Estou tendo uma dificuldade fiz e refiz varias vezes. mas sempre da esse erro: Wed Jul 01 16:13:01 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Wed Jul 01 16:13:01 2020 TLS Error: TLS handshake failed
Uma coisa que não ficou bem claro foi no quesito autenticação (TLS e AD). Tem que usar um ou outro? Se usar autenticação por usuário do AD a do TLS deixa de funcionar? Dá pra usar os 2, e se sim, isso aumenta a camada de segurança em comparação a usar somente TLS?
Boa questão, o pfsense usa o openssl , e é dificil encontrar a versão, mas ao que tudo indica, ele usa o openvpn 2.4.8 e este usa o openssl 1.1.1, parece que na versão 2.5 ainda n vem com a 1.3 , mas que da pra manipular o kernel pra habilitar. Quanto ao teu questionamento do TLS e AD, se for escolhida ele usa as duas opções as chaves para o tunnel e ainda pede autenticacao do usuario, o que garante mais segurança visto que dificilmente o atacante teria as chaves e a senha de usuario. Não esquece de se inscrever.
@@networkadminbr , No tempo de vídeo 46:23 - Eu não tinha notado, mas olhando de novo, nessa parte do vídeo dá pra ver que é TLS 1.2 através da captura de pacotes do Wireshark. É interessante como essa ferramenta ajuda até em coisas que a gente não está esperando.
@@networkadminbr , só uma observação (no tempo 44:27): o OpenVPN 2.4.8 não usa a versão 1.1.1 do OpenSSL. Ele usa a 1.1.0, que no no seu caso, é a mais atual "L" , que é a 1.1.0l (de 10-Set-2019). Isso pode ser visto no tempo do vídeo 44:27 . (Ver a descrição do log na 1ª e 3ª linhas). Já o OpenVPN 2.4.9 (o mais atual para download) utiliza a versão OpenSSL 1.1.1, sendo a "F" a mais atual, 1.1.1f (de 31-Mar-2020). No seu caso, talvez indo no site do OpenVPN e instalando a versão mais atual (OpenVPN 2.4.9) no cliente, ele passe a utiliza a biblioteca 1.1.1f, mas não sei no caso do PfSense se está na mais antiga. Ao invés de utiliza o pacote do cliente gerado no PfSense, talvez seja uma opção melhor vc instalar manualmente para a versão mais atual do programa no PC do cliente, e utiliza apenas do arquivo gerado pelo PfSense apenas as chaves e certificados. Outra coisa que pode funcionar no seu caso que utiliza o Pfsense na versão mais antiga, seria, a partir de um PC windows com a versão 2.4.9 instalada, gerar todos os certificados (CA, Server, Client, DH, TLS, etc) e transferir manualmente para o server utilizando a linha de comando do pfsense para o local da instalação do openvpn (como se faz no linux). O OpenSSL não deixa de ser um pacote separado, inclusive vc pode utilizar outras versões diferentes do que já vem no OpenVPN, instalando outra versão do EasyRSA. Eu consegui ver aqui agora pouco no meu (OpenVPN 2.4.9 , OpenSSL 1.1.1f) que ele está de fato utilizando a versão de TLS 1.3. Essa informação eu consegui ver no próprio log, que apresenta a linha "Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 4096 bit RSA". Eu consegui ver essa informação aumentando no nível verboso do log, para mostrar mais detalhes da conexão com a linha: verb 4 mais detalhes sobre as versões 1.1.0 e 1.1.1 e suas releases mais atuais: www.openssl.org/source/old/1.1.0/ www.openssl.org/source/old/1.1.1/
@@AquinoSamuel Exato Samuel, pra te responde eu fui ver a versão atual e não a que gravei. Pois presumo que quando for instalar um cenario do zero va sempre coloca a ultima versão.
40:58 - Esse alerta a respeito da compressão acontece porque está ativado no server, e não funcionará a menos que esteja também no lado do cliente no arquivo de configuração. Em determinado momento vc deve ter esquecido de configurar durante a criação do certificado e perfil do cliente. Basta abrir o arquivo .ovpn do cliente e acrescentar a linha: comp-lzo O alerta irá desaparecer, e a compressão passará a funcionar. No tempo de vídeo 34:06 - Como dá pra perceber no arquivo do cliente, não tem a linha "comp-lzo". É recomendável ativar a compressão no OpenVPN, pois ela melhora bastante o desempenho da conexão.
@@networkadminbr , obs.: Desculpa eu ter te perguntado isso e eu mesmo ter respondido depois.. Na ocasião, eu não sabia disso, e consegui ver isso depois vendo seu video novamente e prestando mais atenção nos detalhes, e dando uma pesquisada aqui na internet. Desculpe se estou sendo chato insistindo nesse assunto, mas é que vi um video gringo em que o cara já recomenda utilizar no mínimo a versão 1.2 e o recomendável, sempre que possível, é utilizar a versão 1.3. Isso ocorre devido a algumas vulnerabilidades que apareceram na versão 1.0 e 1.1, a exemplo do 'Heartbleed' e já estão tentando explorar vulnerabilidades nas novas versões. O bom é sempre manter as bibliotecas OpenSSL mais atualizadas possível, já que o OpenVPN as utiliza para gerar as chaves.
Tentei configurar e mostra essa mensagem no log. Options error: Unrecognized option or missing or extra parameter(s) in pfSense-UDP4-1194-kelton.ovpn:4: data-ciphers (2.4.10) Use --help for more information. Alguém passando por isso?
Bom dia Robson! Parabéns pela vídeo aula. Tenho uma vpn configura e gostaria de acesso meu servidor de arquivos através do hostneme. Poderia me dar uma dica de como fazer isso? Obrigado
Opa existem algumas alternativas e todas elas envolvem como vc vai configura seu dns, por exemplo vc pode coloca seu dns, sendo o dns do local dentro da sua rede, vc pode coloca o pfsense pra resolver o nome pra vc, vc pode fazer com que todo trafego passe pela vpn. essas sao algumas das opcoes, não esqueça de se inscrever no canal.
Robson, tuoo bem? Primeiro de tudo, seus videos são excelentes, parabéns, inclusive usei um deles para configurar meu pfSense no GCP, mas eu realmente não consigo configurar a LAN como voce fez, eu tenho apenas uma interface WAN, você saberia me dizer como proceder? Desde já, obrigado!
Luis que bom que gostou. Se te refere a configurar a lan no gcp. O ideal mesmo e uma interface fazendo somente a conexao vpn. Mas caso queira monta um cenario igual ao que montei deve selecionar a interface na criacao da máquina depois nao da mais.
não entendi muito bem mas, se ta questionando se consegue fazer os testes que fiz no virtual box, consegue sim fazer tudo. não esqueça de se inscrever no canal.
2023-07-26 19:02:58 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). OpenVPN ignores --cipher for cipher negotiations. 2023-07-26 19:02:58 OpenVPN 2.6.5 [git:v2.6.5/cbc9e0ce412e7b42] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Jun 13 2023 2023-07-26 19:02:58 Windows version 10.0 (Windows 10 or greater), amd64 executable 2023-07-26 19:02:58 library versions: OpenSSL 3.1.1 30 May 2023, LZO 2.10 2023-07-26 19:02:58 DCO version: v0 2023-07-26 19:03:01 TCP/UDP: Preserving recently used remote address: [AF_INET]201.16.240.169:1194 2023-07-26 19:03:01 ovpn-dco device [OpenVPN Data Channel Offload] opened 2023-07-26 19:03:01 UDP link local: (not bound) 2023-07-26 19:03:01 UDP link remote: [AF_INET]201.16.240.169:1194 2023-07-26 19:03:01 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this 2023-07-26 19:03:02 [201.16.240.169] Peer Connection Initiated with [AF_INET]201.16.240.169:1194 2023-07-26 19:03:03 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server. 2023-07-26 19:03:03 ERROR: Failed to apply push options 2023-07-26 19:03:03 Failed to open tun/tap interface 2023-07-26 19:03:03 SIGUSR1[soft,process-push-msg-failed] received, process restarting 2023-07-26 19:03:04 TCP/UDP: Preserving recently used remote address: [AF_INET]201.16.240.169:1194 2023-07-26 19:03:04 ovpn-dco device [OpenVPN Data Channel Offload] opened 2023-07-26 19:03:04 UDP link local: (not bound) 2023-07-26 19:03:04 UDP link remote: [AF_INET]201.16.240.169:1194 2023-07-26 19:03:05 [201.16.240.169] Peer Connection Initiated with [AF_INET]201.16.240.169:1194 2023-07-26 19:03:06 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server. 2023-07-26 19:03:06 ERROR: Failed to apply push options 2023-07-26 19:03:06 Failed to open tun/tap interface 2023-07-26 19:03:06 SIGUSR1[soft,process-push-msg-failed] received, process restarting 2023-07-26 19:03:07 TCP/UDP: Preserving recently used remote address: [AF_INET]201.16.240.169:1194 2023-07-26 19:03:07 ovpn-dco device [OpenVPN Data Channel Offload] opened 2023-07-26 19:03:07 UDP link local: (not bound) 2023-07-26 19:03:07 UDP link remote: [AF_INET]201.16.240.169:1194 2023-07-26 19:03:07 [201.16.240.169] Peer Connection Initiated with [AF_INET]201.16.240.169:1194 2023-07-26 19:03:09 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server. 2023-07-26 19:03:09 ERROR: Failed to apply push options 2023-07-26 19:03:09 Failed to open tun/tap interface 2023-07-26 19:03:09 SIGUSR1[soft,process-push-msg-failed] received, process restarting 2023-07-26 19:03:10 TCP/UDP: Preserving recently used remote address: [AF_INET]201.16.240.169:1194 2023-07-26 19:03:10 ovpn-dco device [OpenVPN Data Channel Offload] opened 2023-07-26 19:03:10 UDP link local: (not bound) 2023-07-26 19:03:10 UDP link remote: [AF_INET]201.16.240.169:1194 2023-07-26 19:03:10 [201.16.240.169] Peer Connection Initiated with [AF_INET]201.16.240.169:1194 2023-07-26 19:03:11 SIGTERM[hard,] received, process exiting / professor que erro é esse não consigo acessar da minha casa remotamente
Robson; Parabéns por esse conteúdo! Top demais... Obrigado por compartilhar conhecimento! Show
Obrigado Raul.
Estou tendo uma dificuldade fiz e refiz varias vezes. mas sempre da esse erro:
Wed Jul 01 16:13:01 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jul 01 16:13:01 2020 TLS Error: TLS handshake failed
Consegue chegar ao destino. Coloca o log todo aqui
@@networkadminbr estou com o mesmo erro
@@tiagocristovao1721 conseguiu resolver?
Como eu faço essa mesma configução no Linux Ubuntu? Tenhos os três arquivos: .key; .ovpn e .p12 Mas não consigo conectar a rede
Boa aula, tracert -d, acelera o precesso porque nao resolve nome.
otima dica!
Uma coisa que não ficou bem claro foi no quesito autenticação (TLS e AD). Tem que usar um ou outro? Se usar autenticação por usuário do AD a do TLS deixa de funcionar? Dá pra usar os 2, e se sim, isso aumenta a camada de segurança em comparação a usar somente TLS?
Boa questão, o pfsense usa o openssl , e é dificil encontrar a versão, mas ao que tudo indica, ele usa o openvpn 2.4.8 e este usa o openssl 1.1.1, parece que na versão 2.5 ainda n vem com a 1.3 , mas que da pra manipular o kernel pra habilitar.
Quanto ao teu questionamento do TLS e AD, se for escolhida ele usa as duas opções as chaves para o tunnel e ainda pede autenticacao do usuario, o que garante mais segurança visto que dificilmente o atacante teria as chaves e a senha de usuario.
Não esquece de se inscrever.
@@networkadminbr , No tempo de vídeo 46:23 - Eu não tinha notado, mas olhando de novo, nessa parte do vídeo dá pra ver que é TLS 1.2 através da captura de pacotes do Wireshark. É interessante como essa ferramenta ajuda até em coisas que a gente não está esperando.
@@AquinoSamuel Não corresponde ao que diz na documentação que usam a 1.1.1, mas bela dica.
@@networkadminbr , só uma observação (no tempo 44:27): o OpenVPN 2.4.8 não usa a versão 1.1.1 do OpenSSL. Ele usa a 1.1.0, que no no seu caso, é a mais atual "L" , que é a 1.1.0l (de 10-Set-2019). Isso pode ser visto no tempo do vídeo 44:27 . (Ver a descrição do log na 1ª e 3ª linhas). Já o OpenVPN 2.4.9 (o mais atual para download) utiliza a versão OpenSSL 1.1.1, sendo a "F" a mais atual, 1.1.1f (de 31-Mar-2020).
No seu caso, talvez indo no site do OpenVPN e instalando a versão mais atual (OpenVPN 2.4.9) no cliente, ele passe a utiliza a biblioteca 1.1.1f, mas não sei no caso do PfSense se está na mais antiga.
Ao invés de utiliza o pacote do cliente gerado no PfSense, talvez seja uma opção melhor vc instalar manualmente para a versão mais atual do programa no PC do cliente, e utiliza apenas do arquivo gerado pelo PfSense apenas as chaves e certificados. Outra coisa que pode funcionar no seu caso que utiliza o Pfsense na versão mais antiga, seria, a partir de um PC windows com a versão 2.4.9 instalada, gerar todos os certificados (CA, Server, Client, DH, TLS, etc) e transferir manualmente para o server utilizando a linha de comando do pfsense para o local da instalação do openvpn (como se faz no linux).
O OpenSSL não deixa de ser um pacote separado, inclusive vc pode utilizar outras versões diferentes do que já vem no OpenVPN, instalando outra versão do EasyRSA.
Eu consegui ver aqui agora pouco no meu (OpenVPN 2.4.9 , OpenSSL 1.1.1f) que ele está de fato utilizando a versão de TLS 1.3. Essa informação eu consegui ver no próprio log, que apresenta a linha "Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 4096 bit RSA".
Eu consegui ver essa informação aumentando no nível verboso do log, para mostrar mais detalhes da conexão com a linha:
verb 4
mais detalhes sobre as versões 1.1.0 e 1.1.1 e suas releases mais atuais:
www.openssl.org/source/old/1.1.0/
www.openssl.org/source/old/1.1.1/
@@AquinoSamuel Exato Samuel, pra te responde eu fui ver a versão atual e não a que gravei. Pois presumo que quando for instalar um cenario do zero va sempre coloca a ultima versão.
40:58 - Esse alerta a respeito da compressão acontece porque está ativado no server, e não funcionará a menos que esteja também no lado do cliente no arquivo de configuração. Em determinado momento vc deve ter esquecido de configurar durante a criação do certificado e perfil do cliente. Basta abrir o arquivo .ovpn do cliente e acrescentar a linha:
comp-lzo
O alerta irá desaparecer, e a compressão passará a funcionar. No tempo de vídeo 34:06 - Como dá pra perceber no arquivo do cliente, não tem a linha "comp-lzo". É recomendável ativar a compressão no OpenVPN, pois ela melhora bastante o desempenho da conexão.
exato , depois é feito a correção.
Qual a versão de TLS o Pfsense está implementando? É a mais atual (v1.3)?
Respondido no outro comentario.
@@networkadminbr , obs.: Desculpa eu ter te perguntado isso e eu mesmo ter respondido depois.. Na ocasião, eu não sabia disso, e consegui ver isso depois vendo seu video novamente e prestando mais atenção nos detalhes, e dando uma pesquisada aqui na internet. Desculpe se estou sendo chato insistindo nesse assunto, mas é que vi um video gringo em que o cara já recomenda utilizar no mínimo a versão 1.2 e o recomendável, sempre que possível, é utilizar a versão 1.3. Isso ocorre devido a algumas vulnerabilidades que apareceram na versão 1.0 e 1.1, a exemplo do 'Heartbleed' e já estão tentando explorar vulnerabilidades nas novas versões. O bom é sempre manter as bibliotecas OpenSSL mais atualizadas possível, já que o OpenVPN as utiliza para gerar as chaves.
@@AquinoSamuel Sim o heartbleed na 1.2 ja não tem essa vuln.
Tentei configurar e mostra essa mensagem no log.
Options error: Unrecognized option or missing or extra parameter(s) in pfSense-UDP4-1194-kelton.ovpn:4: data-ciphers (2.4.10)
Use --help for more information.
Alguém passando por isso?
Bom dia Robson! Parabéns pela vídeo aula. Tenho uma vpn configura e gostaria de acesso meu servidor de arquivos através do hostneme. Poderia me dar uma dica de como fazer isso? Obrigado
Opa existem algumas alternativas e todas elas envolvem como vc vai configura seu dns, por exemplo vc pode coloca seu dns, sendo o dns do local dentro da sua rede, vc pode coloca o pfsense pra resolver o nome pra vc, vc pode fazer com que todo trafego passe pela vpn. essas sao algumas das opcoes, não esqueça de se inscrever no canal.
@@networkadminbr Obrigado Robson.
Robson, tuoo bem? Primeiro de tudo, seus videos são excelentes, parabéns, inclusive usei um deles para configurar meu pfSense no GCP, mas eu realmente não consigo configurar a LAN como voce fez, eu tenho apenas uma interface WAN, você saberia me dizer como proceder? Desde já, obrigado!
Luis que bom que gostou. Se te refere a configurar a lan no gcp. O ideal mesmo e uma interface fazendo somente a conexao vpn. Mas caso queira monta um cenario igual ao que montei deve selecionar a interface na criacao da máquina depois nao da mais.
Em casa usando virtual Box eu consigo ?
Sempre tentei e nunca consegui
A internet aqui é 4g
não entendi muito bem mas, se ta questionando se consegue fazer os testes que fiz no virtual box, consegue sim fazer tudo. não esqueça de se inscrever no canal.
2023-07-26 19:02:58 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). OpenVPN ignores --cipher for cipher negotiations.
2023-07-26 19:02:58 OpenVPN 2.6.5 [git:v2.6.5/cbc9e0ce412e7b42] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Jun 13 2023
2023-07-26 19:02:58 Windows version 10.0 (Windows 10 or greater), amd64 executable
2023-07-26 19:02:58 library versions: OpenSSL 3.1.1 30 May 2023, LZO 2.10
2023-07-26 19:02:58 DCO version: v0
2023-07-26 19:03:01 TCP/UDP: Preserving recently used remote address: [AF_INET]201.16.240.169:1194
2023-07-26 19:03:01 ovpn-dco device [OpenVPN Data Channel Offload] opened
2023-07-26 19:03:01 UDP link local: (not bound)
2023-07-26 19:03:01 UDP link remote: [AF_INET]201.16.240.169:1194
2023-07-26 19:03:01 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2023-07-26 19:03:02 [201.16.240.169] Peer Connection Initiated with [AF_INET]201.16.240.169:1194
2023-07-26 19:03:03 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server.
2023-07-26 19:03:03 ERROR: Failed to apply push options
2023-07-26 19:03:03 Failed to open tun/tap interface
2023-07-26 19:03:03 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2023-07-26 19:03:04 TCP/UDP: Preserving recently used remote address: [AF_INET]201.16.240.169:1194
2023-07-26 19:03:04 ovpn-dco device [OpenVPN Data Channel Offload] opened
2023-07-26 19:03:04 UDP link local: (not bound)
2023-07-26 19:03:04 UDP link remote: [AF_INET]201.16.240.169:1194
2023-07-26 19:03:05 [201.16.240.169] Peer Connection Initiated with [AF_INET]201.16.240.169:1194
2023-07-26 19:03:06 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server.
2023-07-26 19:03:06 ERROR: Failed to apply push options
2023-07-26 19:03:06 Failed to open tun/tap interface
2023-07-26 19:03:06 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2023-07-26 19:03:07 TCP/UDP: Preserving recently used remote address: [AF_INET]201.16.240.169:1194
2023-07-26 19:03:07 ovpn-dco device [OpenVPN Data Channel Offload] opened
2023-07-26 19:03:07 UDP link local: (not bound)
2023-07-26 19:03:07 UDP link remote: [AF_INET]201.16.240.169:1194
2023-07-26 19:03:07 [201.16.240.169] Peer Connection Initiated with [AF_INET]201.16.240.169:1194
2023-07-26 19:03:09 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server.
2023-07-26 19:03:09 ERROR: Failed to apply push options
2023-07-26 19:03:09 Failed to open tun/tap interface
2023-07-26 19:03:09 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2023-07-26 19:03:10 TCP/UDP: Preserving recently used remote address: [AF_INET]201.16.240.169:1194
2023-07-26 19:03:10 ovpn-dco device [OpenVPN Data Channel Offload] opened
2023-07-26 19:03:10 UDP link local: (not bound)
2023-07-26 19:03:10 UDP link remote: [AF_INET]201.16.240.169:1194
2023-07-26 19:03:10 [201.16.240.169] Peer Connection Initiated with [AF_INET]201.16.240.169:1194
2023-07-26 19:03:11 SIGTERM[hard,] received, process exiting / professor que erro é esse não consigo acessar da minha casa remotamente
Ao que vi vc n deixou o cipher igual no cliente e no servidor