OpenVPN Linuxクライアント-tlsキーネゴシエーションが発生しませんでした(FrootVPN)
私は無料のFrootVPNサービスを使用しています(Windowsで問題なく動作します)。しかし、Linuxではそれを機能させることができません。 FrootVPNのサポートWebページが壊れているため、サポートにメッセージを送信できません。
サーバー関連のボードであることは知っていますが、適切なクライアント関連のボードは見つかりませんでした。また、FrootVPNサポートに連絡できないため、許可されることを期待して、ここにトピックを投稿します。
私が得るエラーは次のとおりです。
TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
私はすべてを試しました:
- ネームサーバー80.67.0.2を
/etc/resolv.confに追加します( ガイドページ が示唆しているように) - /etc/resolv.confを上書きから保護する
- iPV6が有効になっていることを確認する
- openvpnの再インストール
- 転送ポート1194
- 「ca」、「cert」、「key」を構成から分離する
- 証明書とキーをまったく使用しない(このサーバーへの接続には影響しません)
update-resolv-conf scriptを使用する- 設定ファイルのさまざまな設定を変更する
私が何をしても、このエラーは続きます。私のISPは何もブロックしていません、私はそれに100%確信しています。
さらに、10件中1件のケースでサーバーに正常に接続でき、ほぼ毎秒次のメッセージが表示されます。
Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
接続に成功した場合、VPNは機能しますが、これらのメッセージが表示されます。しかし、ほとんどの場合、私が言ったように、10のうち9のケースでは、上記のtlsエラーに接続しません。
ログの例:
# openvpn '/etc/openvpn/frootvpn.ovpn'
Wed Jan 21 21:35:06 2015 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
Enter Auth Username:COOLak
Enter Auth Password:
Wed Jan 21 21:35:18 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 21 21:35:18 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 21 21:35:18 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jan 21 21:35:18 2015 RESOLVE: NOTE: se-openvpn.frootvpn.com resolves to 8 addresses
Wed Jan 21 21:35:18 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jan 21 21:35:18 2015 Local Options hash (VER=V4): '3514370b'
Wed Jan 21 21:35:18 2015 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jan 21 21:35:18 2015 UDPv4 link local: [undef]
Wed Jan 21 21:35:18 2015 UDPv4 link remote: [AF_INET]178.73.212.198:1198
Wed Jan 21 21:36:18 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 21 21:36:18 2015 TLS Error: TLS handshake failed
Wed Jan 21 21:36:18 2015 TCP/UDP: Closing socket
Wed Jan 21 21:36:18 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 21 21:36:18 2015 Restart pause, 2 second(s)
Wed Jan 21 21:36:20 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 21 21:36:20 2015 Re-using SSL/TLS context
Wed Jan 21 21:36:20 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 21 21:36:20 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jan 21 21:36:20 2015 RESOLVE: NOTE: se-openvpn.frootvpn.com resolves to 8 addresses
Wed Jan 21 21:36:20 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jan 21 21:36:20 2015 Local Options hash (VER=V4): '3514370b'
Wed Jan 21 21:36:20 2015 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jan 21 21:36:20 2015 UDPv4 link local: [undef]
Wed Jan 21 21:36:20 2015 UDPv4 link remote: [AF_INET]178.73.212.205:1206
Wed Jan 21 21:37:20 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 21 21:37:20 2015 TLS Error: TLS handshake failed
Wed Jan 21 21:37:20 2015 TCP/UDP: Closing socket
Wed Jan 21 21:37:20 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 21 21:37:20 2015 Restart pause, 2 second(s)
Wed Jan 21 21:37:22 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 21 21:37:22 2015 Re-using SSL/TLS context
Wed Jan 21 21:37:22 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 21 21:37:22 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jan 21 21:37:22 2015 RESOLVE: NOTE: se-openvpn.frootvpn.com resolves to 8 addresses
Wed Jan 21 21:37:22 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jan 21 21:37:22 2015 Local Options hash (VER=V4): '3514370b'
Wed Jan 21 21:37:22 2015 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jan 21 21:37:22 2015 UDPv4 link local: [undef]
Wed Jan 21 21:37:22 2015 UDPv4 link remote: [AF_INET]178.73.212.200:1202
Wed Jan 21 21:38:22 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 21 21:38:22 2015 TLS Error: TLS handshake failed
Wed Jan 21 21:38:22 2015 TCP/UDP: Closing socket
Wed Jan 21 21:38:22 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 21 21:38:22 2015 Restart pause, 2 second(s)
接続が成功した場合(これは非常にまれにしか発生しません)、別のログの例を次に示します。
Wed Jan 21 21:38:24 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 21 21:38:24 2015 Re-using SSL/TLS context
Wed Jan 21 21:38:24 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 21 21:38:24 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jan 21 21:38:24 2015 RESOLVE: NOTE: se-openvpn.frootvpn.com resolves to 8 addresses
Wed Jan 21 21:38:24 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jan 21 21:38:24 2015 Local Options hash (VER=V4): '3514370b'
Wed Jan 21 21:38:24 2015 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jan 21 21:38:24 2015 UDPv4 link local: [undef]
Wed Jan 21 21:38:24 2015 UDPv4 link remote: [AF_INET]178.73.212.201:1194
Wed Jan 21 21:38:24 2015 TLS: Initial packet from [AF_INET]178.73.212.201:1194, sid=7db519ba bd8492df
Wed Jan 21 21:38:24 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jan 21 21:38:24 2015 VERIFY OK: depth=1, /C=SE/ST=QQ/L=FrootTown/O=FrootOrg/OU=changeme/CN=changeme/name=changeme/[email protected]
Wed Jan 21 21:38:24 2015 VERIFY OK: nsCertType=SERVER
Wed Jan 21 21:38:24 2015 VERIFY OK: depth=0, /C=SE/ST=QQ/L=FrootTown/O=FrootOrg/OU=changeme/CN=server/name=changeme/[email protected]
Wed Jan 21 21:38:25 2015 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 21 21:38:25 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 21 21:38:25 2015 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 21 21:38:25 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 21 21:38:25 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Jan 21 21:38:25 2015 [server] Peer Connection Initiated with [AF_INET]178.73.212.201:1194
Wed Jan 21 21:38:25 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:25 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #2 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:26 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #3 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:26 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #4 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:27 2015 SENT CONTROL [server]: 'Push_REQUEST' (status=1)
Wed Jan 21 21:38:27 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #5 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:27 2015 Push: Received control message: 'Push_REPLY,ifconfig-ipv6 2a00:1a28:1167::1011/64 2a00:1a28:1167::1,dhcp-option DNS 80.67.0.2,dhcp-option DNS 91.213.246.2,redirect-gateway def1,route-ipv6 2000::/3,tun-ipv6,route-gateway 178.73.192.1,topology subnet,ping 10,ping-restart 160,ifconfig 178.73.192.19 255.255.255.224'
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: --ifconfig/up options modified
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: route options modified
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: route-related options modified
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Jan 21 21:38:27 2015 ROUTE default_gateway=192.168.1.1
Wed Jan 21 21:38:27 2015 ROUTE6: default_gateway=UNDEF
Wed Jan 21 21:38:27 2015 TUN/TAP device tun0 opened
Wed Jan 21 21:38:27 2015 TUN/TAP TX queue length set to 100
Wed Jan 21 21:38:27 2015 do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=1
Wed Jan 21 21:38:27 2015 /sbin/ifconfig tun0 178.73.192.19 netmask 255.255.255.224 mtu 1500 broadcast 178.73.192.31
Wed Jan 21 21:38:27 2015 /sbin/ifconfig tun0 inet6 add 2a00:1a28:1167::1011/64
Wed Jan 21 21:38:27 2015 /sbin/route add -net 178.73.212.201 netmask 255.255.255.255 gw 192.168.1.1
Wed Jan 21 21:38:27 2015 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 178.73.192.1
Wed Jan 21 21:38:27 2015 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 178.73.192.1
Wed Jan 21 21:38:27 2015 add_route_ipv6(2000::/3 -> 2a00:1a28:1167::1 metric 0) dev tun0
Wed Jan 21 21:38:27 2015 /sbin/route -A inet6 add 2000::/3 dev tun0
Wed Jan 21 21:38:27 2015 Initialization Sequence Completed
Wed Jan 21 21:38:27 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #6 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:27 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #10 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #11 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #12 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #13 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #14 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #15 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
[など永遠に]
Windowsで完全に機能し、インターネット上の多くのユーザーがLinuxでも問題なく機能していると報告している場合、これはサーバーの問題ではなく、ローカルの問題であると考えられます。 Kali Linux 3.14(x64)を使用しています。彼らの.ovpnファイル: https://www.frootvpn.com/files/frootvpn.ovpn 、それが役立つ場合。
私はそれを理解しようと一日中過ごしましたが、残念ながらこの問題の解決策は私の知識を超えています。どんな助けでも大歓迎です。よろしくお願いします。 P.S.このトピックを作成した後、数時間オフラインになります。
UPD:サーバーIPを1つだけ指定しようとしたことを忘れましたが、それでも接続は時々しかありませんが、ほとんどの場合は接続しません。ピアの選択は重要ではありません。それが178.73.212.201:1194であるか、リストの他のいずれであっても、問題は同じままです。多くのピアが存在する理由は、サーバーの負荷を軽減するために.ovpnファイルで提供されるものだからです。各IPは実際に機能していますが、まれな場合にのみ正常に接続されます。
Windowsから証明書とキーファイルをコピーすると、Linuxシステムが間違った行末を使用してファイルを破損している可能性があります。 Linuxシステムを直接使用してFrootVPN構成ファイルをダウンロードしてみてください。
これを明確に解決するのに十分な情報がここにあるとは思わないので、この回答は、解決するか、より多くの情報を提供するために試すべきことのリストです。また、なぜアクティブな質問としてマークされているのかわかりませんが、1.5歳であることに気付いたとき、回答のほとんどをすでに書き留めていました。
ovpnファイル
指定した構成(.ovpn)ファイルへのリンクが無効になっています。このリンクには、使用しているものと同じovpnが含まれていますか?あなたはずっと前にこれを投稿したので(私は今気づきました)、リンクが変更された可能性がありますが、念のため、これをチェックしてください。 https://www.frootvpn.com/files/se.openvpn.frootvpn.ovpn
ファイアウォール
私に飛びついたのは、それらがさまざまなポートを使用していることでした(通常、openvpnを使用したudpには1つだけ、通常は1194を使用します)。これは通常、VPN接続の問題がある場合の問題ですが、ファイアウォールによって引き起こされる問題では、通常、バイナリの問題です。機能するか、機能しないかのどちらかです。ただし、この場合、1194が適切に通過しているにもかかわらず、他のポートがブロックされている可能性があります。除外するために、マシンのファイアウォールを無効にし、ポート範囲がマシンに転送されるようにする必要があります(.ovpnファイルごとにudpポート1194から1209まで)。ルーターのメーカー/モデルによっては、1つの設定で範囲を設定できる可能性があります。
私はKaliの経験はありませんが、Debianの派生物であるため、ファイアウォールに「ストレート」iptablesを使用している可能性があります。 iptablesを無効にするのは少し面倒です。これを行う方法について、いくつかの非常に明確な指示があります。
まず、インストールされていることを確認します。
dpkg -l | grep iptables
インストールされていない場合は、別のファイアウォールアプリがない限り、ポート転送を構成してVPN接続のテストを開始できます。さもないと:
すべてのコマンドをSudoとして、またはルートシェルで実行します。これにより、現在のファイアウォール設定が保存され、完全に透過的なファイアウォールが設定されます(ファイアウォールがない場合と同等)。
iptables-save > ~/iptables-rules
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
ファイアウォールなしでテストが完了したら、次の方法で再度有効にすることができます。
iptables-restore < ~/iptables-rules
ファイアウォールを無効にし、ポート範囲を転送したことを確認して、VPNに接続してみてください。
可能性は低いですが、それでも可能です
正しい.ovpnを使用していて(おそらく)、ファイアウォール/ポート転送に関連していない場合は、他に試してみることがいくつかあり、データポイントを提供することで、人々が支援しやすくなります。
この引数をopenvpn呼び出しに追加します:
--verb 11これにより、デバッグ出力が11になります。テキストの壁があります。意味がわからない場合は、Pastebin Webサイトに貼り付けて、ここにリンクを投稿してください。ここにテキストを直接貼り付けないでくださいクロックスキュー-ローカルPCのクロックが正確に設定されていない場合、または正確ではない-ジャンプするなど-このような障害が発生します。正しく設定されていることを確認してください(またはNTPサーバー接続)を構成してください)。
高遅延のインターネット接続がありますか(衛星、本当に悪いDSL、またはgaspダイヤルアップ)?これらは暗号化関連の失敗を引き起こします。
どのタイプのルーターをお持ちですか(メーカー/モデル)?ファームウェアをアップデートしたことがありますか?
古い、CPUが不足しているコンピューターはありますか?暗号化/復号化は、古いコンピューターをひざまずかせ、これらの問題を引き起こす可能性があります。これを適用するには、本当に古いものである必要がありますが、openvpnクライアントとして構成されたルーターで頻繁に発生します。小さな空冷CPUが追いつかない場合があります。
Windowsマシンのopenvpnクライアントからのログはどのように見えますか?同じエラー/警告が表示されますか?
これはおそらくそうではありませんが、先週、Fedoraでopenvpnをクライアントとして実行するのに苦労しました。これは、ほとんどのLinuxディストリビューションで非推奨となっているmd5を使用したキーの暗号化が原因でした。デバッグ出力は、それが起こっているかどうかを教えてくれます。明確にするために、同じ設定ファイルがopenvpnを備えたWindowsで機能しましたが、Linuxでは機能しませんでした。あなたが/だった/見ているのと同じ動作です。
編集してもう1つ追加します。
- Openvpnの代わりにpptpを使用してみてください。ルーターでVPNパススルーが有効になっていることを確認します(ルーターが無秩序に通過する必要があるGREと呼ばれる通常のパケットタイプを使用します)。安全性ははるかに低くなりますが、良いテストになります。 VPNの安全性によっては、それで十分な場合があります。それが機能する場合は、それを試してみてください。非常に現実的なセキュリティ上の懸念を調査してください。