openwrt routeros openvpn client 无线重连报错的原因分析

已于 2023-07-17 17:05:20 修改
阅读量3.5k 收藏 2
点赞数
分类专栏: 运维 devops落地 文章标签: 网络
于 2022-06-20 20:30:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37682535/article/details/125375644
版权

本人使用routeos ovn客户端,并打算使用openwrt 的ovn 连接,结果遇到了加密算法不兼容的问题,而且报错也比较隐晦,很难从里面发现信息。

先看一眼报错信息

Server

Error Msg

duplicate packet, dropping
TCP connection established from xxx
duplicate packet, dropping
TCP connection established from xxx
duplicate packet, dropping
TCP connection established from xxx
... 无限重试、循环

Client

error_msg
可以看到报错信息:

Connection reset, restarting [0]
TCP/UDP: Closing socket
SIGUSR1[soft,connection-reset] received, process restarting
Restart pause, 5 second(s)

注意报错信息出现的时机,实在TLS校验完成后报错,且不含关键信息

配置详情

RourterOS Ov9n ServerRouterOS Ov9n Server

OperWRT Ov9n Client

在这里插入图片描述
注意对比Server 和Client的关键信息,看看哪部分不一致,或者哪一部分缺失了

再补充一个关键信息,无论用户名和密码设置如何,都会报相同的错误

排错过程

我们大体上定位了错误发生的位置,在TLS校验成功后,且在用户认证之前
通过浏览源码我们发现,这一步其实在进行socks握手 (socks handshake),且报错也是在这个阶段发生的,原因就是socks握手失败了
/openv9n/src/openv9n/socks.c

void
establish_socks_proxy_passthru(struct socks_proxy_info *p,
                               socket_descriptor_t sd,  /* already open to proxy */
                               const char *host,        /* openvpn server remote */
                               const char *servname,    /* openvpn server port */
                               volatile int *signal_received)
{
    char buf[270];
    size_t len;

    if (!socks_handshake(p, sd, signal_received))
    {
        goto error;
    }
    /* format Socks CONNECT message */
    buf[0] = '\x05';            /* VER = 5 */
    buf[1] = '\x01';            /* CMD = 1 (CONNECT) */
    buf[2] = '\x00';            /* RSV */
    buf[3] = '\x03';            /* ATYP = 3 (DOMAINNAME) */
    len = strlen(host);
    len = (5 + len + 2 > sizeof(buf)) ? (sizeof(buf) - 5 - 2) : len;
    buf[4] = (char) len;
    memcpy(buf + 5, host, len);
    int port = port_from_servname(servname);
    if (port ==0)
    {
        msg(D_LINK_ERRORS, "establish_socks_proxy_passthrough: Cannot convert %s to port number", servname);
        goto error;
    }
    buf[5 + len] = (char) (port >> 8);
    buf[5 + len + 1] = (char) (port & 0xff);
    {
        const ssize_t size = send(sd, buf, 5 + len + 2, MSG_NOSIGNAL);
        if ((int)size != 5 + (int)len + 2)
        {
            msg(D_LINK_ERRORS | M_ERRNO, "establish_socks_proxy_passthru: TCP port write failed on send()");
            goto error;
        }
    }
    /* receive reply from Socks proxy and discard */
    if (!recv_socks_reply(sd, NULL, signal_received))
    {
        goto error;
    }
    return;
error:
    if (!*signal_received)
    {
        *signal_received = SIGUSR1; /* SOFT-SIGUSR1 -- socks error */
    }
    return;
}

可以明显看到报错的位置。
下面通过追踪握手信息发现了异常的地方:

hankshake_msg
原来这部分握手信息早就打印出来了,通过对比RouterOS的设置返现,没有设置cipher的信息。而由于openwrt使用的Ov9n client版本是2.5.x版本,它客户端默认的cipher就是 AES-256-GCM:AES-128-GCM,但是这两种算法我们的RouterOS均不支持
在这里插入图片描述
在这里插入图片描述
所以在握手期间就发生了错误,因为cipher算法不被支持。
所以我们手动在配置文件中添加cipher项目(从2.5文档中来看cipher项目还可以在配置中使用)
改进后的配置:
new_client_conf
可以看见新的配置中auth和cipher均对应RouterOS中的配置,再尝试连接
succcessful_connection_msg
可以看见连接成功建立,但是也会有提示,BF-CBC作为一种加密算法已经过时了,它面临着Sweet32生日攻击,需要注意保护通信的内容,毕竟这是连接到互联网上的vpn环境。所以建议及时更换新的Ov9n Server,以支持更高级别的加密算法。

Ov9n 在国内风评不是很好,但是作为一种企业连接的VPN工具,它的性能和安全性都是非常好的,且有着广泛的兼容环境,非常适合小企业使用,而大中企业可以选择更加高效和安全的硬件级别SSL VPN方案。

排错过程就到这里了,感谢大家观看。

补充信息

现在发现了一个问题,

  • 当你的用户名和密码不对时,也会出现该问题
  • 如果在Routeros的用户secret中未指定Remote_Address,也会出现问题。
VPN技术指南:OpenVPN和IPsec的配置与管理
Echo_Wish
12-03 673
OpenVPN和IPsec是两种强大的VPN解决方案,通过合理配置和管理,可以有效提高数据传输的安全性和网络的可靠性。本文详细介绍了OpenVPN和IPsec的配置步骤和优化方法,希望能为读者提供有价值的参考。如果有任何问题或需要进一步讨论,欢迎交流探讨。让我们共同推动网络安全技术的发展,为现代信息社会的高效运作保驾护航。
openvpn客户端连接报错
张晨光老师的播客
11-06 2265
1.warning是警告,证书过期,openssl x509 -noout -text -in server.crt 2027。排查:要肯定自己对的地方,服务器有1194,openvpn,服务器没问题;还是从客户段入手,最后发现少tap,安装即可!4.m01:iptables设置过,清空一些过滤;2.TLS Error:100%错误问题;
Openvpn在windows10连接不上的问题
似水流年
07-12 7852
2)启后发现整个计算机的网络均无法使用,这时候通过搜索资料发现是电脑注册表清理不干净导致的问题。2)进入到计算机设备管理器中,查看网卡是感叹号,没有生效。3)下载CCleaner,对注册表扫描进行修复和清理。1)进入到网络设置中,选择网络启计算机。4)启计算机,新连接网络,发现恢复正常。5)完成问题的修复,结束。
openwrtopenvpn多个客户端进行二层传输的配置方法
seagulhui1的博客
12-13 2140
openwrtopenvpn
OpenVPN客户端连接问题排查
weixin_62834659的博客
03-12 1万+
Windows客户端的日志在安装目录的log/文件夹下;Linux客户端的日志在/var/log/openvpn.log中。错误原因:SSL证书校验不通过。排查server端的证书是否正确下载,复制到客户端后的配置文件中证书路径是否正确。错误原因:网络不可达,客户端无法访问公网。通过查看客户端是否能够ping通公网,能否通过ssh访问。错误原因:客户端与服务端的时间节点不一致。错误原因:客户端与服务端的协议类型(TCP/UDP)或者端口不一致导致。错误原因:客户端用户密码不正确。
OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error”
橙旭猿的专栏
05-08 2887
【代码】OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error”
OpenVP* 连接失败 查看日志报错:“There are no TAP-Windows adapters on this system ..... “
热门推荐
不祈求 ~ ~
02-20 1万+
连接OpenVPN 失败 查看日志: 看一下是不是真的没有 ,确实没有 那就安装一个, 下载链接:https://swupdate.openvpn.org/community/releases/tap-windows-9.21.1.exe 下载之后,就安装,一直 Next 就好了 安装好之后,看一下网络连接 是否 有 ”TAP-Windows Adapter V9“ 确保有了之后,试一下用openvpn 连接是否可以连接成功,发现是可以的 解决方案,仅供参......
windows的openVpn客户端连接服务器时tls报错
u010921364的博客
02-21 2117
1.配置错误,检查加密方式配置与服务器是否一致;2.客户端与服务器的。。。
PandoraBox(openwrt通用)无线桥接中继扩展
01-06
无线路由作为无线AP桥接扩展…把它设为与主无线路由同网段IP:192.168.11.2 这样方便家中设备的互相访问传输文件 首先把之前创建的wlan加入lan口的桥接(这一设置是关键) 最后设置一下lan口的
openwrt无线路由器最大客户端连接数测试分析
06-03
### OpenWRT无线路由器最大客户端连接数测试与流控模块作用分析 #### 一、测试背景及目的 随着Wi-Fi技术的普及和发展,越来越多的设备接入无线网络已成为常态。为了更好地理解和评估OpenWRT固件在无线路由器上的...
openwrt-无线配置
07-21
### OpenWRT无线配置详解 #### 一、OpenWRT简介与应用场景 OpenWRT是一款基于Linux内核的开源路由器操作系统,它支持多种处理器架构,适用于各种嵌入式设备,如路由器、AP接入点等。OpenWRT因其高度可定制化、强大...
OpenWrt配置openVPN客户端
衡水铁头哥的博客
05-28 1万+
正文共:777 字 14 图,预估阅读时间:1 分钟我们现在已经部署好了单网卡的OpenWrtOpenWrt配置单臂路由模式),也安装了openVPN组件(OpenWrt部署配置openVPN服务器)。考虑到OpenWrt是Linux内核的,参考我们之前的经验(Ubuntu系统如何连接或断开openVPN),OpenWrt应该也可以作为openVPN客户端来向openVPN服务器发起连接。实际是...
RouterOS(ROS) o*** client 连接爱快 Open*** 服务端
Zhou-XueLin
02-08 2196
爱快服务端需要注意如下: 1.关闭LZO压缩【小凡实验室】利用RouterOS与Open***搭建无障碍网络环境-小凡实验室 - 思科华为论坛 2.只能使用CBC加密配置RouterOS兼容的Open***服务端 | Drown in Codes RouterOS客户端设置: 1.创建新O*** client 2.配置O*** client 3.创建NAT 4.配置 NAT ...
OpenVPN Connect 突然无法链接】
Beginner_G的博客
11-26 2834
There was an error attempting to connect to theselected server. Error message: ovpnagent: request error.
求助!求助!安装opnevpn 报错如何处理?
lishuyan1991的博客
02-13 796
安装open vpn 报错信息如图
OpenVpn连接不上公司内网
m0_58330194的博客
06-21 3042
一直显示连接中,但是就是无法连接成功。
openwrt下的openvpn无法启动的解决方法
ZYjsw668的博客
11-27 900
在 OVPN编辑里注意添加auth-user-pass nasopvn.auth这个配置。在下方区域添加账号和密码。
openwrt运行openvpn服务器的另一种方式(访问服务器端内网设备)第二章
cr_78的博客
11-01 947
但是openwrt服务器这边,必须要手动添加网络设备tap0的一个接口,ip地址为10.8.0.1,防火墙端口开放,添加基于vpn接口的zone,最后,可以ping通服务器,服务器做的共享可以访问。端口不用1194,怀着小窃喜,有可能会躲过一波扫描,再就是协议选择了TAP,解决了服务器推送路由,和客户端接收到的地址不准确的问题(困扰了很久,但是也还能用,不知道抽啥风)区别于网上能搜到的其他文章,这些都是经过测试成功的其中server.conf文件如下。/etc/confg/openvpn这个配置文件。
再次整理openwrt安装openvpn服务器
cr_78的博客
10-21 7510
使用 OpenVPN 客户端尝试连接到你的 OpenWRT VPN 服务器。如果一切设置正确,你应该能够成功连接到你的家庭网络。确保 OpenVPN 所需的端口(如 1194)已在防火墙中开放。文件时,服务器端的配置文件会包含服务器的 IP 地址或域名、端口、协议、加密方式,以及客户端证书和密钥。创建 Easy-RSA 环境:(建议在/etc/openvpn目录中运行,会建立pki文件夹)将此配置文件导入到你的 OpenVPN 客户端中,并启动连接。文件(OpenVPN 客户端的配置文件)。
openwrt安装openvpn
最新发布
02-22
### 如何在 OpenWRT 上安装配置 OpenVPN #### 安装必要的软件包 为了使 OpenWRT 支持 OpenVPN,需要通过 opkg 命令来安装相应的软件包。这通常涉及到 `openvpn` 和其他依赖项的下载与安装。 ```bash opkg update opkg install openvpn-openssl ``` 上述命令会更新本地包列表并安装基于 OpenSSL 的 OpenVPN 版本[^1]。 #### 配置 OpenVPN 服务 一旦完成安装过程之后,则需创建用于启动此服务所需的配置文件。一般情况下,默认位置是在 `/etc/config/openvpn` 或者 `/etc/openvpn/` 文件夹下放置自定义设置文件。 对于基本的服务端配置而言,可以编辑如下所示的内容: ```plaintext port 1194 proto udp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1" keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 ``` 这段配置指定了 OpenVPN 使用 UDP 协议监听端口 1194,并设置了虚拟子网地址范围以及其他一些要的参数选项。 #### 启动和管理 OpenVPN 服务 最后一步就是确保 OpenVPN 可以随系统一起自动启动以及手动控制其运行状态。可以通过 UCI (Unified Configuration Interface) 来实现这一点,在终端执行下面两条指令即可达到目的: ```bash /etc/init.d/openvpn enable /etc/init.d/openvpn start ``` 以上操作将会把 OpenVPN 设置成开机自启模式并且立即激活该服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值