openVPN - jak rozchodit

Potřebuji rozjet na Omnii openVPN - postupoval jsem podle dokumentace: https://doc.turris.cz/doc/cs/howto/openvpn_plugin
Vše naklikáno bez problémů, stažen soubor s konfigurací, tu jsem načetl v počítači do openVPN klienta. Dám připojit a nic:

Mon Oct 26 11:59:37 2020 --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add ‘–data-ciphers-fallback BF-CBC’ to your configuration and/or add BF-CBC to --data-ciphers.
Mon Oct 26 11:59:37 2020 OpenVPN 2.5_rc3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 19 2020
Mon Oct 26 11:59:37 2020 Windows version 10.0 (Windows 10 or greater) 64bit
Mon Oct 26 11:59:37 2020 library versions: OpenSSL 1.1.1h 22 Sep 2020, LZO 2.10
Mon Oct 26 11:59:37 2020 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Oct 26 11:59:37 2020 Need hold release from management interface, waiting…
Mon Oct 26 11:59:37 2020 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Oct 26 11:59:37 2020 MANAGEMENT: CMD ‘state on’
Mon Oct 26 11:59:37 2020 MANAGEMENT: CMD ‘log all on’
Mon Oct 26 11:59:37 2020 MANAGEMENT: CMD ‘echo all on’
Mon Oct 26 11:59:37 2020 MANAGEMENT: CMD ‘bytecount 5’
Mon Oct 26 11:59:37 2020 MANAGEMENT: CMD ‘hold off’
Mon Oct 26 11:59:37 2020 MANAGEMENT: CMD ‘hold release’
Mon Oct 26 11:59:37 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:1194
Mon Oct 26 11:59:37 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Oct 26 11:59:37 2020 UDP link local: (not bound)
Mon Oct 26 11:59:37 2020 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Mon Oct 26 11:59:37 2020 MANAGEMENT: >STATE:1603709977,WAIT,
Mon Oct 26 12:00:37 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Oct 26 12:00:37 2020 TLS Error: TLS handshake failed
Mon Oct 26 12:00:37 2020 SIGUSR1[soft,tls-error] received, process restarting
Mon Oct 26 12:00:37 2020 MANAGEMENT: >STATE:1603710037,RECONNECTING,tls-error,
Mon Oct 26 12:00:37 2020 Restart pause, 5 second(s)

Když jsem zkusil připojení z mobilu, tak v logu se objeví jen timeout a nepřipojí se také.

Na Omnii v logu se také objevuje problém: TLS Error: TLS key negotiation failed

Co se s tím dá prosím dělat? Prolezl jsem tady forum a na nic kloudného co by mě pomohlo nenarazil.

Zda se ze mas nejaky renonc v ciphers (z duvodu ruznych verzi klient-vs-server). Bud je vymaz z konfigu uplne (aby se vzal default) a nebo musis na obou stranach mit stejny seznam a ve stejnem poradi. Pripadne tedy doporuceny fallback (aspon na klientovi a na serveru nic). Kdyz jsem si s tim hral a pridal jsem nejaky algoritmus pro sifrovani , tak mi to uplne nechtelo chodit.

Pri spatnem nastaveni ciphers se velmi casto stava ze nefacha handshake a blbne pak i TLS.
Pak pokud zkousis spojeni v ramci lokalni site, je dobre si doplnit “float” aby ti neblbnulo routovani a pripadne “mssfix 1” (v pripade windows clienta) pripadne “fragment 0” (pokud z nejakeho duvodu neni MTU spravne a pokud je nad ramec tak dojde k fragmentaci a nespadne ti tunel.

EDIT: mrkni jeste na https://community.openvpn.net/openvpn/wiki/DeprecatedOptions

poznamky

treba mas jeste nejaky jiny renonc v nastaveni … , napriklad ja jsem dneska konecne zrusil : compress/comp_lzo nastaveni na serveru i klientech. Ktere jsem mel tak trosku ne uplne koretkne, ale aspon to fachalo … tedy do dneska, nechtel jsem znova vsem userum rikat co si kde maj umazat ci generovat configy znova. Bohuzel to asi jinak nepujde :slight_smile:

Díky za tip, ten řádek v logu jsem úplně přehlédl. Momentálně mohu pracovat jen s klientem a ikdyž jsem to na straně klienta upravil, tak se stejně nespojím.

Na Turrisu jsem to všechno naklikal v ReForisu a konfigurák pro klienta stáhl pro přidané zařízení. Nic jsem nedělal ručně a doufal jsem že to pojede. Z webu stáhl posledního openVPN klienta a zkusil spojení a nic …

Tak se v tom zkusím zítra pošťourat, až se dostanu na toho Turrise z vnitřní sítě.

Není problém náhodou tady?

Nechal jsem to u ledu a nyní se k tomu vrátil. Řešení jsem našel zde: https://www.reddit.com/r/PrivateInternetAccess/comments/j1iyl7/openvpn_client_no_longer_connects_cipher_not/?sort=old
Stačilo použít klienta 2.4.x místo 2.5.x a problém s šifrováním se “vyřešil”.

Bohužel se stále nepřipojím, tentokrát je tam chybka:

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

ale třeba to bude jako zde OpenVPN: TLS key negotiation failed. Ikdyž já jsem dopředu nic nechystal a nechat to vše na ReForisu. Ale to až se k tomu dostanu osobně.

no tohle nastava kdyz se jakoze hada nastaveni klienta s nastavenim serveru. Na strane serveru neni nic potreba. Na strane klienta mam remote-cert-tls server. U predchozich verzi jsem mel remote-cert-eku "TLS Web Server Authentication" + cestu k “ta.key” fajlu (kterej jsem si musel extra udelat podle navodu). Ono to TLS ma dve varianty (web server varianta vazana na certifikat a druha varianta vazana primo na vygenerovany tls klic).

Druhy mozny neduh jsou explicitne pouzite “ciphers”, dle me je lepsi nechat tyto na default (cize vymazat to z configu) az po rozchozeni si s tim hrat. Zvlast pro situaci kdy jsou klienti na ruznych verzich openvpn klienta :slight_smile:

remote-cert-tls server na straně klienta mám také. Klíče a to vše je přímo v jediném souboru, který mě vygeneroval turris a který jsem stáhl a použil v klientovi.

“ciphers” byl ten původní problém, protože tam je cosi špatně na straně turrisu a nefunguje to s openvpn klientem 2.5.x ale jde to s klientem 2.4.x (tak jsem to aspoň pochopil z toho odkazu co jsem dával výše)

Ale u mě to bude nyní něco na straně serveru, protože klient se pokusí připojit, pak dlouho čeká, protože nepřicházejí žádné odpovědi … in: 0B, takže se musím dostat k serveru … ale to nevím nyní kdy bude.

U mě přestalo na Omnii fungovat VPN po aktualizaci na Turris OS 5 a pomohlo odinstalování vpn z Omnie a dále odstranění rozhraní openVPN, které zbylo v LuCI a následně vše znovu nastavit.