pfsense: no data channel send key available

vpncrow

Freshly Joined Member
Hallo zusammen!
Ich habe auch schon ein ticket eröffnet, aber dort kommen wir auch nicht weiter. Vielleicht hilft ja die Schwarm-Intelligenz?

Bekomme auf pfSense 2.5.2 PP partout nicht zum Laufen. Davor war ich bei NordVPN, das hatte ich sofort hinbekommen. PP war mir aber dann sympathischer, so bin ich gewechselt, aber es läuft noch immer nicht.

Es hängt wohl daran:
TLS Warning: no data channel send key available: [key#0 state=S_PRE_START id=0 sid=00000000 00000000] [key#1 state=S_UNDEF id=0 sid=00000000 00000000] [key#2 state=S_UNDEF id=0 sid=00000000 00000000]

Ich lade auch das Log (level 11) noch.

Ich habe auch schon einen anderen Server probiert, snort ausgeschaltet, auf 2.6.0-RC geupdated - und, das gleiche auf meiner zweiten pfSense probiert. Immer das Gleiche.

Wäre cool, wenn wir das lösen können!
 

Attachments

  • openvpnlog.txt
    48.9 KB · Views: 2

FAN

Junior Member
mmh hast du mal probiert --server zu setzen ?

oder in der serverconfig:

ncp-disable
cipher AES-256-GCM

und bei jeder serverconfig
cipher AES-256-GCM
einzutragen.

DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence
scheint du hast ne 128er CBC drin willst aber GCM verwenden usw. deswegen mach die negotiation aus (NCP) und obiges könnte funktionieren.

was sagt:
openvpn --version

wenn
enable_async_push=yes gesetzt ist compiliere die die sources neu, aber OHNE --enable-async-push in der config.
dann sollte enable_async_push=no rauskommen bei openvpn --version.

was gibt aus:

ls -la /var/etc/openvpn

evtl. zugriffsrechte setzen ?
chmod 0600 /var/etc/openvpn/client1.up

ansonsten weiß ich grade auch nicht woran es sonst liegen sollte....
 

vpncrow

Freshly Joined Member
ncp-disable war schon in den custom options drin
"Enable Data Encryption Negotiation" war nicht angekreuzt.
bei Data Encryption Algorithms habe ich AES-128-CBC und -GCM drin, bei Fallback Data Encryption Algorithm steht AES-128-CBC

wenn ich --server mache dann:
Options error: Unrecognized option or missing or extra parameter(s) in /var/etc/openvpn/client1/config.ovpn:48: server (2.5.2)


drwxr-x--- 6 root wheel 6 Feb 2 19:13 .
drwxr-xr-x 6 root wheel 17 Feb 12 22:21 ..
drwxr-xr-x 4 root wheel 11 Feb 12 22:21 client1
drwxr-xr-x 4 root wheel 4 Feb 2 19:18 client2
drwxr-xr-x 4 root wheel 4 Feb 2 19:18 client3
drwxr-xr-x 3 root wheel 3 Jan 2 19:43 server4

[2.5.2-RELEASE][root@connect.one.lan]/root: ls -la /var/etc/openvpn/client1/
total 30
drwxr-xr-x 4 root wheel 11 Feb 12 22:21 .
drwxr-x--- 6 root wheel 6 Feb 2 19:13 ..
drwxr-xr-x 2 root wheel 3 Feb 12 22:21 ca
-rw------- 1 root wheel 2464 Feb 12 22:21 cert
-rw------- 1 root wheel 1115 Feb 12 22:21 config.ovpn
drwxr-xr-x 2 root wheel 2 Feb 2 19:13 csc
-rw------- 1 root wheel 6 Feb 12 22:21 interface
-rw------- 1 root wheel 3322 Feb 12 22:21 key
srwxrwxrwx 1 root wheel 0 Feb 12 22:21 sock
-rw------- 1 root wheel 618 Feb 12 22:21 tls-auth
-rw-r--r-- 1 root wheel 23 Feb 12 22:21 up


openvpn --version
OpenVPN 2.5.2 amd64-portbld-freebsd12.2 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Jun 24 2021
library versions: OpenSSL 1.1.1k-freebsd 25 Mar 2021, LZO 2.10
Originally developed by James Yonan
Copyright (C) 2002-2018 OpenVPN Inc <sales@openvpn.net>
Compile time defines: enable_async_push=yes enable_comp_stub=no enable_crypto_of b_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlop en_self=unknown enable_dlopen_self_static=unknown enable_fast_install=needless e nable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes ena ble_lzo=yes enable_management=yes enable_multihome=yes enable_pam_dlopen=no enab le_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_ plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_shared=yes enable_shared_with_static_runtimes=no enable_silent_rules=no e nable_small=no enable_static=yes enable_strict=yes enable_strict_options=no enab le_systemd=no enable_unit_tests=no enable_werror=no enable_win32_dll=yes enable_ x509_alt_username=yes with_aix_soname=aix with_crypto_library=openssl with_gnu_l d=yes with_mem_check=no with_sysroot=no


custom options:

hand-window 120
mute-replay-warnings
persist-remote-ip
reneg-sec 3600
resolv-retry 60
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
mssfix
fragment 1300
remote-cert-tls server
ncp-disable


auf der pfSense kann ich ja nicht compilieren... aber wozu... mit nordvpn lief es auf anhieb.. verstehe das nicht :(
 

FAN

Junior Member
enable_async_push=yes ist eingeschaltet aber muss nicht sein dass es daran hängt, ansonsten müsstest du das neu compilieren aus den sources und eben --enable-async-push auskommentieren oder löschen. aber muss nicht sein. nur ne vermutung meinerseits.

probier erstmal bei Fallback Data Encryption Algorithm AES-256-GCM einzutragen.
oder:
data-ciphers-fallback AES-256-GCM in die Serverconfig eintragen und dann mal schauen
 

FAN

Junior Member
zu Nord....sag ich besser nix 🤫
aber vielleicht kannst du anhand der config vergleichen was anders ist und so ggf. die config für PP anpassen und zum laufen bringen ?!
 

PP Daniel

Staff member
Die Konfigurationen mal zu vergleichen hatte ich auch bereits vorgeschlagen. :)

Für ein OpenVPN 2.5 ist die Option bzgl. des zu verwendenden Verschlüsselungsalgorithmus data-ciphers AES-128-GCM und nicht mehr wie bei 2.4 cipher. Wir empfehlen für Router die 128 Bit Varianten zu nutzen, aber die 256er sollten natürlich auch funktionieren.
 

vpncrow

Freshly Joined Member
Habe das nun angeglichen, auch die custom options , die bei nord wie folgt sind:

tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;

Bei Nord ist Cliebt Certificate das webConfigurator default ... und bei PP die eigens dafür erstellte / importierte CA...
Wie kann ich euch die config zeigen, kann man die als text exportieren, oder nur per Screenshots?

Danke!
 

vpncrow

Freshly Joined Member
die openvpn config in pfSense wird ja per GUI gemacht.
OpenVPN selbst arbeitet aber mit der text-config.. bekommt man die irgendwie bei pfSense raus?
 

Gerd

Active Member
Bei pfSense gibt es zwar eine config.xml Datei, in der alle Einstellungen gespeichert sind, aber zum Auslesen der Einstellungen ist die Datei nicht geeignet. Einzig und hilfreich wäre, wenn du Bilder von pfSense OpenVPN Client Konfiguration hier postest. Ganz wichtig wäre auch, dass du den Textblock unter "Erweiterte Konfiguration" hier einfügst. So könnte man eventuell Kopierfehler oder sonstiges erkennen.

Folgender Vorschlag:
Starte die pfSense Konfiguration komplett neu und lass bei der pfSense Konfiguration erstmal den Abschnitt "Kill-Switch einrichten" weg.
Wenn das nichts bringt, dann kannst du die Bilder und "Erweiterte Konfiguration" hier posten.
 

Gerd

Active Member
Edit:
Wenn du NordVPN und Perfect-Privacy Konfiguration vermischst, dann kann ich mir gut vorstellen, dass die PP Konfiguration danach nicht mehr funktioniert. Es wäre möglich, dass es an der DNS Resolver Konfiguration liegt. Die Einstellungen dort sind für PP und NordVPN grundsätzlich verschieden.
 
Top