我使用 openvpn linux 服务器和 windows xp 作为客户端。客户端和服务器的防火墙都已禁用。我不明白为什么会出现“TLS 错误:TLS 握手失败”的错误。我在服务器和客户端都使用 UDP 端口 1194。TLS 初始数据包从服务器发送,但客户端无法响应。有人能帮我解决这个问题吗?
提前致谢:-)
请查看附件的配置和日志文件。
/etc/OpenVPN/server.conf
端口 1194
proto udp
dev tun
ca /etc/OpenVPN/openvpn-2.3.14/
ca.crt 证书 /etc/OpenVPN/openvpn-2.3.14/server.crt
密钥 /etc/OpenVPN/openvpn-2.3.14/server.key
dh /etc/OpenVPN/openvpn-2.3.14/dh1024.pem
服务器 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth /etc/OpenVPN/easy-rsa-old-master/easy-rsa/2.0/keys/ta.key 0
密码 BF-CBC # Blowfish (默认)
persist-key
persist-tun
状态 openvpn-status.log
动词 3
C:\Program Files\Open VPN\Config\client.ovpn
客户端
dev tun
proto udp
远程 192.168.2.66 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca“C:\Program Files\OpenVPN\easy-rsa\keys\ca.crt”
证书“C:\Program Files\OpenVPN\easy-rsa\keys\client1.crt”
密钥“C:\Program Files\OpenVPN\easy-rsa\keys\client1.key”
远程证书tls服务器
tls-auth“C:\Program Files\OpenVPN\easy-rsa\keys\ta.key”1
密码AES-256-CBC
动词3
服务器日志文件
2017 年 4 月 18 日星期二 10:38:11 OpenVPN 2.3.14 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] 构建于 2017 年 4 月 10 日 2017 年 4 月 18 日
星期二 10:38:11 库版本:OpenSSL 0.9.8e-fips-rhel5 2008 年 7 月 1 日,LZO 2.09
2017 年 4 月 18 日星期二 10:38:11 Diffie-Hellman 使用 1024 位密钥初始化 2017 年 4 月
18 日星期二 10:38:11 控制通道身份验证:使用 '/etc/OpenVPN/easy-rsa-old-master/easy-rsa/2.0/keys/ta.key' 作为 OpenVPN 静态密钥文件 2017 年
4 月 18 日星期二2017 年 10:38:11 传出控制通道身份验证:使用 160 位消息哈希“SHA1”进行 HMAC 身份验证 2017
年 4 月 18 日星期二 10:38:11 传入控制通道身份验证:使用 160 位消息哈希“SHA1”进行 HMAC 身份验证
2017 年 4 月 18 日星期二 10:38:11 套接字缓冲区:R=[110592->110592] S=[110592->110592] 2017 年
4 月 18 日星期二 10:38:11 ROUTE_GATEWAY 192.168.2.2/255.255.255.0 IFACE=eth0 HWADDR=74:d4:35:e3:ff:5b
2017 年 4 月 18 日星期二 10:38:11 TUN/TAP 设备 tun0已打开
2017 年 4 月 18 日星期二 10:38:11 TUN/TAP TX 队列长度设置为 100
2017 年 4 月 18 日星期二 10:38:11 do_ifconfig、tt->ipv6=0、tt->did_ifconfig_ipv6_setup=0
2017 年 4 月 18 日星期二 10:38:11 /sbin/ifconfig tun0 192.168.2.1 pointopoint 192.168.2.2 mtu 1500
2017 年 4 月 18 日星期二 10:38:11 /sbin/route add -net 192.168.2.0 网络掩码 255.255.255.0 gw 192.168.2.2 2017 年
4 月 18 日星期二 10:38:11 UDPv4 链接本地(绑定):[undef]
2017 年 4 月 18 日星期二 10:38:11 UDPv4 链接远程:[undef]
2017 年 4 月 18 日星期二 10:38:11 MULTI:已调用 multi_init,r=256 v=256
2017 年 4 月 18 日星期二 10:38:11 IFCONFIG POOL:base=192.168.2.4 size=62,ipv6=0
2017 年 4 月 18 日星期二 10:38:11 IFCONFIG POOL LIST
2017 年 4 月 18 日星期二 10:38:11 初始化序列已完成 2017 年
4 月 18 日星期二 10:38:15 192.168.2.27:1175 TLS:来自 [AF_INET]192.168.2.27:1175 的初始数据包, sid=d2919ee5 81172007
2017 年 4 月 18 日星期二 10:39:10 192.168.2.27:1177 TLS:来自 [AF_INET]192.168.2.27:1177 的初始数据包,sid=bced6247 c1788fef
2017 年 4 月 18 日星期二 10:39:15 192.168.2.27:1175 TLS 错误:TLS 密钥协商未能在 60 秒内完成(请检查您的网络连接)
2017 年 4 月 18 日星期二 10:39:15 192.168.2.27:1175 TLS 错误:TLS 握手失败
2017 年 4 月 18 日星期二 10:39:15 192.168.2.27:1175已收到 SIGUSR1[soft,tls-error],客户端实例正在重新启动
客户端日志文件
2017 年 4 月 18 日星期二 10:46:54 OpenVPN 2.3.14 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] 构建于 2017 年 2 月 1 日 2017
年 4 月 18 日星期二 10:46:54 Windows 版本 5.1 (Windows XP) 32 位 2017
年 4 月 18 日星期二 10:46:54 库版本:OpenSSL 1.0.2k 2017 年 1 月 26 日,LZO 2.09
2017 年 4 月 18 日星期二 10:46:54 管理:TCP 套接字正在监听 [AF_INET]127.0.0.1:25340
2017 年 4 月 18 日星期二 10:46:54 需要从管理界面释放保留权限,正在等待... 2017 年
4 月 18 日星期二2017 年 10:46:54 管理:客户端从 [AF_INET]127.0.0.1:25340 连接 2017 年
4 月 18 日星期二 10:46:54 管理:CMD“state on”
2017 年 4 月 18 日星期二 10:46:54 管理:CMD“log all on”
2017 年 4 月 18 日星期二 10:46:54 管理:CMD“hold off” 2017 年
4 月 18 日星期二 10:46:54 管理:CMD“hold release”
2017 年 4 月 18 日星期二 10:46:54 控制通道身份验证:使用“C:\Program Files\OpenVPN\easy-rsa\keys\ta.key”作为 OpenVPN 静态密钥文件
2017 年 4 月 18 日星期二 10:46:54 传出控制通道身份验证:使用 160 位消息哈希“SHA1”进行 HMAC 身份验证
2017 年 4 月 18 日星期二 10:46:54 传入控制通道身份验证:使用 160 位消息哈希“SHA1”进行 HMAC 身份验证
2017 年 4 月 18 日星期二 10:46:54 套接字缓冲区:R=[8192->8192] S=[8192->8192] 2017 年 4 月 18 日星期二 10:46:54 UDPv4 本地链接:[undef]
2017 年 4 月 18 日星期二 10:46:54 UDPv4 远程链接:[AF_INET]192.168.2.66:1194 2017 年 4 月 18 日
星期二 10:46:54 管理:>STATE:1492492614,等待,,,
2017 年 10:49:23 TLS 错误:TLS 密钥协商未能在 60 秒内完成(请检查您的网络连接)
2017 年 4 月 18 日星期二 10:49:23 TLS 错误:TLS 握手失败
2017 年 4 月 18 日星期二 10:49:23 收到 SIGUSR1[soft,tls-error],进程正在重新启动
2017 年 4 月 18 日星期二 10:49:23 管理:>STATE:1492492763,RECONNECTING,tls-error,
2017 年 4 月 18 日星期二 10:49:23 重新启动暂停,2 秒
2017 年 4 月 18 日星期二 10:49:25 套接字缓冲区:R=[8192->8192] S=[8192->8192]2017 年
4 月 18 日星期二2017 年 10:49:25 UDPv4 本地链接:[undef]
2017 年 4 月 18 日星期二 10:49:25 UDPv4 远程链接:[AF_INET]192.168.2.66:1194
2017 年 4 月 18 日星期二 10:49:25 管理:>STATE:1492492765,等待,,,
tls 身份验证密钥为 2048 位密钥,diffie hiellman 为 1024 位
答案1
serverfault 上已经有一个非常类似的问题:修复 OpenVPN 客户端上的“TLS 错误:TLS 握手失败”
如果这个问题不符合您的需求,您能否向我们提供更多有关您的系统、配置的信息,以及来自服务器和客户端日志的更详细的错误消息?如果服务器在客户端上做出响应(引用:“TLS 初始数据包从服务器发送...”),但客户端未建立连接,则错误可能位于系统更深层的某个位置,更多详细信息将很有用。