Задать вопрос
@RELT1N
Системный администратор идущий к DevOps

С чем может быть связана ошибка OVPN mikrotik?

Добрый день, настраивал mikrotik в качестве OVPN сервера, но при подключении имеются вот такие ошибки:

2024-05-15 09:55:12 Fatal TLS error (check_tls_errors_co), restarting
2024-05-15 09:55:12 Closing DCO interface
2024-05-15 09:55:12 SIGUSR1[soft,tls-error] received, process restarting

Все логи из папки: %USERPROFILE%\OpenVPN\log

2024-05-15 09:54:09 DEPRECATED OPTION: –cipher set to ‘AES-256-CBC’ but missing in –data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores –cipher for cipher negotiations. 
2024-05-15 09:54:09 OpenVPN 2.6.10 [git:v2.6.10/ba0f62fb950c56a0] Windows [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Mar 20 2024
2024-05-15 09:54:09 Windows version 10.0 (Windows 10 or greater), amd64 executable
2024-05-15 09:54:09 library versions: OpenSSL 3.2.1 30 Jan 2024, LZO 2.10
2024-05-15 09:54:09 DCO version: 1.0.1
2024-05-15 09:54:09 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2024-05-15 09:54:09 Need hold release from management interface, waiting…
2024-05-15 09:54:09 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:49983
2024-05-15 09:54:09 MANAGEMENT: CMD ‘state on’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘log on all’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘echo on all’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘bytecount 5’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘state’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘hold off’
2024-05-15 09:54:09 MANAGEMENT: CMD ‘hold release’
2024-05-15 09:54:11 MANAGEMENT: CMD ‘username “Auth” “test”‘
2024-05-15 09:54:11 MANAGEMENT: CMD ‘password […]’
2024-05-15 09:54:11 MANAGEMENT: CMD ‘password […]’
2024-05-15 09:54:11 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:54:11 ovpn-dco device [OpenVPN Connect DCO Adapter] opened
2024-05-15 09:54:12 TCP_CLIENT link local: (not bound)
2024-05-15 09:54:12 TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:54:12 MANAGEMENT: >STATE:1715741652,WAIT,,,,,,
2024-05-15 09:54:13 MANAGEMENT: >STATE:1715741653,AUTH,,,,,,
2024-05-15 09:54:13 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:443, sid=1b7d9bff 2eb9ce47
2024-05-15 09:54:19 VERIFY OK: depth=1, CN=CA
2024-05-15 09:54:19 VERIFY KU OK
2024-05-15 09:54:19 Validating certificate extended key usage
2024-05-15 09:54:19 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-05-15 09:54:19 VERIFY EKU OK
2024-05-15 09:54:19 VERIFY OK: depth=0, CN=ovpn-server
2024-05-15 09:55:12 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2024-05-15 09:55:12 TLS Error: TLS handshake failed
2024-05-15 09:55:12 Fatal TLS error (check_tls_errors_co), restarting
2024-05-15 09:55:12 Closing DCO interface
2024-05-15 09:55:12 SIGUSR1[soft,tls-error] received, process restarting
2024-05-15 09:55:12 MANAGEMENT: >STATE:1715741712,RECONNECTING,tls-error,,,,,
2024-05-15 09:55:12 Restart pause, 1 second(s)
2024-05-15 09:55:16 MANAGEMENT: CMD ‘username “Auth” “test”‘
2024-05-15 09:55:16 MANAGEMENT: CMD ‘password […]’
2024-05-15 09:55:16 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:55:16 ovpn-dco device [OpenVPN Connect DCO Adapter] opened
2024-05-15 09:55:16 TCP_CLIENT link local: (not bound)
2024-05-15 09:55:16 TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:55:16 MANAGEMENT: >STATE:1715741716,WAIT,,,,,,
2024-05-15 09:55:17 MANAGEMENT: >STATE:1715741717,AUTH,,,,,,
2024-05-15 09:55:17 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:443, sid=4d703856 aa6df27c
2024-05-15 09:55:19 VERIFY OK: depth=1, CN=CA
2024-05-15 09:55:19 VERIFY KU OK
2024-05-15 09:55:19 Validating certificate extended key usage
2024-05-15 09:55:19 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-05-15 09:55:19 VERIFY EKU OK
2024-05-15 09:55:19 VERIFY OK: depth=0, CN=ovpn-server
2024-05-15 09:56:17 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2024-05-15 09:56:17 TLS Error: TLS handshake failed
2024-05-15 09:56:17 Fatal TLS error (check_tls_errors_co), restarting
2024-05-15 09:56:17 Closing DCO interface
2024-05-15 09:56:17 SIGUSR1[soft,tls-error] received, process restarting
2024-05-15 09:56:17 MANAGEMENT: >STATE:1715741777,RECONNECTING,tls-error,,,,,
2024-05-15 09:56:17 Restart pause, 1 second(s)
2024-05-15 09:56:24 MANAGEMENT: CMD ‘username “Auth” “test”‘
2024-05-15 09:56:24 MANAGEMENT: CMD ‘password […]’
2024-05-15 09:56:24 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:56:24 ovpn-dco device [OpenVPN Connect DCO Adapter] opened
2024-05-15 09:56:24 TCP_CLIENT link local: (not bound)
2024-05-15 09:56:24 TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:443
2024-05-15 09:56:24 MANAGEMENT: >STATE:1715741784,WAIT,,,,,,
2024-05-15 09:56:24 MANAGEMENT: >STATE:1715741784,AUTH,,,,,,
2024-05-15 09:56:24 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:443, sid=de94d7dc 327c9045
2024-05-15 09:56:25 VERIFY OK: depth=1, CN=CA
2024-05-15 09:56:25 VERIFY KU OK
2024-05-15 09:56:25 Validating certificate extended key usage
2024-05-15 09:56:25 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-05-15 09:56:25 VERIFY EKU OK
2024-05-15 09:56:25 VERIFY OK: depth=0, CN=ovpn-server
2024-05-15 09:56:27 Closing DCO interface
2024-05-15 09:56:27 SIGTERM[hard,] received, process exiting
2024-05-15 09:56:27 MANAGEMENT: >STATE:1715741787,EXITING,SIGTERM,,,,,


Если нужна дополнительная информация, то пожалуйста спрашивайте, предоставлю в максимально ближайшее время!
  • Вопрос задан
  • 2022 просмотра
Подписаться 1 Средний 1 комментарий
Решения вопроса 1
b1ora
@b1ora Куратор тега MikroTik
Контакты в профиле
Автор связался со мной, разобрались за 15 минут.

1. OpenVPN был на tcp 443, где ещё работал web самого mikrotik. Исправил на стандартный порт 1194
2. Открыл порт в firewall tcp 1194
3. Сгенерировал новый сертификат сервера common указал внешний ip (по хорошему нужно доменное имя)
4. Подписал сертификат CA который автор уже сделал ранее
4. Сделал конфигурацию для OpenVPN Client с указанием сертификата CA прямо в нем
5. Отключил на сервере проверку сертификата клиента (не вижу смысла заниматься псевдобезопасностью в укор удобства настройки, когда ca+логин/пароль достаточно)

Итог - все работает
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 3
@Drno
Либо Вы не правильно указали \ скопировали на клиент сертификат.
Либо Ваш провайдер блокирует опенВПН
Ответ написан
Комментировать
@res2001
Developer, ex-admin
TLS Error: TLS key negotiation failed to occur within 60 seconds

Произошел разрыв соединения из-за таймаута ожидания ответа от сервера.
Скорее всего сервер по указанному протоколу/адресу/порту не доступен или трафик блокируется фаерволом.
Если в это же время посмотреть логи сервера, то там, скорее всего не будет никаких признаков входящего клиентского соединения.

Т.е. реально до соединения дело не доходит. Если бы соединение произошло и был бы, например, не правильный сертификат или еще что-то, то пришла бы нормальная ошибка от сервера и отвал произошел бы не по таймауту.

Судя по всему у вас используется протокол TCP, для проверки доступности сервера можете использовать telnet. Если телнет подключиться - значит сервер доступен по адресу/порту.
Ответ написан
@Stariyded
Сетевой админ
Если в вашем клиентском конфиге есть раздел tls-crypt
<ca>
-----BEGIN CERTIFICATE-----
"some key"
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
"some key"
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
"some key"
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
"some key"
</tls-crypt>

- такое конфиг может не работать.
Зависит от версии прошивки микротика. Но вроде в 7 версии оно так еще и не заработало.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы