Échec de l'authentification OpenVPN HMAC, peu importe ce que je fais?

14

J'ai un problème avec mon serveur openvpn, exécutant Debian Wheezy x64, et mon client, exécutant Ubuntu 14.10 x64. Il semble que peu importe les configurations que j'essaie, j'obtiens cette erreur, encore et encore, quelques fois par minute au moins:

Mon Mar  9 22:14:10 2015 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Mar  9 22:14:10 2015 TLS Error: incoming packet authentication failed from [AF_INET] x.x.x.(clientip)

J'utilise cette configuration sur le serveur:

local x.x.x.x
port xxxx
proto udp
dev tun
ca /etc/openvpn/.certs/ca.crt
cert /etc/openvpn/.certs/[email protected]
key /etc/openvpn/.certs/[email protected]
dh /etc/openvpn/.certs/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir clients
client-to-client
keepalive 7 80
tls-auth /etc/openvpn/.certs/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 3
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
tun-mtu 1500
auth SHA256

Et sur le client, la configuration est gérée par le gestionnaire de réseau, mais j'ai la direction de clé correcte, le certificat tls correct, un mtu correspondant, la directive auth SHA256, et il est réglé pour vérifier le DN, etc. quelque chose qui me manque?

J'ai essayé différents chiffrements d'authentification, en régénérant la clé tls (avec --gen-key --secret ta.key), et l'erreur persiste. Le VPN fonctionne bien, bien que mes vitesses soient légèrement inférieures à ce qu'elles devraient être. Toute aide serait appréciée.

openvpn Chev_603
la source
J'essaie de résoudre le même problème, en attendant, j'exécute manuellement openvpn en tant que service. C'est un problème connu, le gestionnaire de réseau ne semble être capable d'exécuter que le SHA1 par défaut https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/1217094

Réponses:

14

En fait, la solution dans mon cas était d'ajouter ces directives au server.conf:

mode server
tls-server

Et qu'à la configuration client:

 tls-client

Et si vous utilisez une clé tls intégrée via <tls-auth>, ajoutez

key-direction 1

Si vous utilisez le gestionnaire de réseau, assurez-vous que «s'attendre à l'authentification tls» est cochée.

Chev_603
la source
2
J'ai suivi votre message mais rien ne s'est produit: (
tq
Couru dans le même problème aujourd'hui. Cela semble correct, assurez-vous que la direction de votre clé est définie en conséquence. En utilisant la configuration ci-dessus, si votre client a key-direction 1ensuite configuré votre serveur key-direction 0. Cela a résolu mon problème
Kevin
Une autre source d'erreur peut être la spécification cipherexplicite et la définition d'une valeur incorrecte.
arrowd
3

L'ajout de lignes d'authentification et de chiffrement correspondant à celles du fichier server.conf au fichier .conf du client devrait être suffisant. Ou si vous utilisez Network Manager pour le client, cliquez sur Chiffrement et authentification HMAC et ajoutez les paramètres dans les lignes de chiffrement et d'authentification à partir du serveur.conf. Ça devrait marcher.

SinaOwolabi
la source