openvpn .. nesusn collegamento

claudiove

situazione :

pc1 --sedea
pc2 --sedeb
pc3 --portatile , qundi verie sedi
pc4 --sedec
oltre a questi ve ne sono parecchi altri che non sto a descrivere

tutti questi pc sono win 10 pro.
detti pc devono collegarsi in vpn. l'end point delle vpn e' + o -
cosi':

ip_pubblico_fastweb -->port forward --> pfsense

openvpn generata col wizard di pfsense. oramai l'ho fatto + volte e
conosco i passaggi. In questo specifico caso, i vari pc remoti hanno
comportamenti differenti. qualcuno si collega, e qualcun altro non si collega.
un portatile addirittura , si e' collegato per diverso tempo, poi un bel
giorno ha smesso di collegarsi.
il messaggio di errore che ottengo sui vari client e' il senguente

Thu Mar 10 13:52:39 2022 OpenVPN 2.4.9 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 16 2020
Thu Mar 10 13:52:39 2022 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Mar 10 13:52:39 2022 library versions: OpenSSL 1.1.1f 31 Mar 2020, LZO 2.10
Enter Management Password:
Thu Mar 10 13:52:39 2022 TCP/UDP: Preserving recently used remote address: [AF_INET]X:X:X:X:1194
Thu Mar 10 13:52:39 2022 UDP link local (bound): [AF_INET][undef]:1194
Thu Mar 10 13:52:39 2022 UDP link remote: [AF_INET] X:X:X:X:1194
Thu Mar 10 13:53:39 2022 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Mar 10 13:53:39 2022 TLS Error: TLS handshake failed
Thu Mar 10 13:53:39 2022 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 10 13:53:44 2022 TCP/UDP: Preserving recently used remote address: [AF_INET] X:X:X:X:1194
Thu Mar 10 13:53:44 2022 UDP link local (bound): [AF_INET][undef]:1194
Thu Mar 10 13:53:44 2022 UDP link remote: [AF_INET] X:X:X:X:1194
Thu Mar 10 13:53:59 2022 SIGTERM[hard,] received, process exiting

no ho idee, accetto consigli.
grazie

X-Falko

@claudiove
A me in azienda è successo qualcosa di simile, in alcuni casi ho risolto reimpostando il protocollo TCP/IP di Win (netsh winsock reset), in altri casi ho dovuto cambiare le impostazioni di compressione (c'è una deprecazione che solo dopo un po' di tempo ha dato problemi), in un altro caso ho dovuto inserire sul client un parametro specifico per fare in modo che la rete fosse forzata tramite netsh (non ricordo la sintassi però)

claudiove

ottima info, ne faccio tesoro. X casi hai anche rifatto tutta la vpn sulla pfsene ? oppure ti sei limitato a modificare la vpn esistente ?
grazie X ora

X-Falko

@claudiove
Nel mio caso sulla pf ho lasciato inalterate, per quanto possibile, le configurazioni e tendenzialmente ho lavorato quasi sempre sui client.
Ho avuto giusto la necessità una sola volta, di modificare lato server una site-to-site, che di punto in bianco non si riconnetteva più (si trattava del parametro "compressione").

Per tagliare la testa al toro, se procedi per gradi, esaminando i log del server VPN (status -> system logs-> openVPN), ad ogni connessione fallita dovresti ricevere l'errore esteso (è un passaggio chiave, perché il "timeout" sul client è talmente generico da rendere impossibile la risoluzione), se non appare log sei certamente filtrato o non in ascolto sull'interfaccia giusta.

Ps: sempre nel mio caso, in molti dei client dove ho riscontrato il problema, c'era stato un aggiornamento di Windows e/o del sistema "Internet security" (Antivirus/personal firewall)...

claudiove

dopo innumerevoli peripezie ed analisi abbiamo stabilito che la colpa e' di fastweb. udp 1194 semplicemente non transitano. ho preso per il collo un tecnico e l'ho obbligato ad osservare in tempo reale i log del router. semplicemente i datagrammi in partenza da un'altra linea fw proprio non arrivano.
stabilito questo, ho rifatto una vpn specificando tcp 1195 e .... magia .... connessione stabilita al primo colpo.

X-Falko

@claudiove
grazie per questo feedback, non sia mai che possa capitare anche a me o altri una situazione simile.

kiokoman

@claudiove
non sei riuscito a fartelo sistemare dal tecnico fastweb ? la cosa è strana perchè uso fastweb + vpn da anni
l'unica differenza è che non uso il modem che mi hanno fornito loro ma ho l'ip statico direttamente su pfsense. potrebbe essere un bug o qualche servizio attivo nei loro modem?