Клиент OpenVPN Linux - не удалось согласовать ключ tls (FrootVPN)

Question

Я использую бесплатный сервис FrootVPN (безупречно работает на Windows). Однако в Linux мне не удается заставить его работать. Веб-страница поддержки FrootVPN не работает, поэтому я не могу сообщить об их поддержке.

Я знаю, что это плата, связанная с сервером, но я не нашел ни одной достойной клиентской платы, и я не могу связаться с поддержкой FrootVPN, поэтому я опубликую свою тему здесь, надеясь, что она разрешена.

Я получаю ошибку:

TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

Я перепробовал все:

• добавление сервера имен 80.67.0.2 в /etc/resolv.conf (как подсказывает их страница руководства )
• защита /etc/resolv.conf от перезаписи
• проверка того, что IPV6 включен
• переустановка openvpn
• порт переадресации 1194
• отделяя "ca", "cert" и "key" из конфига
• вообще не использует сертификат и ключ (что не влияет на подключение к этому серверу)
• используя update-resolv-conf script
• изменение различных настроек в конфигурационном файле

Независимо от того, что я делаю, эта ошибка сохраняется. Мой провайдер ничего не блокирует, я в этом уверен на 100%.

Более того, в 1 случае из 10 я могу успешно подключиться к серверу, а затем почти каждую секунду получаю следующее сообщение:

Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

В случае успешного соединения vpn работает, но я засыпаю этими сообщениями. Но в большинстве случаев, как я уже сказал, в 9 случаях из 10 это просто не связано с вышеупомянутой ошибкой tls.

Пример журнала:

# openvpn '/etc/openvpn/frootvpn.ovpn'
Wed Jan 21 21:35:06 2015 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Enter Auth Username:COOLak
Enter Auth Password:
Wed Jan 21 21:35:18 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 21 21:35:18 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 21 21:35:18 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jan 21 21:35:18 2015 RESOLVE: NOTE: se-openvpn.frootvpn.com resolves to 8 addresses
Wed Jan 21 21:35:18 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jan 21 21:35:18 2015 Local Options hash (VER=V4): '3514370b'
Wed Jan 21 21:35:18 2015 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jan 21 21:35:18 2015 UDPv4 link local: [undef]
Wed Jan 21 21:35:18 2015 UDPv4 link remote: [AF_INET]178.73.212.198:1198
Wed Jan 21 21:36:18 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 21 21:36:18 2015 TLS Error: TLS handshake failed
Wed Jan 21 21:36:18 2015 TCP/UDP: Closing socket
Wed Jan 21 21:36:18 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 21 21:36:18 2015 Restart pause, 2 second(s)
Wed Jan 21 21:36:20 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 21 21:36:20 2015 Re-using SSL/TLS context
Wed Jan 21 21:36:20 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 21 21:36:20 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jan 21 21:36:20 2015 RESOLVE: NOTE: se-openvpn.frootvpn.com resolves to 8 addresses
Wed Jan 21 21:36:20 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jan 21 21:36:20 2015 Local Options hash (VER=V4): '3514370b'
Wed Jan 21 21:36:20 2015 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jan 21 21:36:20 2015 UDPv4 link local: [undef]
Wed Jan 21 21:36:20 2015 UDPv4 link remote: [AF_INET]178.73.212.205:1206
Wed Jan 21 21:37:20 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 21 21:37:20 2015 TLS Error: TLS handshake failed
Wed Jan 21 21:37:20 2015 TCP/UDP: Closing socket
Wed Jan 21 21:37:20 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 21 21:37:20 2015 Restart pause, 2 second(s)
Wed Jan 21 21:37:22 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 21 21:37:22 2015 Re-using SSL/TLS context
Wed Jan 21 21:37:22 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 21 21:37:22 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jan 21 21:37:22 2015 RESOLVE: NOTE: se-openvpn.frootvpn.com resolves to 8 addresses
Wed Jan 21 21:37:22 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jan 21 21:37:22 2015 Local Options hash (VER=V4): '3514370b'
Wed Jan 21 21:37:22 2015 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jan 21 21:37:22 2015 UDPv4 link local: [undef]
Wed Jan 21 21:37:22 2015 UDPv4 link remote: [AF_INET]178.73.212.200:1202
Wed Jan 21 21:38:22 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 21 21:38:22 2015 TLS Error: TLS handshake failed
Wed Jan 21 21:38:22 2015 TCP/UDP: Closing socket
Wed Jan 21 21:38:22 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 21 21:38:22 2015 Restart pause, 2 second(s)

---

В случае успешного подключения (что происходит ОЧЕНЬ редко), вот еще один пример журнала:

Wed Jan 21 21:38:24 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 21 21:38:24 2015 Re-using SSL/TLS context
Wed Jan 21 21:38:24 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 21 21:38:24 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Wed Jan 21 21:38:24 2015 RESOLVE: NOTE: se-openvpn.frootvpn.com resolves to 8 addresses
Wed Jan 21 21:38:24 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jan 21 21:38:24 2015 Local Options hash (VER=V4): '3514370b'
Wed Jan 21 21:38:24 2015 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jan 21 21:38:24 2015 UDPv4 link local: [undef]
Wed Jan 21 21:38:24 2015 UDPv4 link remote: [AF_INET]178.73.212.201:1194
Wed Jan 21 21:38:24 2015 TLS: Initial packet from [AF_INET]178.73.212.201:1194, sid=7db519ba bd8492df
Wed Jan 21 21:38:24 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jan 21 21:38:24 2015 VERIFY OK: depth=1, /C=SE/ST=QQ/L=FrootTown/O=FrootOrg/OU=changeme/CN=changeme/name=changeme/emailAddress=mail@host.domain
Wed Jan 21 21:38:24 2015 VERIFY OK: nsCertType=SERVER
Wed Jan 21 21:38:24 2015 VERIFY OK: depth=0, /C=SE/ST=QQ/L=FrootTown/O=FrootOrg/OU=changeme/CN=server/name=changeme/emailAddress=mail@host.domain
Wed Jan 21 21:38:25 2015 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 21 21:38:25 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 21 21:38:25 2015 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 21 21:38:25 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 21 21:38:25 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Jan 21 21:38:25 2015 [server] Peer Connection Initiated with [AF_INET]178.73.212.201:1194
Wed Jan 21 21:38:25 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:25 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #2 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:26 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #3 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:26 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #4 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:27 2015 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Jan 21 21:38:27 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #5 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:27 2015 PUSH: Received control message: 'PUSH_REPLY,ifconfig-ipv6 2a00:1a28:1167::1011/64 2a00:1a28:1167::1,dhcp-option DNS 80.67.0.2,dhcp-option DNS 91.213.246.2,redirect-gateway def1,route-ipv6 2000::/3,tun-ipv6,route-gateway 178.73.192.1,topology subnet,ping 10,ping-restart 160,ifconfig 178.73.192.19 255.255.255.224'
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: --ifconfig/up options modified
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: route options modified
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: route-related options modified
Wed Jan 21 21:38:27 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Jan 21 21:38:27 2015 ROUTE default_gateway=192.168.1.1
Wed Jan 21 21:38:27 2015 ROUTE6: default_gateway=UNDEF
Wed Jan 21 21:38:27 2015 TUN/TAP device tun0 opened
Wed Jan 21 21:38:27 2015 TUN/TAP TX queue length set to 100
Wed Jan 21 21:38:27 2015 do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=1
Wed Jan 21 21:38:27 2015 /sbin/ifconfig tun0 178.73.192.19 netmask 255.255.255.224 mtu 1500 broadcast 178.73.192.31
Wed Jan 21 21:38:27 2015 /sbin/ifconfig tun0 inet6 add 2a00:1a28:1167::1011/64
Wed Jan 21 21:38:27 2015 /sbin/route add -net 178.73.212.201 netmask 255.255.255.255 gw 192.168.1.1
Wed Jan 21 21:38:27 2015 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 178.73.192.1
Wed Jan 21 21:38:27 2015 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 178.73.192.1
Wed Jan 21 21:38:27 2015 add_route_ipv6(2000::/3 -> 2a00:1a28:1167::1 metric 0) dev tun0
Wed Jan 21 21:38:27 2015 /sbin/route -A inet6 add 2000::/3 dev tun0
Wed Jan 21 21:38:27 2015 Initialization Sequence Completed
Wed Jan 21 21:38:27 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #6 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:27 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #10 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #11 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #12 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #13 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #14 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Wed Jan 21 21:38:28 2015 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #15 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

[и так далее навсегда]

---

При условии, что он отлично работает в Windows, и что многие пользователи в Интернете сообщили, что он работает безупречно и в Linux, я предполагаю, что это моя локальная проблема, а не проблема сервера. Я использую Kali Linux 3.14 (x64). Их файл .ovpn: https://www.frootvpn.com/files/frootvpn.ovpn, если это поможет.

Я потратил целый день, пытаясь понять это, но, к сожалению, решение этой проблемы мне неизвестно. Любая помощь приветствуется. Заранее большое спасибо. PS Я собираюсь быть в автономном режиме в течение нескольких часов после создания этой темы.

UPD: я забыл упомянуть, что я также пытался указать только один IP-адрес сервера, и он все еще иногда подключается, хотя в большинстве случаев это не так. Выбор пира не имеет значения: 178.73.212.201:1194 или где-либо еще в списке, проблема остается той же. Причина, по которой существует много пиров, заключается в том, что именно это они предоставляют в своем файле .ovpn, чтобы уменьшить нагрузку на свои серверы. Каждый IP на самом деле работает, но он успешно подключается только в редких случаях.

Answer 1

Когда вы копируете файлы сертификатов и ключей из Windows, ваша система Linux могла повредить файлы, используя неверные окончания строк. Попробуйте загрузить файл конфигурации FrootVPN, используя вашу систему Linux напрямую.

Answer 2

Поскольку я не думаю, что здесь достаточно информации, чтобы окончательно решить эту проблему, этот ответ представляет собой скорее список того, что можно попробовать, что либо решит проблему, либо предоставит дополнительную информацию. Я также не уверен, почему помечен как активный вопрос, но я уже написал большую часть своего ответа, когда заметил, что ему 1,5 года.

файл ovpn

Ссылка на предоставленный вами файл конфигурации (.ovpn) устарела. Эта ссылка содержит идентичный ovpn к тому, который вы используете? Поскольку (я только сейчас понял), что вы опубликовали это давным-давно, скорее всего, ссылка только что изменилась, но на всякий случай проверьте это. https://www.frootvpn.com/files/se.openvpn.frootvpn.ovpn

Брандмауэр

Одна вещь, которая бросилась в глаза, это то, что они используют диапазон портов (обычно вы используете только один, обычно 1194, для udp с openvpn). Обычно это проблема, возникающая из-за проблем с VPN-подключением, но с проблемой, вызванной брандмауэром, это, как правило, бинарная проблема - либо она работает, либо нет. Но в этом случае вполне возможно, что у вас правильно проходит 1194, но другие порты заблокированы. Просто чтобы исключить это, вы должны отключить брандмауэр на своем компьютере и убедиться, что диапазон портов перенаправлен на ваш компьютер (порты udp с 1194 по 1209 включительно для файла .ovpn). В зависимости от марки / модели вашего маршрутизатора диапазон может быть задан с помощью одной настройки.

У меня нет опыта работы с Kali, но это производная от Debian, поэтому, скорее всего, она использует «прямые» iptables для своего брандмауэра. iptables немного затруднит отключение, вот несколько очень четких указаний о том, как это сделать:

Сначала убедитесь, что он установлен:

dpkg -l | grep iptables

Если он не установлен, то, если у вас нет другого приложения брандмауэра, вы можете просто настроить переадресацию портов и начать тестирование VPN-соединения; иначе:

Запустите все команды как sudo или в корневой оболочке. Это сохранит текущие настройки брандмауэра, а затем настроит полностью прозрачный брандмауэр (эквивалентно отсутствию брандмауэра).

iptables-save > ~/iptables-rules
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Как только вы закончите тестирование без брандмауэра, вы можете снова включить его с помощью:

iptables-restore < ~/iptables-rules

Убедитесь, что вы отключили брандмауэр и перенаправили диапазон портов и попробуйте подключиться к VPN.

Менее вероятно, но все еще возможно

Если вы используете правильный .ovpn (весьма вероятно), и он не связан с брандмауэром / переадресацией портов, то вот еще несколько вещей, которые нужно попробовать, и точки данных, которые помогут людям:

1. Добавьте этот аргумент к вашему вызову openvpn: --verb 11 Это приводит к выводу отладочной информации до, ну, в общем , 11. Там будет стена с текстом - если вы не можете понять это, вставьте ее на веб-сайт и разместите ссылку здесь. Не вставляйте текст здесь напрямую

2. Отклонение часов - если часы на вашем локальном компьютере не установлены точно, или просто не точно - скачки и т.д. - вы получите сбои, как это. Убедитесь, что он установлен правильно (или настройте соединение с сервером NTP).

3. Есть ли у вас интернет-соединение с высокой задержкой (например, спутниковое, очень плохой DSL или затрудненное соединение)? Это приведет к сбоям, связанным с шифрованием.

4. Какой тип маршрутизатора у вас есть (производитель / модель)? Вы когда-нибудь обновляли его прошивку?

5. У вас есть старый компьютер с нехваткой ресурсов процессора? Шифрование / дешифрование может поставить старый компьютер на колени и вызвать эти проблемы. Для этого он должен быть действительно старым, но это случается с маршрутизаторами, настроенными как клиенты openvpn довольно часто - их крошечные процессоры с воздушным охлаждением иногда не успевают.

6. Как выглядят логи от клиента openvpn на машине с Windows? Видите ли вы те же ошибки / предупреждения?

7. Вероятно, это не так, но на прошлой неделе я испытывал трудности с запуском openvpn в качестве клиента на fedora, и это происходило из-за шифрования ключа с использованием md5, которое устарело в большинстве дистрибутивов Linux. Вывод отладки скажет нам, если это происходит. Для пояснения - те же самые файлы конфигурации работали в Windows с openvpn, но не в Linux, то же поведение, что и вы / видели / видели.

Изменить, чтобы добавить еще одну вещь:

8. Попробуйте использовать pptp вместо openvpn. Убедитесь, что на вашем маршрутизаторе включена сквозная передача VPN (он использует обычный тип пакета GRE, который маршрутизатор должен проходить через unmoled). Это гораздо менее безопасно, но будет хорошим тестом. В зависимости от того, насколько вам нужен VPN, этого может быть достаточно. Попробуйте, если это работает, исследуйте реальные проблемы безопасности.