Вопрос или проблема
Клиентская легаси
https://postimg.cc/F1vxf4Y3
Доверие (аутентификация и сертификат)
https://postimg.cc/0rC0DBS3
*111.311.115.122 IP СЕРВЕРА
222.239.212.126 IP КЛИЕНТА OpnSene (это клиент)*
КОНФИГУРАЦИЯ КЛИЕНТА сгенерирована скриптом https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
client
proto udp
explicit-exit-notify
remote 111.311.115.122 49973
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_ve4XMxxxxxnkhHWL1 name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Предотвратить утечку DNS в Windows 10
verb 3
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxx
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxx
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
xxxxxxxxxxxxx
-----END PRIVATE KEY-----
</key>
<tls-crypt>
#
# 2048 битный статический ключ OpenVPN
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-crypt>
КОНФИГУРАЦИЯ СЕРВЕРА
port 49973
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 94.140.14.14"
push "dhcp-option DNS 94.140.15.15"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_ve4XMxxxxxnkhHWL1.crt
key server_ve4XMxxxxxnkhHWL1.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3
ВЕРСИЯ СЕРВЕРА
# openvpn --version
OpenVPN 2.4.12 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] создано 27 июня 2024 года
версии библиотек: OpenSSL 1.1.1f 31 марта 2020, LZO 2.10
Изначально разработано Джеймсом Йонаном
Авторские права (C) 2002-2018 OpenVPN Inc <[email protected]>
ВЕРСИЯ КЛИЕНТА
openvpn --version
OpenVPN 2.6.12 amd64-portbld-freebsd14.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] [DCO]
версии библиотек: OpenSSL 3.0.15 3 сентября 2024, LZO 2.10
Версия DCO: FreeBSD 14.1-RELEASE-p5 stable/24.7-n267855-304cf693716 SMP
Изначально разработано Джеймсом Йонаном
Авторские права (C) 2002-2024 OpenVPN Inc <[email protected]>
ЖУРНАЛ КЛИЕНТА
2024-11-02T00:03:56 Уведомление openvpn_client1 UDPv4 ссылка удаленно: [AF_INET]111.311.115.122:49973
2024-11-02T00:03:56 Уведомление openvpn_client1 UDPv4 ссылка локально: (не связана)
2024-11-02T00:03:56 Уведомление openvpn_client1 TCP/UDP: Сохраняю недавно использованный удалённый адрес: [AF_INET]111.311.115.122:49973
2024-11-02T00:03:56 Внимание openvpn_client1 ЗАМЕТКА: текущая настройка --script-security может позволить этой конфигурации вызывать пользовательские скрипты
2024-11-02T00:03:56 Уведомление openvpn_client1 Версия DCO: FreeBSD 14.1-RELEASE-p5 stable/24.7-n267855-304cf693716 SMP
2024-11-02T00:03:56 Уведомление openvpn_client1 версии библиотек: OpenSSL 3.0.15 3 сентября 2024, LZO 2.10
2024-11-02T00:03:56 Уведомление openvpn_client1 OpenVPN 2.6.12 amd64-portbld-freebsd14.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] [DCO]
ИНТЕРФЕЙС КЛИЕНТА
ovpnc1: flags=8010<POINTOPOINT,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
groups: tun openvpn
nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
ЖУРНАЛ ОШИБОК СЕРВЕРА
tls-crypt unwrap error: ошибка аутентификации пакета
TLS Error: ошибка распаковки tls-crypt из [AF_INET]222.239.212.126:60982
tls-crypt unwrap error: ошибка аутентификации пакета
TLS Error: ошибка распаковки tls-crypt из [AF_INET]222.239.212.126:60982
tls-crypt unwrap error: ошибка аутентификации пакета
TLS Error: ошибка распаковки tls-crypt из [AF_INET]222.239.212.126:60982
Ответ или решение
Проблема с подключением к серверу OpenVPN, сопровождающаяся ошибками TLS, такими как "tls-crypt unwrapping failed", часто может быть вызвана неправильной конфигурацией на стороне клиента или сервера. В данном ответе мы подробно рассмотрим возможные причины данной ошибки и предоставим рекомендации по ее решению.
Описание проблемы
На основе предоставленных логов клиента и сервера, ошибка "tls-crypt unwrap error: packet authentication failed" указывает на сбой в процессе расшифровки пакетов, который происходит из-за несоответствия ключей шифрования или неправильной конфигурации. На стороне клиента подключение происходит к серверу по адресу 111.311.115.122 на порту 49973, и клиент использует tls-crypt с статическим ключом.
Возможные причины ошибки
-
Неправильный статический ключ:
- Убедитесь, что статический ключ
tls-cryptна клиенте совпадает с тем, что используется на сервере. Даже малейшее изменение или ошибка при копировании ключа могут привести к данной ошибке.
- Убедитесь, что статический ключ
-
Несоответствие конфигурации TLS:
- Проверьте, что оба устройства (клиент и сервер) используют одни и те же параметры TLS, такие как
tls-cipher,tls-version-min, и другие параметры, связанные с безопасностью.
- Проверьте, что оба устройства (клиент и сервер) используют одни и те же параметры TLS, такие как
-
Проблемы с сертификатами:
- Убедитесь, что сертификат CA и пользовательский сертификат корректно установлены и не повреждены. Проверьте также, что срок действия сертификатов не истек.
-
Несоответствие версий OpenVPN:
- Хотя версии клиента и сервера OpenVPN отличаются, это не должно быть основной причиной, однако лучше использовать близкие версии. Обратите внимание, что сервер использует OpenVPN версии
2.4.12, в то время как клиент —2.6.12. Попробуйте протестировать конфигурацию на более старом клиенте, чтобы проверить совместимость.
- Хотя версии клиента и сервера OpenVPN отличаются, это не должно быть основной причиной, однако лучше использовать близкие версии. Обратите внимание, что сервер использует OpenVPN версии
-
Сетевые проблемы:
- Убедитесь, что пакеты не блокируются брандмауэром или каким-либо сетевым оборудованием на пути между клиентом и сервером.
Рекомендации по устранению проблемы
-
Сравните статические ключи:
- Сравните статический ключ, используемый на клиенте в секции
<tls-crypt>и ключ, указанный на сервере в строкеtls-crypt tls-crypt.key. Убедитесь, что они совпадают.
- Сравните статический ключ, используемый на клиенте в секции
-
Проверьте конфигурации:
- Перепроверьте файлы конфигураций на наличие любых несоответствий, особенно в параметрах TLS и используемых сертификатов.
-
Убедитесь, что сертификаты актуальны:
- Замените сертификаты, если они устарели, и заново их установите на клиенте и сервере.
-
Протестируйте соединение без
tls-crypt:- Для диагностики проблемы можно отключить
tls-cryptв конфигурации как на стороне клиента, так и на стороне сервера, чтобы выяснить, является ли проблема связанной именно сtls-crypt.
- Для диагностики проблемы можно отключить
-
Используйте утилиты для отладки:
- Используйте команды
pingиtracerouteдля проверки соединения между клиентом и сервером, чтобы убедиться, что пакеты действительно достигают назначения.
- Используйте команды
Заключение
Для успешного подключения к серверу OpenVPN необходимо корректное соответствие всех параметров конфигурации, включая статические ключи и сертификаты. Если вы выполните указанные шаги, это должно помочь вам устранить ошибку tls-crypt unwrapping failed. Не забудьте также просмотреть остальную часть журнала, поскольку там могут быть дополнительные подсказки, указывающие на источник проблемы.