[Gelöst] openvpn: TLS Authentication - connect timeout exceeded

fork

Moin *,

habe eine pfsense 2.2.5 als openvpn-Server und zwei Clients (openSUSE 13.1 und Fedora 23). Die VPN-Verbindung läuft problemlos und stabil.

Nun habe ich die Option 'Enable authentication of TLS packets.' aktiviert und den Inhalt des Felds mit dem Schlüssel als Datei innerhalb von ~/.openvpn auf den Clients abgelegt und im Network-Manager (KDE) referenziert.

Damit kommt leider keine Verbindung zustande. In den Logs vom Client sehe ich nur die Warning 'connect timeout exceeded'. Auf serverseite sehe ich gar keine Log-Meldung, trotz Verbosity-Level 11.

Wo könnte der Fehler liegen?
TNX

cu, fork

fork

Bitte entschuldigt, ich hätte gleich die Logs beilegen sollen:

Dez 22 21:20:33 j7 NetworkManager[1177]: (nm-openvpn-service:2329): nm-openvpn-WARNING **: (nm-openvpn-service.c:1269):nm_openvpn_start_openvpn_binary: runtime check failed: (priv->mgt_path == NULL)
Dez 22 21:20:33 j7 NetworkManager[1177]: (nm-openvpn-service:2329): nm-openvpn-WARNING **: Directory '/var/lib/openvpn/chroot' not usable for chroot by 'nm-openvpn', openvpn will not be chrooted.
Dez 22 21:20:33 j7 NetworkManager[1177]: <info>  VPN plugin state changed: starting (3)
Dez 22 21:20:33 j7 NetworkManager[1177]: nm-openvpn-Message: openvpn started with pid 3080
Dez 22 21:20:33 j7 NetworkManager[1177]: <info>  VPN connection 'VPN fork' (Connect) reply received.
Dez 22 21:20:33 j7 NetworkManager[1177]: Tue Dec 22 21:20:33 2015 DEPRECATED OPTION: --tls-remote, please update your configuration
Dez 22 21:20:33 j7 nm-openvpn[3080]: OpenVPN 2.3.9 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Dec 16 2015
Dez 22 21:20:33 j7 nm-openvpn[3080]: library versions: OpenSSL 1.0.2e-fips 3 Dec 2015, LZO 2.08
Dez 22 21:20:33 j7 nm-openvpn[3080]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Dez 22 21:20:33 j7 nm-openvpn[3080]: Control Channel Authentication: using '/home/fork/.openvpn/tls-auth-fork.key' as a OpenVPN static key file
Dez 22 21:20:41 j7 nm-openvpn[3080]: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Dez 22 21:20:41 j7 nm-openvpn[3080]: UDPv4 link local: [undef]
Dez 22 21:20:41 j7 nm-openvpn[3080]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Dez 22 21:21:13 j7 NetworkManager[1177]: <warn>  VPN connection 'VPN fork' connect timeout exceeded.
Dez 22 21:21:13 j7 nm-openvpn[3080]: SIGTERM[hard,] received, process exiting
Dez 22 21:21:13 j7 NetworkManager[1177]: nm-openvpn-Message: Terminated openvpn daemon with PID 3080.</warn></info></info>

viragomann

Hi,

die Schlüsselrichtung im NM richtig eingestellt?
Die Client sind aktuell? Mit einer älteren Client-OpenVPN Version und einer aktuellen Server-Version gab es auch derartige Problem, jedenfalls auf Windows.

Wenn ja, exportiere die Einstellungen mit dem Export Tool und verwende dieses Key-File.

Grüße

fork

Dank für die Antwort.
@viragomann:

die Schlüsselrichtung im NM richtig eingestellt?

Ich habe alle 3 Richtungen getestet.

@viragomann:

Die Client sind aktuell? Mit einer älteren Client-OpenVPN Version und einer aktuellen Server-Version gab es auch derartige Problem, jedenfalls auf Windows.

*OpenVPN 2.3.9 x86_64-redhat-linux-gnu
*library versions: OpenSSL 1.0.2e-fips 3 Dec 2015, LZO 2.08
Habe das nicht explizit überprüft, aber ich vermute stark, etwas aktuelleres als mit einem vollständig gepatchten Fedora 23 werde ich unter gängigen Linux-Distributionen kaum bekommen.

@viragomann:

Wenn ja, exportiere die Einstellungen mit dem Export Tool und verwende dieses Key-File.

Sorry, hier stehe ich auf dem Schlauch. Wo finde ich dieses 'Export Tool'?

viragomann

Richtung 1 ist es, glaub ich, für den Client.

Ja, die OpenSSL Version habe ich gemeint. Ich habe hier 1.0.1k, funktioniert problemlos.
Also wird deine auch nicht veraltet sein.
Die pfSense ist auch aktuell?

Das "OpenVPN Client Export Tool" ist ein Package, das zusätzlich in pfSense installiert werden will. Damit kannst du dann für jeden User eigens die Konfiguration exportieren. Also CA- u. User-Zertifikat u. TLS-Key. Für Windows ist das Ganze samt OpenVPN Client in einen Installer verpackt.

fork

@viragomann:

Ja, die OpenSSL Version habe ich gemeint. Ich habe hier 1.0.1k, funktioniert problemlos.

[root@j7 ~]# dnf info openssl
Die letzte Prüfung auf abgelaufene Metadaten wurde vor 1:27:14 auf Wed Dec 23 08:28:51 2015 ausgeführt.
Installierte Pakete
Name        : openssl
Arch        : x86_64
Epoch       : 1
Version     : 1.0.2e
Release     : 3.fc23
Größe       : 812 k
Paketquelle : @System
Aus Paketqu : updates

@viragomann:

Die pfSense ist auch aktuell?

Jain. Version 2.2.5. Seit Vorgestern ist wohl 2.2.6 aktuell, dieses Update habe ich noch nicht durchgeführt. Das dürfte für diesen Fall aber IMHO eher nicht entscheidend sein.

fork

Fehler gefunden - wie so oft Layer8!

@fork:

Nun habe ich die Option 'Enable authentication of TLS packets.' aktiviert und den Inhalt des Felds mit dem Schlüssel als Datei innerhalb von ~/.openvpn auf den Clients abgelegt und im Network-Manager (KDE) referenziert.

Der Fehler war, dass ich den von der pfsense vorangestellten Block:

#
# 2048 bit OpenVPN static key
#

mit in die Datei auf dem Client kopiert hatte.
Damit kommt openvpn nicht zurecht, diese Datei darf keine Kommentare enthalten und muss so beginnen:

-----BEGIN OpenVPN Static key V1-----

@viragomann: Schlüsselrichtung 'Client (1)' war korrekt.
TNX