OpenVPN - FBSD server / Linux client

kazcor

kazcor

Reigstreed Usre
Hallo *,

habe häuslicherweise einen OpenVPN server auf FreeBSD zur Absicherung des WLANs sowie bisher einen Laptop (ebenfalls fbsd) als client. Funktioniert anstandslos soweit. Gestern habe ich meinen neuen Arbeitslaptop (Linux) versucht in diese Konstellation einzupflegen.
Die Verbindung baut sich auch korrekt auf, wird dann jedoch alle paar Sekunden getrennt. Folgende Ausgabe auf Serverseite:
Code: 
Nov  9 10:04:48 psycho openvpn[849]: TLS: new session incoming connection from 192.168.42.7:1194
Nov  9 10:04:48 psycho openvpn[849]: VERIFY OK: depth=1, /C=xx/ST=xx/L=xxxxxx/O=xxxxxxx/CN=xxxxxxxxxx/emailAddre
ss=xxxxx@yyyy.zz
Nov  9 10:04:48 psycho openvpn[849]: VERIFY OK: depth=0, /C=xx/ST=xx/L=xxxxxx/O=xxxxxxx/CN=xxxxxxxxxx/emailAddre
ss=xxxxx@yyyy.zz
Nov  9 10:04:48 psycho openvpn[849]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Nov  9 10:04:48 psycho openvpn[849]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authenti
cation
Nov  9 10:04:48 psycho openvpn[849]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Nov  9 10:04:48 psycho openvpn[849]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authenti
cation
Nov  9 10:04:48 psycho openvpn[849]: TLS: move_session: dest=TM_ACTIVE src=TM_UNTRUSTED reinit_src=1
Nov  9 10:04:48 psycho openvpn[849]: TLS: tls_multi_process: untrusted session promoted to trusted
Nov  9 10:04:48 psycho openvpn[849]: TLS Error: local/remote TLS keys are out of sync: 192.168.42.6:1194 [0]
Sprich, die Serverseite bricht ein, was auch alle anderen Clients mitzieht. Auf Clientseite ist den Logs nicht viel zu entnehmen.
Das Problem scheint auch durchaus bekannt zu sein, wie hier zu lesen. Jedoch ist bei mir die Einstellung für keepalive (ping/ping-restart) bereits recht klein gewählt und sollte eigentlich so funktionieren.

Jetzt zur Konfiguration. Die Serverseite (192.168.42.2/10.1.0.1) sieht aus wie folgt:
Code: 
dev tap
link-mtu 1500
fragment 1300
mssfix
up ./server.up
tls-server
dh dh2048.pem
ca server-ca.crt
cert server.crt
key server.key
port 1194
user nobody
group nobody
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3
Die passende Clientseite (192.168.42.6/10.1.0.3):
Code: 
dev tap
link-mtu 1500
fragment 1300
mssfix
remote 192.168.42.2
float
ifconfig 10.1.0.3 255.255.255.0
up ./client.up
tls-client
ca server-ca.crt
cert client.crt
key client.key
port 1194
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 5
Die Clientseite hat keine Firewall, die entscheidenden PF Regeln auf Serverseite sind wie folgt:
Code: 
pass out on sis0 inet proto tcp from 192.168.42.2 to any keep state
pass out on sis0 inet proto udp from 192.168.42.2 to any keep state
pass in on sis0 inet proto tcp from 192.168.42.6 to 192.168.42.2 port = 1194
pass in on sis0 inet proto udp from 192.168.42.6 to 192.168.42.2 port = 1194
pass on tap0 inet proto tcp from 10.1.0.0/24 to any keep state
pass on tap0 inet proto udp from 10.1.0.0/24 to any keep state

Kennt jemand das Problem oder hat spontan eine Idee, wie man weiter vorgehen sollte?

Cheers,
kaz
 
Hi Kazcor

Sind denn Server und Client in der gleichen Version?
Versuch mal mit "cipher VERSCHLÜSSELUNG" in der Server- und Clientconfig die Art der Verschlüsselung festzulegen.
 
Linux hat 2.0.9, der andere Client & der Server fahren 2.0.6 - dürfte eigentlich nicht das Problem sein. Den Cipher direkt anzugeben bringt auch keinen Erfolg - die beiden verwenden laut log eh standardmaessig BF-CBC.

Danke trotzdem für die Antwort.

Hab inzwischen alle Pforten geöffnet und damit pf als Verursacher ausgeschlossen. OpenVPN via TCP stellt für mich erstmal keine Lösung dar - das habe ich in den letzten Stunden versucht zum Laufen zu bewegen :ugly:
 
Hi kazcor,

hast Du pro Client unterschiedliche Certs? Oder sind es die gleichen?
Wenn ja musst Du noch eine Zeile hinzufuegen in Deiner Serverkonfig:

duplicate-cn




CAT
 
cat1510 schrieb:
hast Du pro Client unterschiedliche Certs? Oder sind es die gleichen?
Wenn ja musst Du noch eine Zeile hinzufuegen in Deiner Serverkonfig:

duplicate-cn
Zum Vergrößern anklicken....
Ne, sind unterschiedlich. Aber gut zu wissen, danke :)

@dark_angel:
Probier ich dann am kommenden WE mal aus.

@mincer:
Yep, hatte beide auf 5, hat aber (für mich) nichts einsehbar neues gebracht. Wenn ich sie auf 9 setze, kann ich nicht mehr viel in der Flut an Informationen erkennen. Alles dazwischen hab ich noch nicht ausprobiert. Evtl. geb ich mir das aber auch mal am WE, wenn ich zuviel Zeit hab :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben