Ошибка при настройке OpenVPN Site-to Site
-
Добрый день.
Пытаюсь настроить туннель между двумя хостами на pfSense по этой статье https://serverspace.ru/support/help/pfsense-2-3-configuring-site-to-site-vpn/.После настройки проверяю в Status - OpenVPN, а там то down, то reconnecting;ping-restart
Лог со стороны сервера:
Mar 26 09:43:46 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 26 09:43:45 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 26 09:43:45 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 26 09:43:41 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 26 09:43:38 openvpn 39829 Authenticate/Decrypt packet error: packet HMAC authentication failed -
Какая версия pfSense?
Покажите настройки узлов -
-
2.4.5
-
server host
Server mode: Peer to Peer (Shared Key)
Protocol: UDP on IPv4 only
Device mode: tun – Layer 3 Tunnel Mode
Interface: WAN
Local port: 1195
Description: Site_to_Site_OpenVPN
TLS keydir direction: Use default direction
Shared Key: Checked
Encryption Algorithm: AES-128-CBC (128 bit key, 128 bit block)
Enable NCP: Checked
NCP Algorithms: do not change anything in here
Auth digest algorithm: SHA256 (256-bit)
Hardware Crypto: No Hardware Crypto Acceleration
IPv4 Tunnel Network: 10.0.1.33/30
IPv4 Remote Network(s): 192.168.5.0/24
client host
Server mode: Peer to Peer (Shared Key)
Protocol: UDP
Device mode: tun
Interface: WAN
server host or address: ip_servera
server port: 1195
Description: Site_to_Site_OpenVPN
Encryption Algorithm: AES-128-CBC (128 bit key, 128 bit block)
Auth digest algorithm: SHA256 (256-bit)
Hardware Crypto: No Hardware Crypto Acceleration
IPv4 Tunnel Network: 10.0.1.33/30
IPv4 Remote Network(s): 192.168.71.0/24 -
-
Обновитесь до 2.4.5-p1
Настройте на обоих узлах Exit Notify:
И inactive timeout (значение можно и побольше):
После перезагрузите оба узла и проверьте
-
@viktor_g, не заработало, к сожалению.
-
@dirar19 said in Ошибка при настройке OpenVPN Site-to Site:
Authenticate/Decrypt packet error: packet HMAC authentication failed
Странно, жалобы на HMAC обычно связаны с неправильностю настройки TLS Configuration (tls-auth ta.key) . Однако в режиме Peer to Peer (Shared Key) возможни включить "Use a TLS Key" ведь нет?
-
@pigbrother,
нет, в этом режиме нет Use TLS Key. -
Добрый
@dirar19В вашем 1-м сообщении:
TLS keydir direction: Use default direction
Какие еще значения есть в этом пункте?
-
@werter said in Ошибка при настройке OpenVPN Site-to Site:
Какие еще значения есть в этом пункте?
В режиме Peer to Peer (Shared Key) этого пункта нет.
-
@pigbrother said in Ошибка при настройке OpenVPN Site-to Site:
@werter said in Ошибка при настройке OpenVPN Site-to Site:
Какие еще значения есть в этом пункте?
В режиме Peer to Peer (Shared Key) этого пункта нет.
Хм. Тогда откуда у ТС-а он есть?
-
@werter said in Ошибка при настройке OpenVPN Site-to Site:
Тогда откуда у ТС-а он есть?
Вот и я об этом. Так уже выше писал - жалобы на HMAC обычно связаны с TLS Configuration, которой в Peer to Peer (Shared Key) тоже нет.
-
@dirar19
Покажите скрином настройки впн-сервера. У вас он один?