5
OpenVPN baut keine Verbindung auf
Hallo werte Forengemeinde!
Ich bin ein Neuling auf dem Gebiet VPN und habe meinen ersten Server eingerichtet. Leider kann ich mit meinen Client nicht auf den Server connecten. Beide Geräte laufen mit Windows 7 Professional 64bit.
Hier die config meines Servers:
local *Server IP*
port 1194
proto udp
dev tun
dh C:\\Test\\OpenVPN\\Zertifikate\\dh1024.pem
ca C:\\Test\\OpenVPN\\Zertifikate\\ca.crt
cert C:\\Test\\OpenVPN\\Zertifikate\\server01.crt
key C:\\Test\\OpenVPN\\Zertifikate\\server01.key
server 10.18.14.0 255.255.255.0
ifconfig-pool-persist C:\\Test\\OpenVPN\\ipp.txt
client-to-client
ns-cert-type server
push "route *Netz IP* 255.255.255.0"
#push "redirect-gateway"
#push "dhcp-option DNS *auskommentierte IP*"
#push "dhcp-option WINS *auskommentierte IP*"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status C:\\Test\\OpenVPN\\log\\openvpn-status.log
log C:\\Test\\OpenVPN\\log\\openvpn.log
log-append C:\\Test\\OpenVPN\\log\\openvpn.log
verb 3
Die Client-Config sieht folgendermaßen aus:
client
dev tun
proto udp
remote *dyndns-Adresse des Servers* 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\test\\OpenVPN\\Zertifikate\\ca.crt"
cert "C:\\test\\OpenVPN\\Zertifikate\\vpnclient01.crt"
key "C:\\test\\OpenVPN\\Zertifikate\\vpnclient01.key"
ns-cert-type server # verhindert Man-in-the-Middle Attacken
comp-lzo
verb 3
Openvpn.log auf dem Server:
00C2-4926-A55C-19AD1628D721} [DHCP-serv: 10.18.14.2, lease-time: 31536000]
Sun Apr 10 18:41:41 2011 Sleeping for 10 seconds...
Sun Apr 10 18:41:51 2011 Successful ARP Flush on interface [17] {1A8258F8-00C2-4926-A55C-19AD1628D721}
Sun Apr 10 18:41:51 2011 C:\WINDOWS\system32\route.exe ADD 10.18.14.0 MASK 255.255.255.0 10.18.14.2
Sun Apr 10 18:41:51 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Apr 10 18:41:51 2011 Route addition via IPAPI succeeded [adaptive]
Sun Apr 10 18:41:51 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 18:41:51 2011 UDPv4 link local (bound): *Server-IP*:1194
Sun Apr 10 18:41:51 2011 UDPv4 link remote: [undef]
Sun Apr 10 18:41:51 2011 MULTI: multi_init called, r=256 v=256
Sun Apr 10 18:41:51 2011 IFCONFIG POOL: base=10.18.14.4 size=62
Sun Apr 10 18:41:51 2011 IFCONFIG POOL LIST
Sun Apr 10 18:41:51 2011 Initialization Sequence Completed
Sun Apr 10 18:41:55 2011 MULTI: multi_create_instance called
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Re-using SSL/TLS context
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 LZO compression initialized
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Local Options hash (VER=V4): '530fdded'
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Expected Remote Options hash (VER=V4): '41690919'
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 TLS: Initial packet from 89.204.137.144:61054, sid=e5ac6cb2 000c1e4c
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 VERIFY OK: depth=1, /C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 VERIFY nsCertType ERROR: /C=DE/ST=HE/O=TestFirma/CN=vpnclient01/emailAddress=testadresse@web.de, require nsCertType=SERVER
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS Error: TLS object -> incoming plaintext read error
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS Error: TLS handshake failed
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 SIGUSR1[soft,tls-error] received, client-instance restarting
Client.log auf dem Client:
Sun Apr 10 17:41:51 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Apr 10 17:41:51 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 10 17:41:54 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Apr 10 17:41:54 2011 LZO compression initialized
Sun Apr 10 17:41:54 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 10 17:41:54 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 10 17:41:55 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 17:41:55 2011 Local Options hash (VER=V4): '41690919'
Sun Apr 10 17:41:55 2011 Expected Remote Options hash (VER=V4): '530fdded'
Sun Apr 10 17:41:55 2011 UDPv4 link local: [undef]
Sun Apr 10 17:41:55 2011 UDPv4 link remote: *IP meiner dyn-DNS-Adresse*:1194
Sun Apr 10 17:41:55 2011 TLS: Initial packet from *IP meiner dyn-DNS-Adresse*, sid=f5800c52 3b7fe95d
Sun Apr 10 17:41:57 2011 VERIFY OK: depth=1, /C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
Sun Apr 10 17:41:57 2011 VERIFY OK: nsCertType=SERVER
Sun Apr 10 17:41:57 2011 VERIFY OK: depth=0, /C=DE/ST=HE/O=TestFirma/CN=server01/emailAddress=testadresse@web.de
Sun Apr 10 17:42:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Apr 10 17:42:55 2011 TLS Error: TLS handshake failed
Sun Apr 10 17:42:55 2011 TCP/UDP: Closing socket
Sun Apr 10 17:42:55 2011 SIGUSR1[soft,tls-error] received, process restarting
Sun Apr 10 17:42:55 2011 Restart pause, 2 second(s)
Sun Apr 10 17:42:57 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 10 17:42:57 2011 Re-using SSL/TLS context
Eine Verbindung kommt leider nicht zustande. Da auf dem Server ja allerdings etwas anzukommen scheint, kann es ja eigentlich nicht an der Verbindung liegen.
Die Ports sind in meinem Router freigegeben, die Firewalls waren zu Testzwecken auf beiden Geräten ausgeschaltet.
Kann mir jemand bei dem Problem helfen?
Hier die config meines Servers:
local *Server IP*
port 1194
proto udp
dev tun
- ----------------------------------------------
- Zertifikate
- ----------------------------------------------
dh C:\\Test\\OpenVPN\\Zertifikate\\dh1024.pem
ca C:\\Test\\OpenVPN\\Zertifikate\\ca.crt
cert C:\\Test\\OpenVPN\\Zertifikate\\server01.crt
key C:\\Test\\OpenVPN\\Zertifikate\\server01.key
- ----------------------------------------------
- Server-Setup
- ----------------------------------------------
server 10.18.14.0 255.255.255.0
ifconfig-pool-persist C:\\Test\\OpenVPN\\ipp.txt
client-to-client
ns-cert-type server
- ----------------------------------------------
- Client-Settings (inkl Special Dir)
- ----------------------------------------------
- (if needed) client-config-dir ccd
push "route *Netz IP* 255.255.255.0"
#push "redirect-gateway"
#push "dhcp-option DNS *auskommentierte IP*"
#push "dhcp-option WINS *auskommentierte IP*"
- ----------------------------------------------
- Defaults
- ----------------------------------------------
keepalive 10 120
comp-lzo
persist-key
persist-tun
- ----------------------------------------------
- Logging
- ----------------------------------------------
status C:\\Test\\OpenVPN\\log\\openvpn-status.log
log C:\\Test\\OpenVPN\\log\\openvpn.log
log-append C:\\Test\\OpenVPN\\log\\openvpn.log
verb 3
Die Client-Config sieht folgendermaßen aus:
client
dev tun
proto udp
remote *dyndns-Adresse des Servers* 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\test\\OpenVPN\\Zertifikate\\ca.crt"
cert "C:\\test\\OpenVPN\\Zertifikate\\vpnclient01.crt"
key "C:\\test\\OpenVPN\\Zertifikate\\vpnclient01.key"
ns-cert-type server # verhindert Man-in-the-Middle Attacken
comp-lzo
verb 3
Openvpn.log auf dem Server:
00C2-4926-A55C-19AD1628D721} [DHCP-serv: 10.18.14.2, lease-time: 31536000]
Sun Apr 10 18:41:41 2011 Sleeping for 10 seconds...
Sun Apr 10 18:41:51 2011 Successful ARP Flush on interface [17] {1A8258F8-00C2-4926-A55C-19AD1628D721}
Sun Apr 10 18:41:51 2011 C:\WINDOWS\system32\route.exe ADD 10.18.14.0 MASK 255.255.255.0 10.18.14.2
Sun Apr 10 18:41:51 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Apr 10 18:41:51 2011 Route addition via IPAPI succeeded [adaptive]
Sun Apr 10 18:41:51 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 18:41:51 2011 UDPv4 link local (bound): *Server-IP*:1194
Sun Apr 10 18:41:51 2011 UDPv4 link remote: [undef]
Sun Apr 10 18:41:51 2011 MULTI: multi_init called, r=256 v=256
Sun Apr 10 18:41:51 2011 IFCONFIG POOL: base=10.18.14.4 size=62
Sun Apr 10 18:41:51 2011 IFCONFIG POOL LIST
Sun Apr 10 18:41:51 2011 Initialization Sequence Completed
Sun Apr 10 18:41:55 2011 MULTI: multi_create_instance called
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Re-using SSL/TLS context
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 LZO compression initialized
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Local Options hash (VER=V4): '530fdded'
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Expected Remote Options hash (VER=V4): '41690919'
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 TLS: Initial packet from 89.204.137.144:61054, sid=e5ac6cb2 000c1e4c
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 VERIFY OK: depth=1, /C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 VERIFY nsCertType ERROR: /C=DE/ST=HE/O=TestFirma/CN=vpnclient01/emailAddress=testadresse@web.de, require nsCertType=SERVER
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS Error: TLS object -> incoming plaintext read error
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS Error: TLS handshake failed
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 SIGUSR1[soft,tls-error] received, client-instance restarting
Client.log auf dem Client:
Sun Apr 10 17:41:51 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Apr 10 17:41:51 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 10 17:41:54 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Apr 10 17:41:54 2011 LZO compression initialized
Sun Apr 10 17:41:54 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 10 17:41:54 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 10 17:41:55 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 17:41:55 2011 Local Options hash (VER=V4): '41690919'
Sun Apr 10 17:41:55 2011 Expected Remote Options hash (VER=V4): '530fdded'
Sun Apr 10 17:41:55 2011 UDPv4 link local: [undef]
Sun Apr 10 17:41:55 2011 UDPv4 link remote: *IP meiner dyn-DNS-Adresse*:1194
Sun Apr 10 17:41:55 2011 TLS: Initial packet from *IP meiner dyn-DNS-Adresse*, sid=f5800c52 3b7fe95d
Sun Apr 10 17:41:57 2011 VERIFY OK: depth=1, /C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
Sun Apr 10 17:41:57 2011 VERIFY OK: nsCertType=SERVER
Sun Apr 10 17:41:57 2011 VERIFY OK: depth=0, /C=DE/ST=HE/O=TestFirma/CN=server01/emailAddress=testadresse@web.de
Sun Apr 10 17:42:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Apr 10 17:42:55 2011 TLS Error: TLS handshake failed
Sun Apr 10 17:42:55 2011 TCP/UDP: Closing socket
Sun Apr 10 17:42:55 2011 SIGUSR1[soft,tls-error] received, process restarting
Sun Apr 10 17:42:55 2011 Restart pause, 2 second(s)
Sun Apr 10 17:42:57 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 10 17:42:57 2011 Re-using SSL/TLS context
Eine Verbindung kommt leider nicht zustande. Da auf dem Server ja allerdings etwas anzukommen scheint, kann es ja eigentlich nicht an der Verbindung liegen.
Die Ports sind in meinem Router freigegeben, die Firewalls waren zu Testzwecken auf beiden Geräten ausgeschaltet.
Kann mir jemand bei dem Problem helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 164288
Url: https://administrator.de/contentid/164288
Printed on: April 25, 2024 at 23:04 o'clock
5 Comments
Latest comment
So wie ich das grade lese sendet der Client zwei SSL-Zertifikate (wahrscheinlich seins und das CA-Zertifikat):
/C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
/C=DE/ST=HE/O=TestFirma/CN=vpnclient01/emailAddress=testadresse@web.de
Das zweite Zertifikat hat aber nicht den nsCertType=SERVER und wird darum vom Server verweigert.
Dein Problem dürfte sein, dass du
/C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
/C=DE/ST=HE/O=TestFirma/CN=vpnclient01/emailAddress=testadresse@web.de
Das zweite Zertifikat hat aber nicht den nsCertType=SERVER und wird darum vom Server verweigert.
Dein Problem dürfte sein, dass du
ns-cert-type server in der Serverkonfig hast, es aber nur in die Clientkonfig gehört.
Danke erstmal für die Antwort!
Die Sache mit dem ns-cert-type war mir auch schon aufgefallen, mittlerweile steht es auch nicht mehr in der Server-Config. Leider funktioniert es aber trotzdem nicht.
Zu Testzwecken habe ich das ns-cert-type aus der Client-Config auch mal rausgenommen, hilft leider auch nicht.
Die Sache mit dem ns-cert-type war mir auch schon aufgefallen, mittlerweile steht es auch nicht mehr in der Server-Config. Leider funktioniert es aber trotzdem nicht.
Zu Testzwecken habe ich das ns-cert-type aus der Client-Config auch mal rausgenommen, hilft leider auch nicht.
Hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
findest du einen sicheren Leitfaden wie das alles korrekt und funktionsfähig einzustellen ist und wie die Zertifikate zu generieren sind ! Die Platform ist dabei egal, denn die Konfig ist unabhängig von der HW gilt also auch für dich !
De facto hast du aber ein Problem mit dem Client Zertifikat das vermutlich nicht richtig generiert ist.
Sonnvoll wäre nochmal ein Konsol Output hier zu posten mit der jetzigen Fehlermeldung nachdem du das
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
findest du einen sicheren Leitfaden wie das alles korrekt und funktionsfähig einzustellen ist und wie die Zertifikate zu generieren sind ! Die Platform ist dabei egal, denn die Konfig ist unabhängig von der HW gilt also auch für dich !
De facto hast du aber ein Problem mit dem Client Zertifikat das vermutlich nicht richtig generiert ist.
Sonnvoll wäre nochmal ein Konsol Output hier zu posten mit der jetzigen Fehlermeldung nachdem du das
ns-cert-type server entfernt hast.
Ha, jetzt funktionierts endlich! Es lag tatsächlich an den Zertifikaten, ich hatte in der vars.bat den Pfad "set HOME" nicht angepasst...
Nun noch eine letzte Frage: Innerhalb des Netzwerkes kann ich meine Remote-Desktop-Verbindung ohne Probleme benutzen (von VPN-Client auf den VPN-Server). Dies funktioniert aber leider nicht über die VPN-Verbindung. Irgendwelche Tipps dafür?
Nun noch eine letzte Frage: Innerhalb des Netzwerkes kann ich meine Remote-Desktop-Verbindung ohne Probleme benutzen (von VPN-Client auf den VPN-Server). Dies funktioniert aber leider nicht über die VPN-Verbindung. Irgendwelche Tipps dafür?
Das liegt wie immer an der lokalen Firewall. Gehe dort beim RDP Dienst in die erweiterten Einstellungen bei Port und Bereich und erlaube den Zugriff aus dem remoten IP Netz oder klicke auf die Scheunentor Lösung "alle Computer inkl. Internet".
Das fixt das Problem dann sofort !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
Das fixt das Problem dann sofort !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
