サーバ側（CentOS OpenVPN 2.3.6） と クライアント側（Windows VPNUX CLIENT 1.2.9） 設定ご相談

[prea...@gmail.com]

平素VPNUX CLIENTを使用させていただいています。

素晴らしく便利なツールでいつも助かっています。

さて、表題の件：

サーバ側（CentOS OpenVPN 2.3.6） と クライアント側（Windows VPNUX CLIENT 1.2.9）

でのサーバ側 server.conf 設定につきまして。

私の作業手順が拙いかもしれないのですが

一部の機能を使用できていない為、ご相談させていただきたくお願いします。

サーバ側 server.conf を従来は下記設定で使用していました。

(念の為、環境に依存する箇所を xxx で伏せさせてください)

 port xxx

 proto udp

 dev tun

 ca ca.crt

 cert server.crt

 key server.key

 dh dh.pem

 server 10.xxx.0.0 255.255.255.0

 ifconfig-pool-persist ipp.txt

 push "route 192.168.xxx.0 255.255.255.0"

 client-config-dir ccd

 keepalive 10 120

 tls-auth ta.key 0

 comp-lzo

 max-clients 3

 user nobody

 group nobody

 persist-key

 persist-tun

 status openvpn-status.log

 log-append /var/log/openvpn.log

 verb 3

 crl-verify crl.pem

ただ、近頃、FREAK等の脆弱性の懸念がWEB上で挙げられてきました為

上記の設定を見直したいと思い、WEB検索した結果、

下記5つの設定を加えたいと考えるようになりました。

 

 1.

 cipher AES-256-CBC

 2.

 keysize 256

 3.

 tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA

 4.

 tls-version-min 1.2

 5.

 auth SHA256

上記5つの設定のうち 1. 2. 3. の3つまでは

運用になんの弊害も無く加えることができました。

他2つ 4. 5. の設定ですが、これらを server.conf に記述しますと

クライアント側から繋がらなくなってしまいました。

クライアント側は1台で Windows7Pro 64bit ＋VPNUX Client1.2.9 の環境で

PCからはモバイルWiFiルータに繋いでいます。

従来の設置及び 1. 2. 3. の設定を加えたところまでは問題は無く

VPN接続できていました。

4. 5. の設定を加えますと、VPN接続が失敗するようになったのですが

この振る舞いに思い当たる点が何かありましたら

ご指導いただけますと大変助かります。

また、私の方で他にすべきことございましたらご指示くださいませ。

お手数をおかけしますがご検討お願い申し上げます。

[Taro Yamazaki]

こんにちは、やまざきです。
vpnux Clientをお使いいただき、どうもありがとうございます。

サーバー側とクライアント側の設定がマッチしないための問題ではないかと思い
ますが、接続時のエラーメッセージ（クライアント/サーバーの両方）がわかる
ともう少し手がかりになるかもしれません。

また、現時点では推測となりますが、

> 4.
> tls-version-min 1.2

については、こちらの記事が参考になりますでしょうか？

https://community.openvpn.net/openvpn/ticket/401

2.3.4ではこの機能で1.2が指定できなくなっている（1.0のみ対応）ということ
のようです。サーバー側のログで「TLS_ERROR: BIO read tls_read_plaintext
error:」が出ていればこの可能性が高いのではないかと思います。

> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com
> <mailto:openvpn-japan-user...@googlegroups.com> にメール
> を送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセ
> スしてください。

--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao, Kawasaki, Kanagawa, 215-0031, JAPAN
: http://www.plum-systems.co.jp/

[prea...@gmail.com]

やまざき様 こんばんわ。

早速ご返信をいただきありがとうございます。

サーバ側OpenVPNのバージョンは 2.3.6 となります。

その後、サーバ側OpenVPN(CentOS6)と、クライアント側OpenVPN(Win7Pro64bit)

とで先ほどの5項目（ 1. 2. 3. 及び 4. 5. ）を追記して接続試したところ

支障無く、接続が成功しました。

（このOpenVPN同士の接続は、サーバ側/クライアント側どちらのConfigにも先ほどの5項目を記述しています）

エラー内容ですが接続ログから、VPNUX CLIENT側で失敗していると思われる箇所

を抜粋し転載させてください。

VPNUX CLIENTで失敗していると思われるやり取り：

Control Channel Authentication: tls-auth using INLINE static key file

Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

・・・中略・・・

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

TLS Error: TLS handshake failed

接続成功するOpenVPNでのやり取り：

Control Channel Authentication: using 'ta.key' as a OpenVPN static key file

Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication

Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication

の違いが見られました。

もしかすると、OpenVPN同士ではサーバとクライアント側で同じ書式のConfigが使える分、

tls-version-min 1.2 やauth SHA256 の設定も明確に理解しあえているのですが

クライアント側がVPNUX CLIENTになりますと、ここの設定がうまくコミュニケーションできていない

のか、それとも、単純に私の方で必要な設定をわかっていないのか、のように考えています。

お手数をおかけしますが、あまり急いではおりませんので、上記の違いにつきまして

やまざき様の方でもご検討いただけますと嬉しいです。

当面は従来設定のまま VPNUX CLIENTで運用を続けてまいりたいと思います。

どうぞお願い申し上げます。

※接続ログ全容が必要であります場合にはお申し付けくださいませ。

[Taro Yamazaki]

ご報告ありがとうございます。

ログから見る限り、やはりサーバーとクライアントの設定値が合致していないこ
とに起因するようですね。

vpnux Clientでのauthディレクティブの対応については、今後のバージョンで機
能追加するかどうかを検討したいと思います。

[prea...@gmail.com]

やまざき様

連絡不精してしまいました。

authディレクティブをご検討事項としていただきありがとうございます。

auth指定しない場合はSHA-1 160bitで認証しているようですので

今後、tls版数やSHA256等を指定できるようになってきますと

またひとつ嬉しいです。

vpnux Clientはとても便利でお世話になっています。

今後もご活躍期待しています。