Her saat OpenVPN sunucusuyla bağlantıyı kesme

OpenVPNKonfigürasyonumda oldukça garip bir sorun yaşıyorum . Windows 7Resmi son OpenVPNistemciden OpenVPNsunucuma ( OpenVPN 2.1.4 i386-redhat-linux-gnu) bağlanıyorum .

Sorun, OpenVPNtam olarak 1 saat sonra sunucumla olan bağlantımı kesiyorum ve bunun için hangi yönerge / seçeneğin sorumlu olduğunu anlayamıyorum. Belki bu bir müşteri meselesidir? Farklı Windowssistemleri ve Windows VPNistemcileri denedim . Linuxİstemciler olarak hiçbir bağlantı kesintileri ile beklenen gerçekleştirmesi sağlanmıştır.

Bu sorunu aşmam için bana yardım eder misiniz? Kitap ve googling okumayı denedim ve bazı insanlar oynamayı keepaliveve reneg-secdirektifleri tavsiye ediyorlar . Ama bu yardımcı olmuyor gibi görünüyor.

OpenVPN sunucu yapılandırması

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.0.0.0 255.0.0.0"
client-config-dir ccd
route 192.168.51.0 255.255.255.0
keepalive 60 600
reneg-sec 5000
hand-window 15
tls-auth ta.key 0
comp-lzo
max-clients 50
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 4
crl-verify crl.pem
management localhost 11111
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
push "dhcp-option DNS 192.168.2.1"
push "dhcp-option DOMAIN example.com"
push "dhcp-option SEARCH example.com"

Sunucu günlüğü (reinit_src = 1'deki sorun değil mi?)

Oct  9 07:23:38 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct  9 07:23:38 vpn openvpn[19495]: user/192.168.253.20:54568 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIVE reinit_src=1
Oct  9 07:24:53 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct  9 07:26:08 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS key negotiation failed to occur within 15 seconds (check your network connectivity)
Oct  9 07:26:08 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct  9 07:26:39 vpn openvpn[19495]: user/192.168.253.20:54568 [UNDEF] Inactivity timeout (--ping-restart), restarting
Oct  9 07:26:39 vpn openvpn[19495]: user/192.168.253.20:54568 SIGUSR1[soft,ping-restart] received, client-instance restarting

Müşteri günlüğü

RwrWRwRwRwRwTue Oct 09 07:26:39 2012 us=796000 TLS: soft reset sec=0 bytes=7405621/0 pkts=9459/0
Tue Oct 09 07:26:39 2012 us=600000 ERROR: could not read Auth username from stdin
Tue Oct 09 07:26:39 2012 us=600000 Exiting
Tue Oct 09 07:26:39 2012 us=600000 C:\WINDOWS\system32\route.exe DELETE 192.168.2.1 MASK 255.255.255.255 192.168.100.150
Tue Oct 09 07:26:39 2012 us=600000 Route deletion via IPAPI succeeded [adaptive]
Tue Oct 09 07:26:39 2012 us=600000 C:\WINDOWS\system32\route.exe DELETE 10.0.0.0 MASK 255.0.0.0 192.168.100.150
Tue Oct 09 07:26:39 2012 us=600000 Route deletion via IPAPI succeeded [adaptive]
Tue Oct 09 07:26:39 2012 us=600000 Closing TUN/TAP interface

Çok teşekkür ederim.

Suçlu, kimlik doğrulama yapılandırmanız gibi görünüyor. Kullanıyorsunuz plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so loginbağlamak için geçerli bir kullanıcı adı / şifre kombinasyonu tedarik müşteri zorunlu kılardı. Görünüşe göre, bu yeniden anahtarlama sırasında da gereklidir ve OpenVPN istemciniz stdin( ERROR: could not read Auth username from stdin) ' den kullanıcı adı isteyemiyor gibi görünüyor .

Sunucu yapılandırmanızda yeniden yapılandırmayı artırmanın nedenlere yardımcı olmaması nedeniyle, bunun nedeni parametrenin her ikisinde de belirtilmesi gerektiğidir - sunucunun ve istemcinin yapılandırması varsayılan 3600 saniyenin üzerine yükseltilmelidir ( Çünkü bir saat - gördüğünüz bağlantıyı kesin).

Yani seçenekleriniz

• kullanıcı girişi gerektirmeyen bir kimlik doğrulama yöntemi kullanın (ilk akla gelen sertifikalar)
• bağlantı kurulduktan sonra istemcinizin neden kullanıcı adı / şifre kombinasyonu isteyemediğini giderin
• yeniden anahtarlama dönemini yükseltin veya yeniden anahtarlamayı tamamen devre dışı bırakın (bu, bağlantınızın güvenliğini zayıflatır, bu nedenle sorununuz için yalnızca daha düşük bir çözümdür)

Eğer deneyebilirsiniz reneg-sec 0Gözlerinde farklı server.conf:

https://duo.com/docs/openvpn

https://tldrify.com/m80

gerçekten çok basit. OpenVPN, varsayılan olarak her 3600 saniyede bir yeni bir TLS Oturumunu yeniden ilişkilendirmeye çalıştığından, her seferinde yeni bir OTP kullanarak yeniden kimlik doğrulaması yapmanız gerekir. Bu tür davranışlardan kaçınmak için, openvpn'ye bir TLS oturumunu asla yeniden ilişkilendirmemesini ve var olan oturumu canlı tutmasını söyleme meselesi, eğer keepalivedirektif birleştirirseniz ve reneg-sec 0hiçbir şekilde yeniden birleşme olmadan istikrarlı bir bağlantınız olur.

İstemci yapılandırmam için 'auth-nocache' seçeneğini eklediğimde benzer bir etki yaşadım. Kimlik doğrulaması için sertifikalar VE bir kullanıcı adı + şifre kombinasyonu kullanıyorum.

Birkaç kez openvpn aşağıdaki uyarıyı bildirdi bağlantı günlüklerinde fark ettim:

UYARI: bu yapılandırma parolaları bellekte önbelleğe alabilir - bunu önlemek için auth-nocache seçeneğini kullanın

Bu yüzden sadece bu seçeneği ekleyeceğimi ve ne olduğunu göreceğimi düşündüm. Yukarıdaki uyarı kaybolur, ancak bir saat sonra kullanıcı adımı ve şifremi soran bir iletişim kutusu belirdi.

Andrew'un yukarıdaki yapılandırmasının bu seçeneği içermediğini fark ettim, bu yüzden neden parolayı önbelleğe almadığı konusunda biraz şaşkınım. Belki de daha yeni bir openvpn sürümü kullanıyorum veya bu seçeneği istemciye göndermek için sunucu yapılandırmasında ayarlanabilir.

Bu, Windows için OpenVPN GUI v5 ile OpenVPN 2.2.1-8 + deb7u2'de görüldü.