我试图将运行 Linux Mint 的笔记本电脑连接到运行 OpenVPN 的 FreeBSD 服务器,但没有成功。我在服务器日志中不断看到类似这样的 TLS 错误:
Tue Sep 17 23:14:51 2013 us=127496 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Sep 17 23:14:51 2013 us=127570 TLS Error: incoming packet authentication failed from [AF_INET] \\my IP number\\
我尝试过使用 TCP 代替 UDP、通过密码进行身份验证以及各种其他选项,但都无济于事。以下是服务器配置:
daemon
port 1194
proto udp
dev tun
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh2048.pem
server 192.168.100.0 255.255.255.0
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta.key 0 # This file is secret
keepalive 10 120
duplicate-cn
user nobody
group nobody
persist-key
persist-tun
status /var/openvpn-status.log
log-append /var/log/openvpn.log
verb 5
我在服务器上生成了 ca.crt 和 ca.key 文件,并将它们与 ta.key 一起复制到客户端,之后我创建了必要的客户端证书。
我正在使用 Gnome 网络管理器配置 OpenVPN 客户端。不确定它将其设置写入哪里。
对于这里可能出现的问题有什么想法吗?
短暂性脑缺血发作
答案1
根据@DerfK 的评论。您需要应用正确的key-direction。
在网络管理器中编辑您的 VPN 连接。
转到 VPN 选项卡。
单击“高级”。
转到 TLS 身份验证选项卡
将 Key Direction(底部)更改为 1
答案2
您是否已将 TA.key 文件传输到客户端?此文件是共享密钥。它必须在客户端上可用,并由配置引用。
但该功能不是必需的,您可以在服务器上禁用它。