OpenVPN: TLS key negotiation failed to occur within 60 seconds

Автор: Admin | 04.09.2015

Еще одна причина ошибки при коннекте к OpenVPN серверу
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity). TLS Error: TLS handshake failed


Как ни странно, причина не связана с конфигами самого OpenVPN сервера или клиентов, а кроется в сети, что и написано в логе.
Прослушка трафика показала, что нет обратного коннекта от сервера до клиента при рукопожатии:

14:01:59.465502 IP ServerIP.openvpn > ClientIP.54954: UDP, length 42
14:02:00.272635 IP ClientIP.54961 > ServerIP.openvpn: UDP, length 42
14:02:00.272889 IP ServerIP.openvpn > ClientIP.54961: UDP, length 54
14:02:03.568343 IP ClientIP.54961 > ServerIP.openvpn: UDP, length 42
14:02:03.568536 IP ServerIP.openvpn > ClientIP.54961: UDP, length 50
14:02:03.612846 IP ClientIP > ServerIP: ICMP host ClientIP unreachable - admin prohibited filter, length 36

При подробном режиме (verbose) такая картина:

14:08:14.154062 IP (tos 0x0, ttl 64, id 21182, offset 0, flags [DF], proto UDP (17), length 70)
    ServerIP.openvpn > ClientIP.57304: [bad udp cksum 0xd2f6 -> 0xb107!] UDP, length 42
14:08:20.193700 IP (tos 0x0, ttl 122, id 29713, offset 0, flags [none], proto UDP (17), length 70)
    ClientIP.62614 > ServerIP.openvpn: [udp sum ok] UDP, length 42
14:08:20.194123 IP (tos 0x0, ttl 64, id 21620, offset 0, flags [DF], proto UDP (17), length 82)
    ServerIP.openvpn > ClientIP.62614: [bad udp cksum 0xd302 -> 0x6091!] UDP, length 54
14:08:20.238329 IP (tos 0x0, ttl 250, id 27288, offset 0, flags [none], proto ICMP (1), length 56)
    ClientIP > ServerIP: ICMP host ClientIP unreachable - admin prohibited filter, length 36
	IP (tos 0x0, ttl 58, id 21620, offset 0, flags [DF], proto UDP (17), length 82)
    ServerIP.openvpn > ClientIP.62614: UDP, length 54
14:08:21.400665 IP (tos 0x0, ttl 122, id 29742, offset 0, flags [none], proto UDP (17), length 70)
    ClientIP.62614 > ServerIP.openvpn: [udp sum ok] UDP, length 42
14:08:21.400811 IP (tos 0x0, ttl 64, id 21703, offset 0, flags [DF], proto UDP (17), length 78)
    ServerIP.openvpn > ClientIP.62614: [bad udp cksum 0xd2fe -> 0x80f0!] UDP, length 50

Причина крылась в запрете форварда входящих UDP подключений на циске роутере со стороны клиента. При этом исходящие работали, т.к. подключение и общение до рукопожатия происходило.
Как только разрешили проходить UDP трафик — коннект до OpenVPN сервера поднялся.
Если нет возможности открыть UDP трафик, то стоит перейти на TCP соединение.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *