Häufige Verbindungsabbrüche-Fragen zur OpenVPN "renegotiating keys" Funktion

djohndo

Member
PP Team, könnt ihr bitte weiterhelfen?

Es gibt seit letzter Zeit, das bedeutet circa letzte 2 Wochen, gehäufte Verbindungsabbrüche im WIndows Client. Das ist extrem nervig.

Meistens erfolgen die Abbrüche nach folgenden Zwei Log Einträgen (und stets nach ungefähr 60 Minuten)

(1) Erstes Abbruch Szenario - Log Einträge:

# Log State Change Event - Running
# State CONNECTED
------------------------------
nach 60 Minuten folgen dann diese Log Meldungen:

# Log TLS: soft reset sec=0 bytes=521230173/-1 pkts=607985/0

#Log VERIFY OK: depth=1, C=CH, ST=Zug, L=Zug, O=Perfect Privacy, CN=Perfect Privacy, emailAddress=admin@perfect-privacy.com

# Log VERIFY KU OK
# Log Validating certificate extended key usage
# Log ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

#Log VERIFY EKU OK

#Log VERIFY OK: depth=0, C=CH, ST=Zug, O=Perfect Privacy, CN=Server_stockholm.perfect-privacy.com, emailAddress=admin@perfect-privacy.com

# Log WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1552', remote='link-mtu 1604'
#Log WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

# Log WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512'

# Log Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
# Log Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
# Log Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
----------

(2) Zweites Abbruch Szenario:


# Log State Change Event - Running

# State CONNECTED
------------------
nach 60 Minuten folgen diese Log Meldungen:

# Log read TCP_CLIENT: Unknown error (code=10060)

# Log Connection reset, restarting [-1]

# Log TCP/UDP: Closing socket

# Log SIGUSR1[soft,connection-reset] received, process restarting

-----------


Hat hierzu jemand hilfreiche Ideen?


Meine Zwei Ideen bisher:


(1) Hat es damit zu tun dass OpenVpn standardseitig alle 60 MInuten ein "timeout" gibt, um die "keys" zu renegotiaten? Sollte man bei Client und Server diesen Wert auf "reneg-sec 0" setzen um dieses renegotiating zu deaktivieren und die Verbindung "keep alive" belassen? Denn der Sinn von renegotiating war doch aufgrund schwacher Cipher. Aber wir nutzen mittlerweile ja starke Cipher.


(2) Inkosistenzen zwischen Client und Server Protokoll Konfigurationen (Cipher UND Auth):

Ich habe gelesen dass openvpn Abbrüche erhält, wenn Client und Server nicht identische Cipher nutzen. Und dies ist Fakt in Fall von PP . Denn Siehe obere kopierte Logfile, Zitat:
# Log WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

# Log WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512'


Wieso ist dies Inkonsistenz, und wie kann man das beheben, oder ist diese Inkonsistenz zwischen Client und Server Verschlüsselung irrelevant? Für mich sieht es nach wichtigem Unterschied aus, wodurch es vielleicht

@PP Daniel @PP Frank @PP Simon

Danke!
 
Top