Falla de autenticación de OpenVPN HMAC No importa ¿Qué hago?

14

Tengo un problema con mi servidor openvpn, que ejecuta Debian Wheezy x64, y mi cliente, que ejecuta Ubuntu 14.10 x64. Parece que no importa qué configuraciones intente, me sale este error, una y otra vez, al menos un par de veces por minuto:

Mon Mar  9 22:14:10 2015 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Mar  9 22:14:10 2015 TLS Error: incoming packet authentication failed from [AF_INET] x.x.x.(clientip)

Estoy usando esta configuración en el servidor:

local x.x.x.x
port xxxx
proto udp
dev tun
ca /etc/openvpn/.certs/ca.crt
cert /etc/openvpn/.certs/[email protected]
key /etc/openvpn/.certs/[email protected]
dh /etc/openvpn/.certs/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir clients
client-to-client
keepalive 7 80
tls-auth /etc/openvpn/.certs/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 3
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
tun-mtu 1500
auth SHA256

Y en el cliente, la configuración es administrada por el administrador de red, pero tengo la dirección de la clave correcta, el certificado tls correcto, un mtu correspondiente, la directiva SHA256 de autenticación, y está configurado para verificar el DN, etc. algo que me estoy perdiendo?

Intenté diferentes cifrados de autenticación, regenerando la clave tls (con --gen-key --secret ta.key), y el error persiste. La VPN funciona bien, aunque mis velocidades son ligeramente más bajas de lo que deberían ser. Cualquier ayuda sería apreciada.

openvpn Chev_603
fuente
Estoy tratando de resolver el mismo problema, mientras tanto estoy ejecutando openvpn como servicio de forma manual. Es un problema conocido, parece que el administrador de red solo es capaz de ejecutar el SHA1 predeterminado https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/1217094

Respuestas:

14

En realidad, la solución en mi caso fue agregar estas directivas al server.conf:

mode server
tls-server

Y que a la configuración del cliente:

 tls-client

Y si usa una clave tls incrustada vía <tls-auth>, agregue

key-direction 1

Si usa el administrador de red, asegúrese de que esté marcada la opción 'esperar autenticación tls'.

Chev_603
fuente
2
Seguí tu publicación pero no pasó nada: (
tq
Me encontré con el mismo problema hoy. Esto parece correcto, asegúrese de que su dirección clave esté configurada en consecuencia. Usando la configuración anterior, si su cliente ha key-direction 1configurado su servidor para tener key-direction 0. Esto resolvió mi problema
Kevin
Otra fuente de error podría ser especificar cipherexplícitamente y establecerlo en un valor incorrecto.
arrowd
3

Agregar líneas de autenticación y cifrado que coincidan con las del archivo server.conf al archivo .conf del cliente debería ser suficiente. O si está utilizando Network Manager para el cliente, haga clic en Cipher and HMAC Authentication, y agregue la configuración en las líneas de cifrado y autenticación en el server.conf. Deberia de funcionar.

SinaOwolabi
fuente