Aead decrypt error cipher final failed перевод

Столкнулся с необходимостью поднять OpenVPN. Случай мой оказался не стандартным. Cервер должен быть на Windows, клиентами же выступают пром. gsm-модемы. с линуксом на борту. Задача не простая, тут собран мой опыт по настройке OpenVPN, и варианты граблей с которыми мне пришлось в этом процессе столкнуться. Начну пожалуй с ресурсов которые мне в этом помогли:

Примеры настройки OpenVPN

Основные ресурсы с примерами настройки openVPN сервера и клиентов:

прежде всего официальный мануал:https://openvpn.net/index.php/open-source/documentation/manuals/openvpn-20x-manpage.html

теперь ряд русскоязычных ресурсов:

http://compkaluga.ru/articles/172/ — грамотный туториал с указанием основных возможных ошибок
http://www.sysadmin.in.ua/info/index/22/27/39 — простая и доходчивая статья, но в настройках допущена ошибка —
# Эти параметры в среде windows — не дадут клиенту подключиться к серверу. их следует закоментировать или убрать.
user nouser
group nogroup

пойдем дальше

Эта статья незаслуженно низко находится в выдаче поисковиков http://interface31.ru/tech_it/2011/09/organizaciya-vpn-kanalov-mezhdu-ofisami.html — очень грамотная и доступная подробно разбирает процесс настройки сервера и клиента, а так же вопросы настройки маршрутизации трафика. Т.е. если у вас задача объединить несколько офисных сетей — то обязательна к изучению. Однако, вопрос генерации ключей дан вскользь, для этого стоит посмотреть один из мануалов дальше.

http://habrahabr.ru/post/233971/ — подробный разбор запуска на Linux системах. В конце материала описана процедура настройки для windows систем.
http://habrahabr.ru/sandbox/58689/ — по сути краткая шпаргалка по заведению openVPN на windows. полезна в том случае если подробный разбор вы уже изучили, но подзабыли отдельные детали процесса.А вот на это я бы обратил внимание:

— Далее во избежание проблем с созданием сертификата клиента очищаем index.txt папке ssl
http://geektimes.ru/post/197744/ Основная особенность этого мануала заключается в том что дан пример настройки OpenVPN под Windows, но без tls аутентификации — соответственно конфиг проще, ключей поменьше. Но и уровень безопасности пожиже. Однако главной фишкой для меня стало вот это: «Теперь о конфиге клиента. Можно не передавать файлы сертификатов, а вписать сразу в конфиг, только делать это лучше не с блокнота, а с AkelPad’а или Notepad++ например.» ну и дальше читайте на странице.От себя должен сказать, что у меня такой файл конфига клиента с вшитыми ключами создать пока не вышло. Но обязательно буду пытаться, о результатах доложу здесь же.
http://yakm.ru/Nastroyka-OpenVPN.html тут дан пример простенького конфига с одним секретным ключём на две машины. Т.е. использую данный конфиг, вы можете поднять сервер и подключить к нему одного клиента. Для более сложных конфигураций надо всё-таки генерить все ключи.
http://yakm.ru/Nastroyka-OpenVPN-chast-2.html продолжение туториала выше, где собран простенький но полноценный конфиг. Однако вопрос генерации ключей разобран вскользь.
http://www.freeproxy.ru/ru/vpn/windows-7/openvpn.htm простой но очень важный туториал по правильной установке и запуску OpenVpn в среде Windows. Особо хотелось бы обратить внимание на необходимость запускать openvpnGUI — от имени администратора. Без этой малости — ни один клиент не сможет подключиться к успешно работающему серверу.
http://forum.ixbt.com/topic.cgi?id=14:40906:1#1 — огромная конференция по вопросам работы с OpenVPN. Наверное тут разобраны все возможные вопросы. Однако вкурить всю ветку форума — задача поистине титаническая.

http://suli-company.org.ua/it/unix/1063-prostaya-nastroyka-openvpn-s-fiksirovannymi-adresami-klientov.html еще один очень подробный разобор. В основном он посвещен настройки openVPN на Linux. Но разбор конфигов очень подробный. Дан частичный адаптированный русский перевод мануала из первой ссылки. И в конце статьи вариант настройки на Windows. + решения для нескольких проблемм:»Получено сообщение Initialization Sequence Completed, но пинг не проходит — это означает, что брандмауэр на сервере или клиенте блокирует VPN сетевой трафик на TUN/TAP интерфейсе. Решение проблемы: запретите брандмауэру клиента (если есть) фильтрацию TUN/TAP интерфейса клиента.»
http://samag.ru/archive/article/318 — еще один разбор настройки OpenVPN — тут упор сделан на кросс-платформенность.

OpenVPN и роутеры

Сети связывать лучше посредством специальных устройств, нежели выделять для этого дела отдельный компьютер. Хорошая новость — есть огромное количество роутеров которые со спец прошивкой — поддерживают OpenVPN, если у вас возник вопрос «Какой роутер поддерживает OpenVPN» то поискать ответ можно тут:

http://www.dd-wrt.com/site/support/router-database

Для себя, опытным путем, я выбрал роутер Asus RT-N10U, и настроил его под свой конфиг. Главное преимущество — возможность перепрошить его прямо в окне браузера. А дальше читайте в статье.

Конфиг OpenVPN Сервера, на Windows 7:

Ну и собственно мой конфиг. Он прямо скажем не идеален, но вполне годен.

port 1194
proto udp
dev tap2
dev-node «vpn»
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
client-to-client #разрешить общение клиентов между собой подробнее см.ниже
topology subnet
route-method exe
route-delay 5
route 10.8.0.0 255.255.255.0
#PUSH START те данные которые мы передаем на клиент.
#push «dhcp-option gateway 10.8.0.1» — имело бы смысл с windows клиентами, у нас linux
push «persist-key»
push «persist-tun»
#PUSH END
duplicate-cn #позволяем нескольким клиентам пользоваться одним ключом
keepalive 10 120
#cipher AES-128-CBC #закоментировали алгоритм шифрования будет использован по умолчанию
comp-lzo
persist-tun
persist-key
persist-local-ip
persist-remote-ip
status openvpn-status.log
log c:\OpenVPN\log\openvpn.log
verb 5

Настройка Клиента IRZ RUH2:

В нашем случае это GSM router IRZ RUH2, здесь я не даю подробной инструкции, просто конфиг, который у меня отлично работает. Ключи на модем я добавлял через upload в администрировании.

client
proto udp
dev tap2
remote 111.111.111.111 1194
ca ca.crt #ключи
key client.key
cert client.crt
route-method ipapi #если клиент Linux, exe если Windows
route-delay 5 #пауза для применения настроек 5-10 секунд
route 10.8.0.0 255.255.255.0 10.8.0.1 #прописываем на клиенте маршрут
route-gateway 10.8.0.1 #Шлюз
comp-lzo #сжатие
nobind #
persist-key #
persist-tun
verb 5
mute 20

Некоторые ошибки при настройке OpenVPN

Authenticate/Decrypt packet error: packet HMAC authentication failed

В моем случае эта ошибка разрешилась с помощью изменения Hash Algorithm на SHA1 у клиента, т.е. приведение к тому же значению что и на сервере.

Authenticate/Decrypt packet error: cipher final failed

— ошибка алгоритма шифрования. вероятно в настройках клиента и сервера указаны разные варианты cipher. Как вариант можно не указывать его вообще, тогда будет взят вариант по умолчанию (bf-cbc)

Не возможно подключиться к интерфейсу, если служба уже запущена

Идем в службы и выключаем её

При запуске сервера OpenVPN ошибкa: не возможно добавить маршрут в таблицу маршрутизации

Решение: Не хватает прав доступа, необходимо запустить сервер от имени администратора.

Клиент находит сервер, подключается, но не пингуется, или не может подключиться.

— Необходимо на сервере внести в правила фаервола исключение для нашего сервиса.

Клиент находит сервер, но не пингуется.

— Необходимо настроить маршрутизацию т.е. запустить запросы в нашу vpn сеть через наш tap интерфейс. В нашем случае мы можем запустить консоль Windows от имени админиcтратора и там вручную добавить маршрут к примеру:
route -p add 10.8.0.0 mask 255.255.255.0 10.8.0.1
-p — добавляем маршрут на постоянной основе, без этого аргумента при перезагрузки маршрут исчезнет.
10.8.0.0 mask 255.255.255.0 — задаем диапазон адресов для которых будет действовать маршрут, все пакеты идущие на адреса с 10.8.0.1 до 10.8.0.255.
10.8.0.1 — шлюз, gateway, на который будем слать пакеты. В нашем случае это сервер VPN соединения.

Ошибка: Initialization Sequence Completed With Errors ( see http://openvpn.net/f…#dhcpclientserv )

вылечилось добавлением openVPN в исключения фаервола.

Соответственно, для Windows систем, от XP до 7ки это можно сделать, выполнив в консоли следующую команду от имени администратора:

netsh firewall add allowedprogram program = C:OpenVPNbinopenvpn.exe name = «OpenVPN Server» ENABLE scope = ALL profile = ALL

Продолжение темы настройки openVPN:

Настройка OpenVPN на роутере DD-WRT Asus RT-N10U
Клиенты OpenVPN не видят друг друга

Источник

http://habrahabr.ru/sandbox/58689/ — по сути краткая шпаргалка по заведению openVPN на windows. полезна в том случае если подробный разбор вы уже изучили, но подзабыли отдельные детали процесса.А вот на это я бы обратил внимание:

— Далее во избежание проблем с созданием сертификата клиента очищаем index.txt папке ssl

OpenVPN и роутеры

Конфиг OpenVPN Сервера, на Windows 7:

Ну и собственно мой конфиг. Он прямо скажем не идеален, но вполне годен.

Настройка Клиента IRZ RUH2:

Некоторые ошибки при настройке OpenVPN

Authenticate/Decrypt packet error: packet HMAC authentication failed

Authenticate/Decrypt packet error: cipher final failed

Не возможно подключиться к интерфейсу, если служба уже запущена

Идем в службы и выключаем её

При запуске сервера OpenVPN ошибкa: не возможно добавить маршрут в таблицу маршрутизации

Решение: Не хватает прав доступа, необходимо запустить сервер от имени администратора.

Клиент находит сервер, подключается, но не пингуется, или не может подключиться.

— Необходимо на сервере внести в правила фаервола исключение для нашего сервиса.

Клиент находит сервер, но не пингуется.

Ошибка: Initialization Sequence Completed With Errors ( see http://openvpn.net/f…#dhcpclientserv )

вылечилось добавлением openVPN в исключения фаервола.

Источник

Matt’s Blog

Fixing OpenVPN «Authenticate/Decrypt packet error: cipher final failed»

Get link
Facebook
Twitter
Pinterest
Email
Other Apps

When connecting to a VPN I was constant getting the error

Mar 8 09:29:27 openvpn[1696]: Authenticate/Decrypt packet error: cipher final failed

I had imported the supplied ovpn file and had followed all the other configuration steps, so this was quite frustrating. Then I saw this in the logs:

Mar 8 09:31:07 openvpn[1790]: WARNING: ‘cipher’ is used inconsistently, local=’cipher BF-CBC’, remote=’cipher AES-256-CBC’

Changing my client to use «cipher AES-256-CBC» instead of the default (which apparently was cipher BF-CBC) fixed the issue.

Get link
Facebook
Twitter
Pinterest
Email
Other Apps

MinHash for dummies

ullman/mmds/ch3.pdf . That document goes into a lot of theory, and was ultimately where my understanding on MinHash came from. Unfortunately it approaches the algorithm from a theoretical standpoint, but if I gloss over some aspect of the MinHash algorithm here, you will almost certainly find a fuller explanation in the PDF. I’ll also be using pseudo Java in these examples instead of traditional math. This means when I use terms like Set, I am referring to the gr

Источник

Quick links
- Unanswered topics
- Active topics
- Search

TLS Errors and AEAD Decrypt errors

Posts: 11 Joined: Fri Dec 18, 2020 10:55 pm

When I upgraded my computer with new motherboard (Asus ROG Z490) and the new Intel I225 chip I started to get strange errors from Viscosity and sometimes the VPN tunnels works and sometime is does not. I cannot start the tunnel at all at sometimes too. If I run Hypervisor with a Ubuntu going throug the samt ethernet controller it works like a charm.

The errors from the log is:
==================
dec 18 12:44:18 : AEAD Decrypt error: cipher final failed
dec 18 12:44:18 : TLS Error: Unroutable control packet received from [AF_INET]xx.xx.xx.xx:1194 (si=3 op=P_ACK_V1)
dec 18 12:44:21 : AEAD Decrypt error: cipher final failed
dec 18 12:44:21 : TLS Error: client->client or server->server connection attempted from [AF_INET]xx.xx.xx.xx:1194
dec 18 12:44:22 : AEAD Decrypt error: cipher final failed
dec 18 12:44:22 : TLS Error: local/remote TLS keys are out of sync: [AF_INET]xx.xx.xx.xx:1194 [3]
dec 18 12:53:49 : TLS Error: Unroutable control packet received from [AF_INET]xx.xx.xx.xx:1194 (si=3 op=P_CONTROL_SOFT_RESET_V1)

Client config:
=========
client
dev tun
proto udp
remote server 1194
remote server 1194
remote server 1194
cipher AES-256-CBC
auth SHA256
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verb 5
key-direction 1
tls-client

——BEGIN CERTIFICATE——
——END PRIVATE KEY——

——BEGIN CERTIFICATE——
——END CERTIFICATE——

——BEGIN PRIVATE KEY——
——END PRIVATE KEY——

#
# 2048 bit OpenVPN static key
#
——BEGIN OpenVPN Static key V1——

——END OpenVPN Static key V1——

Server Config
==========
proto udp
port 1194
dev tun
topology subnet
server xx.xx.xx.xx 255.255.0.0
ifconfig-pool-persist ipp.txt
route xx.xx.xx.xx 255.255.0.0
route xx.xx.xx.xx 255.255.0.0

# Push routes for all clients
push «route xx.xx.xx.xx 255.255.255.0 xx.xx.xx.xx»

ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/server.crt
key /etc/openvpn/pki/private/server.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
crl-verify /etc/openvpn/pki/crl.pem
cipher AES-256-CBC
auth SHA256
verb 3
client-config-dir /etc/openvpn/server/clients
persist-key
persist-tun
keepalive 10 60
user openvpn
group openvpn
daemon
log-append /var/log/openvpn.log
syslog
explicit-exit-notify 1
management localhost 7504
script-security 2

Client Config on Server:
========================
push «route 172.18.0.0 255.255.0.0»
push «route xx.xx.xx.xx 255.255.255.255»
push «dhcp-option DNS 10.211.1.94»
push «dhcp-option DNS 10.211.1.244»
push «dhcp-option DOMAIN dns-domain-1»
push «dhcp-option DOMAIN dns-domain-2»
push «dhcp-option DOMAIN dns-domain-3»

As you have only posted a snippet on your log I’m afraid we can’t provide anything specific, however I can give you a few general reasons why this might occur.

The error, unintuitively, means essentially that the control packet that was received is an OpenVPN packet, however it does not belong to the connection it was received on. This can mean any of the following in the most common cases:

— If you have multiple VPN connections active, you may have a routing issue which is causing packets to be sent the wrong way
— You have multiple VPN connections active on the same subnet which are causing some cross talk locally
— Your time and date on either the server or local PC is wrong
— You have imported the wrong tls-auth file for the connection
— A disruption in traffic has caused the server to timeout your connection, but the client has not acknowledged it yet due to misconfigured

If this is happening after a reconnect or ping-restart, please try disabling persist-tun and persist-key while troubleshooting.

Eric Thorpe
Viscosity Developer

Posts: 11 Joined: Fri Dec 18, 2020 10:55 pm

I will attach a complete log here.
In this log, I get a connection, but when I start using the connection, everything takes a very long time.
For example when I access a resource with chrome browser, it can take up to 5 minutes before I even see that it starts loading content, and even then the content is from time to time mangled.

Sometimes it works, and sometimes it does not, and sometimes I do not get a connection at all.

I do not have any othter VPN running in my computer.
If I start up a OpenVPN connection in my PC I get the same errors.
If I start up a OpenVPN connection in a HyperV Ubuntu inside my PC, it WORKS.

Could you please post a copy of your route table and ipconfig -all after connecting as well?

To do this, open a command prompt and type in the following commands one after another:
route print
ipconfig -all

Eric Thorpe
Viscosity Developer

Posts: 11 Joined: Fri Dec 18, 2020 10:55 pm

Windows IP Configuration

Host Name . . . . . . . . . . . . : Cray-4
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : bahnhof.se
vpn.entiros.io
private.entiros.io
idm.entiros.io

Unknown adapter Local Area Connection:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Windows Adapter V9 for OpenVPN Connect
Physical Address. . . . . . . . . : 00-FF-0C-A1-4F-9E
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . : bahnhof.se
Description . . . . . . . . . . . : Intel(R) Ethernet Controller (2) I225-V
Physical Address. . . . . . . . . : 3C-7C-3F-D4-C1-56
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.242(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Lease Obtained. . . . . . . . . . : den 8 januari 2021 09:13:40
Lease Expires . . . . . . . . . . : den 9 januari 2021 09:17:10
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 127.56.49.53
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter 000int-miknyb (Cray-4):

Connection-specific DNS Suffix . : vpn.entiros.io
Description . . . . . . . . . . . : Viscosity Virtual Adapter V9.1
Physical Address. . . . . . . . . : 00-FF-D1-E8-E2-55
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.234.0.11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : den 8 januari 2021 09:17:13
Lease Expires . . . . . . . . . . : den 8 januari 2022 09:17:12
Default Gateway . . . . . . . . . : 10.234.0.1
DHCP Server . . . . . . . . . . . : 10.234.0.254
DNS Servers . . . . . . . . . . . : 127.56.49.53
NetBIOS over Tcpip. . . . . . . . : Enabled
Connection-specific DNS Suffix Search List :
vpn.entiros.io
private.entiros.io
idm.entiros.io

Ethernet adapter Npcap Loopback Adapter:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Npcap Loopback Adapter
Physical Address. . . . . . . . . : 02-00-4C-4F-4F-50
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::e5d35af4:92c9%6(Preferred)
Autoconfiguration IPv4 Address. . : 169.254.146.201(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
DHCPv6 IAID . . . . . . . . . . . : 805437516
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-55-5D-85-3C-7C-3F-D4-C1-56
DNS Servers . . . . . . . . . . . : fd53:7061:726b:4c61:6273:5669:7344:4e53
127.56.49.53
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter vEthernet (Internet):

Connection-specific DNS Suffix . : bahnhof.se
Description . . . . . . . . . . . : Hyper-V Virtual Ethernet Adapter #2
Physical Address. . . . . . . . . : 3C-7C-3F-D4-C1-56
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::f9ac:6384:88e6:9442%24(Preferred)
Autoconfiguration IPv4 Address. . : 169.254.148.66(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
DHCPv6 IAID . . . . . . . . . . . : 305953855
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-55-5D-85-3C-7C-3F-D4-C1-56
DNS Servers . . . . . . . . . . . : fd53:7061:726b:4c61:6273:5669:7344:4e53
127.56.49.53
NetBIOS over Tcpip. . . . . . . . : Enabled
Connection-specific DNS Suffix Search List :
bahnhof.se

Ethernet adapter vEthernet (Default Switch):

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Hyper-V Virtual Ethernet Adapter
Physical Address. . . . . . . . . : 00-15-5D-40-3F-A5
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::b838:6e5d9cf2%25(Preferred)
IPv4 Address. . . . . . . . . . . : 172.18.137.225(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.240
Default Gateway . . . . . . . . . :
DHCPv6 IAID . . . . . . . . . . . : 419435869
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-55-5D-85-3C-7C-3F-D4-C1-56
DNS Servers . . . . . . . . . . . : fd53:7061:726b:4c61:6273:5669:7344:4e53
127.56.49.53
NetBIOS over Tcpip. . . . . . . . : Enabled

Источник

dnguyen76: OpenVpn Newbie; Posts: 2; Joined: Wed Dec 05, 2018 4:14 pm

AEAD Decrypt error: cipher final failed

I am running an OpenVPN 2.4.0 network with TCP protocol and 443 port to mimic https stream (server software installation in a Raspberry pi3 has been done using pivpn )

After connection, I have random «AEAD Decrypt error: cipher final failed» message every 5 ti 10 minutes when receiving from Raspbian openvpn client thru a firewall . After each software reset the Raspbian client succeed to reconnect but again 5 to 10 minutes later another «AEAD Decrypt error: cipher final failed» .

( The openvpn server is running in a Raspberry 3 and working well with others clients ( Windows, Android) but another network without firewall in this case)

Is anybody an idea how to correct these random «AEAD Decrypt error: cipher final failed» ?

Daniel

Jan 13 08:37:11 raspberrypi ovpn-server[395]: E/xx.xx.xx.xx.:13885 AEAD Decrypt error: cipher final failed
Jan 13 08:37:11 raspberrypi ovpn-server[395]: E/xx.xx.xx.xx:13885 Fatal decryption error (process_incoming_link), restarting
Jan 13 08:37:11 raspberrypi ovpn-server[395]: E/xx.xx.xx.xx:13885 SIGUSR1[soft,decryption-error] received, client-instance restarting

inixi: OpenVpn Newbie; Posts: 2; Joined: Wed Apr 17, 2019 1:13 pm

Re: AEAD Decrypt error: cipher final failed

Post

by inixi » Wed Apr 17, 2019 1:44 pm

Hello,
I have the same issue. In server logs there are plenty of ERRORS like:

Code: Select all

ovpn-vpn-udp[11613]: some.guy/123.231.132.33:2371 AEAD Decrypt error: cipher final failed

Restarting server works for quite some time, but after this time a client attempts to connect and I still receive those errors.

My configuration:
System: Debian 4.9.0-3-amd64 #1 SMP
OpenVPN version: 2.4.0-6
server configuration:

Code: Select all

port 3434
proto udp
dev udp-tun
dev-type tun
topology subnet
persist-tun
persist-key
user nobody
group nogroup
server 172.17.1.0 255.255.255
ca ca_file.pem
cert cert_file.pem
key key_file.pem
dh dh.pem
crl-verify crl_file.pem
tls-auth ta.key 0
client-config-dir udp-tun.d
ifconfig-pool-persist udp-tun.pool
keepalive 10 120
compress lzo
log-append /var/log/openvpn/udp-tun.log
verb 3
auth SHA1

push "dhcp-option DNS 172.17.1.2"
push "route 172.17.1.0 255.255.0.0"
push "route 172.17.2.0 255.255.0.0"
push "route 172.17.3.0 255.255.0.0"

Client configuration

Code: Select all

client
dev tun
proto udp
remote my.remote.server.com 3434
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
auth-nocache
comp-lzo                                           
keepalive 10 120
verb 4

This happens randomly and only after some time (more than 10 hours of uptime) and when 20 or more clients are connected.

inixi: OpenVpn Newbie; Posts: 2; Joined: Wed Apr 17, 2019 1:13 pm

Re: AEAD Decrypt error: cipher final failed

Post

by inixi » Tue Apr 30, 2019 3:25 pm

Thanks for the reply!
I just commented out those options from server configuration only. Why?
In my case changing configuration for clients is a bit of trouble since not all users or endpoints can adapt to changes…

TinCanTech: OpenVPN Protagonist; Posts: 11142; Joined: Fri Jun 03, 2016 1:17 pm

Re: AEAD Decrypt error: cipher final failed

Post

by TinCanTech » Tue Apr 30, 2019 3:29 pm

inixi wrote: ↑

Tue Apr 30, 2019 3:25 pm

I just commented out those options from server configuration only

So you just did the opposite of what I recommend and have now broken your server config.

Источник

I’m using OPNsense and followed the instructions for pfSense found here seemingly to the tee, but when I do this (and even though the vpn client status is saying that it’s status is «up«), I get the following log entries:

Apr 7 22:40:33 openvpn[6489]: SIGUSR1[soft,ping-restart] received, process restarting 
Apr 7 22:40:33 openvpn[6489]: [6a23523234543a944680d35345ab3] Inactivity timeout (--ping-restart), restarting 
Apr 7 22:40:32 openvpn[6489]: AEAD Decrypt error: cipher final failed 
Apr 7 22:40:22 openvpn[6489]: AEAD Decrypt error: cipher final failed 
Apr 7 22:40:12 openvpn[6489]: AEAD Decrypt error: cipher final failed 
Apr 7 22:40:02 openvpn[6489]: AEAD Decrypt error: cipher final failed 
Apr 7 22:39:52 openvpn[6489]: AEAD Decrypt error: cipher final failed 
Apr 7 22:39:42 openvpn[6489]: AEAD Decrypt error: cipher final failed 
Apr 7 22:39:33 openvpn[6489]: Initialization Sequence Completed

It did say to use AES-128-GCM (notice in steps 3 & 4) with PIA-2048 (specifically I believe: ca.rsa.2048.crt). Here are all the settings: https://ibb.co/3Yc7GXn

One thing I have found is that if I change instead to aes-128-cbc it does connect and stays connected to the VPN, but clearly the PIA instructions must be wrong…?

Has something changed or did I miss something?

Источник

Fixing OpenVPN «Authenticate/Decrypt packet error: cipher final failed»

When connecting to a VPN I was constant getting the error

Mar 8 09:29:27 openvpn[1696]: Authenticate/Decrypt packet error: cipher final failed

I had imported the supplied ovpn file and had followed all the other configuration steps, so this was quite frustrating. Then I saw this in the logs:

Mar 8 09:31:07 openvpn[1790]: WARNING: ‘cipher’ is used inconsistently, local=’cipher BF-CBC’, remote=’cipher AES-256-CBC’

Changing my client to use «cipher AES-256-CBC» instead of the default (which apparently was cipher BF-CBC) fixed the issue.

MinHash for dummies

Duplicate document detection is becoming increasingly important for businesses that have huge collections of email, web pages and documents with multiple copies that may or may not be kept up to date. MinHash is a fairly simple algorithm that from all my Googling has been explained very poorly in blogs or in the kind of mathematical terms that I forgot long ago. So in this article I will attempt to explain how MinHash works at a practical code level. Before I start, please take a look at http://infolab.stanford.edu/~ullman/mmds/ch3.pdf . That document goes into a lot of theory, and was ultimately where my understanding on MinHash came from. Unfortunately it approaches the algorithm from a theoretical standpoint, but if I gloss over some aspect of the MinHash algorithm here, you will almost certainly find a fuller explanation in the PDF. I’ll also be using pseudo Java in these examples instead of traditional math. This means when I use terms like Set, I am referring to the gr

Authenticating via Kerberos with Keycloak and Windows 2008 Active Directory

The following instructions show you how to configure Keycloak with Windows AD in order to use Kerberos authentication. Assumptions The Kerberos realm is VIRTUAL.LOCAL The hostname used to access Keycloak is virtual.local. This just means we are running Keycloak on the domain controller. In production virtual.local will be replaced with something like keycloak.dev.virtual.local or something like that, giving you a SPN of HTTP/keycloak.dev.virtual.local@VIRTUAL.LOCAL Configuration Create a windows domain account called Keycloak. Run the following command to assign a SPN to the user and generate a keytab file: ktpass -out keycloak.keytab -princ HTTP/virtual.local@VIRTUAL.LOCAL -mapUser Keycloak@VIRTUAL.LOCAL -pass password1! -kvno 0 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT Verify the SPN has been assigned to the user with the command: setspn -l Keycloak Configure the LDAP settings in Keycloak like this. Since we are running Keycloak on the domain controller, we ref

Источник

Примеры настройки OpenVPN

OpenVPN и роутеры

Конфиг OpenVPN Сервера, на Windows 7:

Настройка Клиента IRZ RUH2:

Некоторые ошибки при настройке OpenVPN

Authenticate/Decrypt packet error: packet HMAC authentication failed

Authenticate/Decrypt packet error: cipher final failed

Не возможно подключиться к интерфейсу, если служба уже запущена

При запуске сервера OpenVPN ошибкa: не возможно добавить маршрут в таблицу маршрутизации

Клиент находит сервер, подключается, но не пингуется, или не может подключиться.

Клиент находит сервер, но не пингуется.

Ошибка: Initialization Sequence Completed With Errors ( see http://openvpn.net/f…#dhcpclientserv )

Продолжение темы настройки openVPN:

OpenVPN и роутеры

Конфиг OpenVPN Сервера, на Windows 7:

Настройка Клиента IRZ RUH2:

Некоторые ошибки при настройке OpenVPN

Authenticate/Decrypt packet error: packet HMAC authentication failed

Authenticate/Decrypt packet error: cipher final failed

Не возможно подключиться к интерфейсу, если служба уже запущена

При запуске сервера OpenVPN ошибкa: не возможно добавить маршрут в таблицу маршрутизации

Клиент находит сервер, подключается, но не пингуется, или не может подключиться.

Клиент находит сервер, но не пингуется.

Ошибка: Initialization Sequence Completed With Errors ( see http://openvpn.net/f…#dhcpclientserv )

Matt’s Blog

Fixing OpenVPN «Authenticate/Decrypt packet error: cipher final failed»

Popular posts from this blog

MinHash for dummies

TLS Errors and AEAD Decrypt errors

AEAD Decrypt error: cipher final failed

Re: AEAD Decrypt error: cipher final failed

Re: AEAD Decrypt error: cipher final failed

Re: AEAD Decrypt error: cipher final failed

Fixing OpenVPN «Authenticate/Decrypt packet error: cipher final failed»

Popular posts from this blog

MinHash for dummies

Authenticating via Kerberos with Keycloak and Windows 2008 Active Directory

Читайте также: