Falhas no OPENVPN - Error: TLS key negotiation failed to occur within 60 seconds - Error: TLS hands

alex--gba
(usa Debian)

Enviado em 10/11/2015 - 09:11h

Bom dia!
Estou configurando um servido de VPN com o OPENVPN e sistema operacional Debian. So que depois de configurado e feito todas as certificações me deparo com um problema e não consigo conectar a VPN. Apresenta o seguinte erro:

Mon Nov 09 14:02:17 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Nov 09 14:02:17 2015 TLS Error: TLS handshake failed

Segue abaixo o log inteiro apresentado pelo programa:


Mon Nov 09 14:01:15 2015 OpenVPN 2.3.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 4 2015
Mon Nov 09 14:01:15 2015 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
Enter Management Password:
Mon Nov 09 14:01:15 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Nov 09 14:01:15 2015 Need hold release from management interface, waiting...
Mon Nov 09 14:01:16 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Nov 09 14:01:16 2015 MANAGEMENT: CMD 'state on'
Mon Nov 09 14:01:16 2015 MANAGEMENT: CMD 'log all on'
Mon Nov 09 14:01:16 2015 MANAGEMENT: CMD 'hold off'
Mon Nov 09 14:01:16 2015 MANAGEMENT: CMD 'hold release'
Mon Nov 09 14:01:16 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Nov 09 14:01:17 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Nov 09 14:01:17 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Nov 09 14:01:17 2015 MANAGEMENT: >STATE:1447084877,ASSIGN_IP,,10.0.0.2,
Mon Nov 09 14:01:17 2015 open_tun, tt->ipv6=0
Mon Nov 09 14:01:17 2015 TAP-WIN32 device [Conexão local 2] opened: \\.\Global\{421B77E7-8780-495B-A884-8E7B91BABEF1}.tap
Mon Nov 09 14:01:17 2015 TAP-Windows Driver Version 9.21
Mon Nov 09 14:01:17 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.0.2/255.255.255.252 on interface {421B77E7-8780-495B-A884-8E7B91BABEF1} [DHCP-serv: 10.0.0.1, lease-time: 31536000]
Mon Nov 09 14:01:17 2015 Successful ARP Flush on interface [15] {421B77E7-8780-495B-A884-8E7B91BABEF1}
Mon Nov 09 14:01:17 2015 UDPv4 link local (bound): [undef]
Mon Nov 09 14:01:17 2015 UDPv4 link remote: [AF_INET]177.103.134.220:1194
Mon Nov 09 14:01:17 2015 MANAGEMENT: >STATE:1447084877,WAIT,,,
Mon Nov 09 14:02:17 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Nov 09 14:02:17 2015 TLS Error: TLS handshake failed
Mon Nov 09 14:02:17 2015 SIGUSR1[soft,tls-error] received, process restarting
Mon Nov 09 14:02:17 2015 MANAGEMENT: >STATE:1447084937,RECONNECTING,tls-error,,
Mon Nov 09 14:02:17 2015 Restart pause, 2 second(s)
Mon Nov 09 14:02:19 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Nov 09 14:02:19 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Nov 09 14:02:19 2015 Preserving previous TUN/TAP instance: Conexão local 2
Mon Nov 09 14:02:19 2015 UDPv4 link local (bound): [undef]
Mon Nov 09 14:02:19 2015 UDPv4 link remote: [AF_INET]177.103.134.220:1194
Mon Nov 09 14:02:19 2015 MANAGEMENT: >STATE:1447084939,WAIT,,,
Mon Nov 09 14:02:40 2015 Closing TUN/TAP interface
Mon Nov 09 14:02:40 2015 SIGTERM[hard,] received, process exiting
Mon Nov 09 14:02:40 2015 MANAGEMENT: >STATE:1447084960,EXITING,SIGTERM,,

Alguém pode me dar uma luz sobre o que está acontecendo que não consigo conectar a VPN?
Obrigado!

jcoli
(usa Debian)

Enviado em 10/11/2015 - 13:05h

Pelo log o client não encontra o servidor.

Pode ser porta bloqueada, falha no encaminhamento de portas.

Como você montou o server?

Jeferson Coli
---------------------
www.tecnocoli.com.br

alex--gba
(usa Debian)

Enviado em 10/11/2015 - 15:34h

Boa Tarde!

Para você entender melhor tenho um server com duas placas de rede(uma onde recebe internet e a outra distribui para rede interna) e está com S.O Debian(onde está instalado o openvpn e possui um firewall somente compartilhando a internet e as regras do openvpn) a maquina que quero acessar esta com Windows 7 e firewall desabilitado.

Faixa de ip da rede interma:192.168.0/24
Faixa destinada para o openvpn: 10.0.0/24

IP DA INTERNET QUE CHEGA NO SERVIDOR: 177.103.134.220

Segue configuração do server:

matriz.conf

dev tun
port 1194
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 10.0.0.0 255.255.255.0
push"route 192.168.0.0 255.255.255.0"
keepalive 10 120
max-clients 15
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3

Configuração do cliente

vendedor1

dev tun
port 1194
proto udp
remote 177.103.134.220
ifconfig 10.0.0.2 10.0.0.1
ca ca.crt
cert vendedor1.crt
key vendedor1.key
tls-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3


Regras no Firewall

OBS: eth1 recebe internet e eth0 distribui para rede loca

iptables -F
iptables -t nat -F

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 --dport 1194 -j ACCEPT
iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 --sport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.0.0/24 -s 10.0.0.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -S 10.0.0.0/24 -0 eth0 -j MASQUERADE

iptables -t filter -A FORWARD -i tun0 -j ACCEPT
iptables -t filter -A INPUT -i tun0 -j ACCEPT

exit 0

OBS: ESTE ARQUIVO ESTÁ NO RC.LOCAL

BOM ESSAS SÃO AS CONFIGURAÇÕES DE MINHA VPN. No firewall as portas está aberta. Consegue me dar uma luz do porque não conecta tem alguma configuração errada?

Obrigado!

jcoli
(usa Debian)

Enviado em 10/11/2015 - 16:23h

O servidor esta conectado direto no modem e esse modem esta como bridge?

Se não, como estão as confgurações do seu modem?

E se o IP que você colocou for real, ele não pinga, não mostra as portas abertas, não consegui executar um traceroute até ele.

E não precisa colocar as coisas em maiusculas, conseguimos ler em minusculas mesmo. Isso é deselegante.


Jeferson Coli
---------------------
www.tecnocoli.com.br

alex--gba
(usa Debian)

Enviado em 10/11/2015 - 20:04h

Boa noite!

O servidor está sim conectado direto no modem. E não está em modo bridge e a porta udp 1194 está aberta. Quando você menciona "como estão as configurações do seu modem" qual informação deseja saber?
E o ip que estou utilizando e real. E desculpe se fui deselegante não foi minha intenção.
Obrigado.

jcoli
(usa Debian)

Enviado em 11/11/2015 - 07:40h

Sem problemas.
Então, eu verifiquei o seu ip com o nmap:

nmap -p 1194 177.103.134.220



Starting Nmap 6.47 ( http://nmap.org ) at 2015-11-11 07:37 BRST

Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn

Nmap done: 1 IP address (0 hosts up) scanned in 3.12 seconds 

Não há resposta. Verifique o modem.

Jeferson Coli
---------------------
www.tecnocoli.com.br

alex--gba
(usa Debian)

Enviado em 11/11/2015 - 08:17h

Você acha que o problema e no roteador com a abertura da porta? Pelas configurações que te passei em respeito do firewall e do openvpn está certa?
Obrigado.

jcoli
(usa Debian)

Enviado em 11/11/2015 - 09:20h

Eu faria o firewall assim para testar:

iptables -F

iptables -t nat -F



echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING --s 192.168.0.0/24 -j MASQUERADE

iptables -t nat -A POSTROUTING --s 10.0.0.0/24 -j MASQUERADE



iptables -A INPUT -p udp --dport 1194 -j ACCEPT 

E um detalhe muito importante, você esta usando a faixa de rede 192.168.0.0 na sua rede, se o cliente estiver na mesma faixa, conecta, mas vai dar conflito de IP.
Como não podemos mudar as faixas de rede dos clientes, e a 192.168.0.0 é muito comum, usa uma faixa diferente, como 192.168.143.0/24.


Jeferson Coli
---------------------
www.tecnocoli.com.br

alex--gba
(usa Debian)

Enviado em 11/11/2015 - 11:35h

Consegui conectar fiz o que você me falou para verificar o roteador e la era o problema a porta estava inativa ativei e funcionou. Mas tenho uma outra duvida para eu fazer compartilhamento dos arquivos ou mesmo poder utilizar uma impressora seria possível com essa configuração que fiz da vpn?

obrigado pela ajuda.

jcoli
(usa Debian)

Enviado em 11/11/2015 - 11:49h

Que beleza!

Compartilhamento funciona, impressora nunca usei, mas teoricamente não haveria problemas.

Tem que revisão aquela configuração de firewall para bloquear as outras portas, aquela configuração é bem simples, para fazer funcionar mesmo.

E marque o tópico como resolvido.

Precisando é só chamar.


Jeferson Coli
---------------------
www.tecnocoli.com.br

alex--gba
(usa Debian)

Enviado em 11/11/2015 - 14:03h

Poderia me explicar mesmo se as configurações de firewall certa como eu faria para compartilhar os arquivos de uma maquina em outra.
Ex: Tenho um arquivo na maquina que quero acessar neste caso seria a maquina que está com o windows 7. Como eu faço para compartilhar esse arquivo depois que conectei a vpn onde entro no computador se tenho que digitar algum ip para acessar esse arquivo para eu poder ver em ambas as partes?
Obrigado.