client

Und wenn Sie einen eingebetteten tls-Schlüssel über verwenden <tls-auth>, fügen Sie hinzu

key-direction 1

Stellen Sie bei Verwendung des Netzwerkmanagers sicher, dass das Kontrollkästchen "Authentifizierung erwarten" aktiviert ist.

Chev_603
quelle
2
Ich bin deinem Beitrag gefolgt, aber nichts ist passiert: (
tq
Bin heute zur selben Ausgabe gekommen. Dies scheint richtig zu sein, stellen Sie sicher, dass Ihre Schlüsselrichtung entsprechend eingestellt ist. Verwenden Sie die obige Konfiguration, wenn Ihr Client key-direction 1dann Ihren Server eingestellt hat key-direction 0. Dies löste mein Problem
Kevin
3

Das Hinzufügen von Authentifizierungs- und Verschlüsselungszeilen, die mit denen in der server.conf-Datei übereinstimmen, zur .conf-Datei des Clients sollte ausreichen. Wenn Sie Network Manager für den Client verwenden, klicken Sie auf Verschlüsselung und HMAC-Authentifizierung und fügen Sie die Einstellungen in den Verschlüsselungs- und Authentifizierungszeilen in der server.conf hinzu. Es sollte funktionieren.

SinaOwolabi
quelle