ฉันใช้เซิร์ฟเวอร์ openvpn linux และ windows xp เป็นไคลเอนต์ ไฟร์วอลล์ถูกปิดใช้งานทั้งในไคลเอนต์และเซิร์ฟเวอร์ ฉันไม่เข้าใจว่าทำไมฉันถึงได้รับข้อความว่า "ข้อผิดพลาด TLS: TLS handshake ล้มเหลว" ฉันใช้พอร์ต UDP 1194 ทั้งในเซิร์ฟเวอร์และไคลเอนต์ แพ็กเก็ตเริ่มต้น TLS ถูกส่งจากเซิร์ฟเวอร์ แต่ไคลเอนต์ไม่สามารถตอบสนองได้ ใครก็ได้โปรดช่วยฉันในการแก้ไขปัญหานี้

ขอบคุณล่วงหน้า:-)

โปรดค้นหาไฟล์กำหนดค่าและบันทึกที่แนบมา

/etc/OpenVPN/server.conf

port 1194
proto udp
dev tun
ca /etc/OpenVPN/openvpn-2.3.14/ca.crt
cert /etc/OpenVPN/openvpn-2.3.14/server.crt
key /etc/OpenVPN/openvpn-2.3.14/server.key
dh /etc/OpenVPN/openvpn-2.3.14/dh1024.pem
server 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth /etc/OpenVPN/easy-rsa-old-master/easy-rsa/2.0/keys/ta.key 0
cipher BF-CBC # Blowfish (default)
persist-key
persist-tun
status openvpn-status.log
verb 3

C:\Program Files\Open VPN\Config\client.ovpn

client
dev tun
proto udp
remote 192.168.2.66 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\Program Files\OpenVPN\easy-rsa\keys\ca.crt"
cert "C:\Program Files\OpenVPN\easy-rsa\keys\client1.crt"
key "C:\Program Files\OpenVPN\easy-rsa\keys\client1.key"
remote-cert-tls server
tls-auth "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key" 1
cipher AES-256-CBC
verb 3

ไฟล์บันทึกเซิร์ฟเวอร์

อ. 18 เม.ย. 10:38:11 2017 OpenVPN 2.3.14 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] สร้างเมื่อวันที่ 10 เมษายน 2017
วันอังคารที่ 18 เมษายน 10:38: เวอร์ชันไลบรารี 11 2017: OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008, LZO 2.09
Tue 18 เมษายน 10:38:11 2017 Diffie-Hellman เริ่มต้นด้วยคีย์ 1024 บิต
วันอังคารที่ 18 เมษายน 10:38:11 2017 การตรวจสอบสิทธิ์ช่องควบคุม: ใช้ '/etc/OpenVPN/easy-rsa-old-master/easy-rsa/2.0/keys/ta.key' เป็นไฟล์คีย์สแตติก OpenVPN
วันอังคารที่ 18 เม.ย. 10:38:11 2017 การรับรองความถูกต้องของช่องสัญญาณควบคุมขาออก: การใช้ข้อความ 160 บิต แฮช 'SHA1' สำหรับการรับรองความถูกต้อง HMAC
วันอังคารที่ 18 เม.ย. 10:38:11 2017 การตรวจสอบสิทธิ์ช่องสัญญาณขาเข้า: การใช้แฮชข้อความ 160 บิต 'SHA1' สำหรับการตรวจสอบสิทธิ์ HMAC
วันอังคารที่ 18 เม.ย. 10:38:11 2017 ซ็อกเก็ตบัฟเฟอร์: R= [110592-> 110592] S= [110592->110592]
อ. 18 เม.ย. 10:38:11 2017 ROUTE_GATEWAY 192.168.2.2/255.255.255.0 IFACE=eth0 HWADDR=74:d4:35:e3:ff:5b
อ. 18 เม.ย. 10:38:11 2017 อุปกรณ์ TUN/TAP tun0 เปิดแล้ว
อ. เม.ย. 18 10:38:11 2017 ความยาวคิว TUN/TAP TX ตั้งไว้ที่ 100
วันอังคารที่ 18 เมษายน 10:38:11 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
อ. 18 เม.ย. 10:38:11 2017 / sbin/ifconfig tun0 192.168.2.1 pointopoint 192.168.2.2 mtu 1500
อังคาร 18 เม.ย. 10:38:11 2017 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.2
อ. 18 เม.ย. 10:38:11 2017 UDPv4 ลิงค์ท้องถิ่น (ถูกผูกไว้): [undef]
อังคาร 18 เม.ย. 10:38:11 2017 UDPv4 ลิงค์ระยะไกล: [undef]
อังคาร 18 เม.ย. 10:38:11 2017 MULTI: multi_init ถูกเรียก r=256 v=256
อ. 18 เม.ย. 10: 38:11 2017 IFCONFIG POOL: ฐาน=192.168.2.4 ขนาด=62, ipv6=0
อ. 18 เม.ย. 10:38:11 น. 2017 IFCONFIG POOL LIST
อ. 18 เม.ย. 10:38:11 น. 2017 ลำดับการเริ่มต้นเสร็จสมบูรณ์
อ. 18 เม.ย. 10:38:15 2017 192.168.2.27:1175 TLS: แพ็คเก็ตเริ่มต้นจาก [AF_INET]192.168.2.27: 1175, sid=d2919ee5 81172007
อังคาร 18 เม.ย. 10:39:10 2017 192.168.2.27:1177 TLS: แพ็กเก็ตเริ่มต้นจาก [AF_INET]192.168.2.27:1177, sid=bced6247 c1788fef
อ. 18 เม.ย. 10:39:15 2017 192.168.2.27 :1175 ข้อผิดพลาด TLS: การเจรจาคีย์ TLS ล้มเหลวภายใน 60 วินาที (ตรวจสอบการเชื่อมต่อเครือข่ายของคุณ)
อังคาร 18 เมษายน 10:39:15 2017 192.168.2.27:1175 TLS ข้อผิดพลาด: TLS handshake ล้มเหลว
อ. 18 เม.ย. 10:39:15 2017 192.168 ได้รับ .2.27:1175 SIGUSR1 [soft,tls-error] แล้ว การรีสตาร์ทอินสแตนซ์ไคลเอ็นต์

ไฟล์บันทึกของลูกค้า

อ. 18 เม.ย. 10:46:54 2017 OpenVPN 2.3.14 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] สร้างเมื่อ 1 ก.พ. 2560
วันอังคารที่ 18 เม.ย. 10:46:54 2017 Windows เวอร์ชัน 5.1 (Windows XP) 32 บิต
วันอังคารที่ 18 เม.ย. 10:46:54 น. เวอร์ชันไลบรารี่ของ 2017: OpenSSL 1.0.2k 26 ม.ค. 2017, LZO 2.09
วันอังคารที่ 18 เม.ย. 10:46:54 น. 2017 การจัดการ: TCP Socket กำลังรับฟังบน [AF_INET]127.0.0.1:25340
อ. 18 เม.ย. 10:46:54 2017 ต้องการระงับจากอินเทอร์เฟซการจัดการ รอ...
อ. 18 เม.ย. 10:46:54 2017 การจัดการ: ลูกค้าเชื่อมต่อจาก [AF_INET]127.0.0.1:25340
อ. 18 เม.ย. 10:46:54 น. การจัดการ 2017: CMD 'สถานะเมื่อ'
วันอังคารที่ 18 เมษายน 10:46:54 น. 2017 การจัดการ: CMD 'เข้าสู่ระบบทั้งหมด'
วันอังคารที่ 18 เมษายน 10:46:54 น. 2017 การจัดการ: CMD 'ระงับ'
วันอังคารที่ 18 เม.ย. 10:46:54 2017 การจัดการ: CMD 'ปล่อย'
อ. 18 เม.ย. 10:46:54 2017 การตรวจสอบสิทธิ์ช่องควบคุม: ใช้ 'C:\Program Files\OpenVPN\easy-rsa\keys\ta.key' เป็นไฟล์คีย์คงที่ของ OpenVPN
อ. 18 เม.ย. 10:46:54 2017 การควบคุมขาออก การตรวจสอบความถูกต้องของแชนเนล: การใช้แฮชข้อความ 160 บิต 'SHA1' สำหรับการรับรองความถูกต้อง HMAC
วันอังคารที่ 18 เม.ย. 10:46:54 2017 การตรวจสอบสิทธิ์ช่องสัญญาณควบคุมขาเข้า: การใช้แฮชข้อความ 160 บิต 'SHA1' สำหรับการรับรองความถูกต้อง HMAC
อ. 18 เม.ย. 10:46:54 2017 ซ็อกเก็ตบัฟเฟอร์ : R=[8192->8192] S=[8192->8192] Tue 18 Apr 10:46:54 2017 UDPv4 link local: [undef]
Tue 18 Apr 10:46:54 2017 UDPv4 link remote: [AF_INET]192.168 .2.66:1194
อ. 18 เม.ย. 10:46:54 2017 การจัดการ: >STATE:1492492614,WAIT,,,
อ. 18 เม.ย. 10:49:23 2017 TLS ข้อผิดพลาด:การเจรจาคีย์ TLS ล้มเหลวภายใน 60 วินาที (ตรวจสอบการเชื่อมต่อเครือข่ายของคุณ)
อ. 18 เม.ย. 10:49:23 2017 TLS ข้อผิดพลาด: TLS handshake ล้มเหลว
อ. 18 เม.ย. 10:49:23 2017 ได้รับ SIGUSR1 [soft,tls-error] แล้ว กระบวนการเริ่มต้นใหม่
อ. 18 เม.ย. 10:49:23 2017 การจัดการ: >STATE: 1492492763,RECONNECTING,tls-error,,
อ. 18 เม.ย. 10:49:23 2017 รีสตาร์ทหยุดชั่วคราว 2 วินาที
อ. 18 เม.ย. 10:49:25 2017 ซ็อกเก็ตบัฟเฟอร์: R=[8192->8192] S=[8192 ->8192]
วันอังคารที่ 18 เม.ย. 10:49:25 2017 ลิงก์ UDPv4 ในเครื่อง: [undef]
วันอังคารที่ 18 เมษายน 10:49:25 น. 2017 ลิงก์ UDPv4 ระยะไกล: [AF_INET]192.168.2.66:1194
วันอังคารที่ 18 เม.ย. 10:49:25 2017 การจัดการ: >STATE:1492492765,เดี๋ยวก่อน,,,

คีย์การตรวจสอบสิทธิ์ tls คือคีย์ 2048 บิตและ diffie hiellman คือ 1024 บิต

answer

มีคำถามที่คล้ายกันมากใน serverfault: แก้ไข 'ข้อผิดพลาด TLS: การจับมือ TLS ล้มเหลว' บนไคลเอนต์ OpenVPN

หากคำถามนี้ไม่ตรงกับความต้องการของคุณ โปรดให้ข้อมูลเพิ่มเติมเกี่ยวกับระบบของคุณ การกำหนดค่า และข้อความแสดงข้อผิดพลาดโดยละเอียดจากบันทึกเซิร์ฟเวอร์และไคลเอ็นต์ให้เราทราบ หากเซิร์ฟเวอร์ตอบสนองบนไคลเอนต์ (อ้าง: "ส่งแพ็คเก็ตเริ่มต้น TLS จากเซิร์ฟเวอร์ ... ") แต่ไคลเอนต์ไม่ได้สร้างการเชื่อมต่อ ข้อผิดพลาดน่าจะอยู่ที่ใดที่หนึ่งที่ลึกกว่าในระบบและรายละเอียดเพิ่มเติมบางอย่างจะ จะมีประโยชน์.