Ошибка при настройке OpenVPN Site-to Site

dirar19

Добрый день.
Пытаюсь настроить туннель между двумя хостами на pfSense по этой статье https://serverspace.ru/support/help/pfsense-2-3-configuring-site-to-site-vpn/.

После настройки проверяю в Status - OpenVPN, а там то down, то reconnecting;ping-restart

Лог со стороны сервера:

Mar 26 09:43:46 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 26 09:43:45 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 26 09:43:45 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 26 09:43:41 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 26 09:43:38 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed

viktor_g

Какая версия pfSense?
Покажите настройки узлов

dirar19

@viktor_g

2.4.5
server host
Server mode: Peer to Peer (Shared Key)
Protocol: UDP on IPv4 only
Device mode: tun – Layer 3 Tunnel Mode
Interface: WAN
Local port: 1195
Description: Site_to_Site_OpenVPN
TLS keydir direction: Use default direction
Shared Key: Checked
Encryption Algorithm: AES-128-CBC (128 bit key, 128 bit block)
Enable NCP: Checked
NCP Algorithms: do not change anything in here
Auth digest algorithm: SHA256 (256-bit)
Hardware Crypto: No Hardware Crypto Acceleration
IPv4 Tunnel Network: 10.0.1.33/30
IPv4 Remote Network(s): 192.168.5.0/24

client host
Server mode: Peer to Peer (Shared Key)
Protocol: UDP
Device mode: tun
Interface: WAN
server host or address: ip_servera
server port: 1195
Description: Site_to_Site_OpenVPN
Encryption Algorithm: AES-128-CBC (128 bit key, 128 bit block)
Auth digest algorithm: SHA256 (256-bit)
Hardware Crypto: No Hardware Crypto Acceleration
IPv4 Tunnel Network: 10.0.1.33/30
IPv4 Remote Network(s): 192.168.71.0/24

viktor_g

Обновитесь до 2.4.5-p1

Настройте на обоих узлах Exit Notify:
Screenshot from 2021-03-26 09-27-50.png

И inactive timeout (значение можно и побольше):
Screenshot from 2021-03-26 09-26-47.png

После перезагрузите оба узла и проверьте

dirar19

@viktor_g, не заработало, к сожалению.

pigbrother

@dirar19 said in Ошибка при настройке OpenVPN Site-to Site:

Authenticate/Decrypt packet error: packet HMAC authentication failed

Странно, жалобы на HMAC обычно связаны с неправильностю настройки TLS Configuration (tls-auth ta.key) . Однако в режиме Peer to Peer (Shared Key) возможни включить "Use a TLS Key" ведь нет?

dirar19

@pigbrother,
нет, в этом режиме нет Use TLS Key.

werter

Добрый
@dirar19

В вашем 1-м сообщении:

TLS keydir direction: Use default direction

Какие еще значения есть в этом пункте?

pigbrother

@werter said in Ошибка при настройке OpenVPN Site-to Site:

Какие еще значения есть в этом пункте?

В режиме Peer to Peer (Shared Key) этого пункта нет.

werter

@pigbrother said in Ошибка при настройке OpenVPN Site-to Site:

@werter said in Ошибка при настройке OpenVPN Site-to Site:

Какие еще значения есть в этом пункте?

В режиме Peer to Peer (Shared Key) этого пункта нет.

Хм. Тогда откуда у ТС-а он есть?

pigbrother

@werter said in Ошибка при настройке OpenVPN Site-to Site:

Тогда откуда у ТС-а он есть?

Вот и я об этом. Так уже выше писал - жалобы на HMAC обычно связаны с TLS Configuration, которой в Peer to Peer (Shared Key) тоже нет.

werter

@dirar19
Покажите скрином настройки впн-сервера. У вас он один?