kazcor
Reigstreed Usre
Hallo *,
habe häuslicherweise einen OpenVPN server auf FreeBSD zur Absicherung des WLANs sowie bisher einen Laptop (ebenfalls fbsd) als client. Funktioniert anstandslos soweit. Gestern habe ich meinen neuen Arbeitslaptop (Linux) versucht in diese Konstellation einzupflegen.
Die Verbindung baut sich auch korrekt auf, wird dann jedoch alle paar Sekunden getrennt. Folgende Ausgabe auf Serverseite:
Sprich, die Serverseite bricht ein, was auch alle anderen Clients mitzieht. Auf Clientseite ist den Logs nicht viel zu entnehmen.
Das Problem scheint auch durchaus bekannt zu sein, wie hier zu lesen. Jedoch ist bei mir die Einstellung für keepalive (ping/ping-restart) bereits recht klein gewählt und sollte eigentlich so funktionieren.
Jetzt zur Konfiguration. Die Serverseite (192.168.42.2/10.1.0.1) sieht aus wie folgt:
Die passende Clientseite (192.168.42.6/10.1.0.3):
Die Clientseite hat keine Firewall, die entscheidenden PF Regeln auf Serverseite sind wie folgt:
Kennt jemand das Problem oder hat spontan eine Idee, wie man weiter vorgehen sollte?
Cheers,
kaz
habe häuslicherweise einen OpenVPN server auf FreeBSD zur Absicherung des WLANs sowie bisher einen Laptop (ebenfalls fbsd) als client. Funktioniert anstandslos soweit. Gestern habe ich meinen neuen Arbeitslaptop (Linux) versucht in diese Konstellation einzupflegen.
Die Verbindung baut sich auch korrekt auf, wird dann jedoch alle paar Sekunden getrennt. Folgende Ausgabe auf Serverseite:
Code:
Nov 9 10:04:48 psycho openvpn[849]: TLS: new session incoming connection from 192.168.42.7:1194
Nov 9 10:04:48 psycho openvpn[849]: VERIFY OK: depth=1, /C=xx/ST=xx/L=xxxxxx/O=xxxxxxx/CN=xxxxxxxxxx/emailAddre
ss=xxxxx@yyyy.zz
Nov 9 10:04:48 psycho openvpn[849]: VERIFY OK: depth=0, /C=xx/ST=xx/L=xxxxxx/O=xxxxxxx/CN=xxxxxxxxxx/emailAddre
ss=xxxxx@yyyy.zz
Nov 9 10:04:48 psycho openvpn[849]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Nov 9 10:04:48 psycho openvpn[849]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authenti
cation
Nov 9 10:04:48 psycho openvpn[849]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Nov 9 10:04:48 psycho openvpn[849]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authenti
cation
Nov 9 10:04:48 psycho openvpn[849]: TLS: move_session: dest=TM_ACTIVE src=TM_UNTRUSTED reinit_src=1
Nov 9 10:04:48 psycho openvpn[849]: TLS: tls_multi_process: untrusted session promoted to trusted
Nov 9 10:04:48 psycho openvpn[849]: TLS Error: local/remote TLS keys are out of sync: 192.168.42.6:1194 [0]
Das Problem scheint auch durchaus bekannt zu sein, wie hier zu lesen. Jedoch ist bei mir die Einstellung für keepalive (ping/ping-restart) bereits recht klein gewählt und sollte eigentlich so funktionieren.
Jetzt zur Konfiguration. Die Serverseite (192.168.42.2/10.1.0.1) sieht aus wie folgt:
Code:
dev tap
link-mtu 1500
fragment 1300
mssfix
up ./server.up
tls-server
dh dh2048.pem
ca server-ca.crt
cert server.crt
key server.key
port 1194
user nobody
group nobody
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3
Code:
dev tap
link-mtu 1500
fragment 1300
mssfix
remote 192.168.42.2
float
ifconfig 10.1.0.3 255.255.255.0
up ./client.up
tls-client
ca server-ca.crt
cert client.crt
key client.key
port 1194
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 5
Code:
pass out on sis0 inet proto tcp from 192.168.42.2 to any keep state
pass out on sis0 inet proto udp from 192.168.42.2 to any keep state
pass in on sis0 inet proto tcp from 192.168.42.6 to 192.168.42.2 port = 1194
pass in on sis0 inet proto udp from 192.168.42.6 to 192.168.42.2 port = 1194
pass on tap0 inet proto tcp from 10.1.0.0/24 to any keep state
pass on tap0 inet proto udp from 10.1.0.0/24 to any keep state
Kennt jemand das Problem oder hat spontan eine Idee, wie man weiter vorgehen sollte?
Cheers,
kaz