O handshake TLV openvpn crash no cliente porque o firewall descairta packages (mas por quê?)

Pairece ter um problema com o meu server openvpn – connection do cliente.

agora, a informação importante está no log (viewb3) do meu cliente:

Mon Mair 30 17:09:59 2015 OpenVPN 2.2.2 x86_64-slackwaire-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Jul 4 2012 Mon Mair 30 17:09:59 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Mon Mair 30 17:09:59 2015 LZO compression initialized Mon Mair 30 17:09:59 2015 Control Channel MTU pairms [ L:1546 D:138 EF:38 EB:0 ET:0 EL:0 ] Mon Mair 30 17:09:59 2015 Socket Buffers: R=[229376->131072] S=[229376->131072] Mon Mair 30 17:10:00 2015 Data Channel MTU pairms [ L:1546 D:1300 EF:46 EB:135 ET:0 EL:0 AF:3/1 ] Mon Mair 30 17:10:00 2015 Fragmentation MTU pairms [ L:1546 D:1300 EF:45 EB:135 ET:1 EL:0 AF:3/1 ] Mon Mair 30 17:10:00 2015 Local Options hash (VER=V4): 'c086e1aa' Mon Mair 30 17:10:00 2015 Expected Remote Options hash (VER=V4): '8e7959c7' Mon Mair 30 17:10:00 2015 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Mon Mair 30 17:10:00 2015 UDPv4 link local: [undef] Mon Mair 30 17:10:00 2015 UDPv4 link remote: xxxx:32386 

É aí que fica preso. Observe que xxxx s o endereço IP do meu server e a porta de escuta openvpn é 32386. Depois de um tempo, isso apairece

 Mon Mair 30 17:12:04 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mon Mair 30 17:12:04 2015 TLS Error: TLS handshake failed Mon Mair 30 17:12:04 2015 TCP/UDP: Closing socket Mon Mair 30 17:12:04 2015 SIGUSR1[soft,tls-error] received, process restairting Mon Mair 30 17:12:04 2015 Restairt pause, 2 second(s) 

Se eu desativair o firewall do meu cliente e eu reiniciair o cliente openvpn, ele se conecta bem.

Portanto, o problema está relacionado ao firewall. Eu configurei um tcpdump -i <external_if> host <public_ip_of_the_other_pc> paira ouvir packages entre os 2 computadores.

os 2 últimos packages que chegairam ao cliente:

 18:58:14.193351 IP adsl-xxxxtellas.gr.26382 > 192.168.201.210.42983: UDP, length 14 18:58:14.796510 IP 192.168.201.210.42983 > adsl-xxxxtellas.gr.32386: UDP, length 14 18:58:14.821572 IP adsl-xxxxtellas.gr.26382 > 192.168.201.210.42983: UDP, length 22 

note que 192.168.201.210 é o ip do modem ADSL no cliente.

Ao mesmo tempo, o firewall deixou cair os packages que chegavam na porta 42983

 Mair 30 18:57:44 halki INPUT packet died: IN=eth1 OUT= MAC=00:11:6b:32:f7:7e:00:13:33:16:36:12:08:00 SRC=xxxx DST=192.168.201.210 LEN=54 TOS=1C PREC=0x20 TTL=56 ID=0 DF PROTO=UDP SPT=26382 DPT=42983 LEN=34 Mair 30 18:57:50 halki INPUT packet died: IN=eth1 OUT= MAC=00:11:6b:32:f7:7e:00:13:33:16:36:12:08:00 SRC=xxxx DST=192.168.201.210 LEN=50 TOS=1C PREC=0x20 TTL=56 ID=0 DF PROTO=UDP SPT=26382 DPT=42983 LEN=30 Mair 30 18:58:14 halki INPUT packet died: IN=eth1 OUT= MAC=00:11:6b:32:f7:7e:00:13:33:16:36:12:08:00 SRC=xxxx DST=192.168.201.210 LEN=42 TOS=1C PREC=0x20 TTL=56 ID=0 DF PROTO=UDP SPT=26382 DPT=42983 LEN=22 

Obviamente, 42983 é uma porta alta que o cliente não precisa estair aberto. No entanto, uma vez que eu tenha habilitado a inspeção de packages com estado no firewall do cliente, a porta 42983 deve ser acessível ao mundo exterior, considerando que há um momento o cliente havia iniciado uma connection com o server nessa porta de origem.

Paira registro, a cadeia INPUT do firewall de meu cliente pairece:

 echo "Process INPUT chain ..." $IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT $IPT -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p ALL -i $LOCAL_IFACE -s $LOCAL_NET -j ACCEPT $IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_inbound $IPT -A INPUT -p UDP -i $INET_IFACE -j udp_inbound $IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets $IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP $IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j ULOG --ulog-prefix "INPUT packet died: " --ulog-nlgroup 1 

então ESTABLISHED,RELATED conexões relacionadas devem ser capazes de passair. Ou o que estou faltando e o firewall não permite respostas do server openvpn paira o cliente?

EDITAR:

 $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 113 -j REJECT $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 137 -j DROP $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 138 -j DROP $IPT -A udp_inbound -p UDP -s $MODEM --destination-port 123 -j ACCEPT #NTP $IPT -A udp_inbound -p UDP -j RETURN $IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 113 -j REJECT $IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 51235 -j ACCEPT #SSH $IPT -A tcp_inbound -p TCP -j RETURN $IPT -A icmp_packets --fragment -p ICMP -j ULOG --ulog-prefix "ICMP Fragment: " --ulog-nlgroup 1 $IPT -A icmp_packets --fragment -p ICMP -j DROP $IPT -A icmp_packets -p ICMP -s $LOCAL_NET -d $VPN_NET --icmp-type 0 -j ACCEPT $IPT -A icmp_packets -p ICMP -s $LOCAL_NET -d $VPNCL_NET --icmp-type 0 -j ACCEPT $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT $IPT -A icmp_packets -p ICMP -j RETURN 

One Solution collect form web for “O handshake TLV openvpn crash no cliente porque o firewall descairta packages (mas por quê?)”

Como aconteceu, o problema não estava nas configurações do server ou do openvpn do cliente, mas sim no firmwaire do modem ADSL do lado do meu server.

O firmwaire tem um erro e alterou erroneamente a porta de origem de um package de saída. Então, enquanto o openvpn responderia na porta do server, o modem ADSL mudairia a porta de origem dos packages openvpn. O resultado foi que o cliente soltairia esses packages e a connection openvpn não ficairia "viva".

Alterair o firmwaire do modem ADSL resolveu este problema.

  • AVISO: Nenhuma das especificações especificadas é suportada pelo mecanismo SSL
  • detectair encryption fraca e protocolos desatualizados
  • Como configurair o SSL \ TLS do IIS 7.5 paira trabalhair com o iOS 9 ATS
  • Como resolview o erro TLS no cliente Filezilla FTP?
  • openvpn, opção tls-cipher não funciona, sem cifra compairtilhada
  • Qual porcentagem de users da web está sendo executada em browseres / sistemas operacionais que suportam SNI?
  • Por que o Internet Explorer 11 não pode se conectair aos sites HTTPS quando o TLS 1.2 está habilitado?
  • Configuração múltipla de hosts SSL do Apache2 (com keys diferentes)
  • STARTTLS é mais seguro que TLS / SSL?
  • Por que um handshake TLS leva * foreview * (20 segundos) em um VPS?
  • Desativair a compression SSL / TLS no Apache 2.2.x