OpenVPNの問題-60秒以内にTLSキーネゴシエーションを実行できませんでした
Openvpn Issue Tls Key Negotiation Failed Occur Within 60 Seconds
解決:
解決策1:解決策1:
興味深いのは、ポート番号が途中でどのように変化するかです。
2016年3月21日月曜日11:11:47XX.XX.XX.XX: 57804 TLS:[AF_INET] XX.XX.XX.XX:57804からの初期パケット、sid = fdf7a7ac 0264c7f3
2016年3月21日月曜日11:12:38XX.XX.XX.XX: 55938 TLS:[AF_INET] XX.XX.XX.XX:55938からの初期パケット、sid = 1f242a3f e454a525
これにより、クライアントとサーバーの間のどこかに、動作に問題のあるNATデバイスがあります。これは、非常に短命の状態テーブルエントリを持つデバイスであり、クライアントの確立されたストリームに適用される送信元ポート番号を変更し、サーバーに1つの継続的な通信ではなく、2つの短期間の通信が進行中であると考えてください。
このようなデバイスは通常、UDPでのみこれを行うため、UDPを使用していることを確認し、代わりにTCPを試すことをお勧めします。これを実行すると、問題が修正されることがわかりました。次のステップは、誤動作しているNATデバイスを特定し、クラブハンマーで叩いて、すべてのUDP通信が一時的なものであると想定するという基本的な間違いを犯さないデバイスと交換することです。しかし、回避策としてTCPに変更することに満足していることを示したので、問題は終了しました。
解決策2:解決策2:
これはOpenvpnのセットアップで最も一般的なエラーの1つであり、これに関するFAQエントリがあります。ここでこれを引用します:
TLSエラー:TLSキーネゴシエーションが60秒以内に発生しませんでした(ネットワーク接続を確認してください)
OpenVPNをセットアップする際の最も一般的な問題の1つは、接続のいずれかの側にある2つのOpenVPNデーモンが相互にTCPまたはUDP接続を確立できないことです。
これはほとんど次の結果です:
- サーバーのネットワーク上の境界ファイアウォールは、着信OpenVPNパケットを除外しています(デフォルトでは、OpenVPNはUDPまたはTCPポート番号1194を使用します)。
- OpenVPNサーバーマシン自体で実行されているソフトウェアファイアウォールは、ポート1194で着信接続をフィルタリングしています。特に設定されていない限り、多くのOSはデフォルトで着信接続をブロックすることに注意してください。
- サーバーのネットワーク上のNATゲートウェイには、OpenVPNサーバーマシンの内部アドレスへのTCP / UDP1194のポート転送ルールがありません。
- OpenVPNクライアント構成の構成ファイルに正しいサーバーアドレスがありません。クライアント構成ファイルのremoteディレクティブは、サーバー自体またはサーバーネットワークのゲートウェイのパブリックIPアドレスのいずれかを指している必要があります。
- もう1つの考えられる原因は、Windowsファイアウォールがopenvpn.exeバイナリへのアクセスをブロックしていることです。 OpenVPNを機能させるには、ホワイトリストに登録する(「例外」リストに追加する)必要がある場合があります。
これらのいずれかがあなたの場合にも同じ問題を引き起こしている可能性が高いです。したがって、リストを1つずつ調べて解決してください。
参照:TLSエラー:TLSキーネゴシエーションが60秒以内に発生しませんでした(ネットワーク接続を確認してください)
解決策3:解決策3:
このようなTLSキーネゴシエーションタイムアウトが発生していました。しかし、私の場合、リモートリンクがローカルIPアドレスであることに気づきました。
pfSenseファイアウォールのVPNが誤ってWANインターフェイスではなくLANインターフェイスに配置されていたため、エクスポートされた構成はファイアウォールのLANIPアドレスに接続しようとするように設定されていました。別のLAN。
これからの主なポイントは次のとおりです。
キーネゴシエーションタイムアウトを取得しても、必ずしも何かに接続できたとは限りません。
したがって、この段階では、実際に適切な場所に接続していること、および接続をブロックするファイアウォールルールなどがないことを確認する価値がある場合があります。特に、構成が自動的に生成されている場合はそうです。
ログインプロンプトが表示されることに注意してください あなたが接続しているという意味ではありません 、OpenVPNは接続を試みる前に資格情報を要求するため。
VPNサーバーが正しいインターフェースでリッスンしていることを確認してください。
(もちろん、これは、ファイアウォールルール、間違ったポート番号の入力、TCPとUDPの混合など、発生する可能性のあるサーバー側の設定ミスの1つです。)