Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN baut keine Verbindung auf

Frage Netzwerke

Mitglied: alincoln

alincoln (Level 1) - Jetzt verbinden

10.04.2011, aktualisiert 18.10.2012, 6352 Aufrufe, 5 Kommentare

Hallo werte Forengemeinde!

Ich bin ein Neuling auf dem Gebiet VPN und habe meinen ersten Server eingerichtet. Leider kann ich mit meinen Client nicht auf den Server connecten. Beide Geräte laufen mit Windows 7 Professional 64bit.

Hier die config meines Servers:

local *Server IP*
port 1194
proto udp
dev tun

  1. ----------------------------------------------
  2. Zertifikate
  3. ----------------------------------------------

dh C:\\Test\\OpenVPN\\Zertifikate\\dh1024.pem
ca C:\\Test\\OpenVPN\\Zertifikate\\ca.crt
cert C:\\Test\\OpenVPN\\Zertifikate\\server01.crt
key C:\\Test\\OpenVPN\\Zertifikate\\server01.key

  1. ----------------------------------------------
  2. Server-Setup
  3. ----------------------------------------------

server 10.18.14.0 255.255.255.0
ifconfig-pool-persist C:\\Test\\OpenVPN\\ipp.txt
client-to-client
ns-cert-type server

  1. ----------------------------------------------
  2. Client-Settings (inkl Special Dir)
  3. ----------------------------------------------

  1. (if needed) client-config-dir ccd

push "route *Netz IP* 255.255.255.0"
#push "redirect-gateway"
#push "dhcp-option DNS *auskommentierte IP*"
#push "dhcp-option WINS *auskommentierte IP*"

  1. ----------------------------------------------
  2. Defaults
  3. ----------------------------------------------

keepalive 10 120
comp-lzo
persist-key
persist-tun

  1. ----------------------------------------------
  2. Logging
  3. ----------------------------------------------

status C:\\Test\\OpenVPN\\log\\openvpn-status.log
log C:\\Test\\OpenVPN\\log\\openvpn.log
log-append C:\\Test\\OpenVPN\\log\\openvpn.log
verb 3


Die Client-Config sieht folgendermaßen aus:

client
dev tun

proto udp
remote *dyndns-Adresse des Servers* 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca "C:\\test\\OpenVPN\\Zertifikate\\ca.crt"
cert "C:\\test\\OpenVPN\\Zertifikate\\vpnclient01.crt"
key "C:\\test\\OpenVPN\\Zertifikate\\vpnclient01.key"

ns-cert-type server # verhindert Man-in-the-Middle Attacken

comp-lzo
verb 3

Openvpn.log auf dem Server:

00C2-4926-A55C-19AD1628D721} [DHCP-serv: 10.18.14.2, lease-time: 31536000]
Sun Apr 10 18:41:41 2011 Sleeping for 10 seconds...
Sun Apr 10 18:41:51 2011 Successful ARP Flush on interface [17] {1A8258F8-00C2-4926-A55C-19AD1628D721}
Sun Apr 10 18:41:51 2011 C:\WINDOWS\system32\route.exe ADD 10.18.14.0 MASK 255.255.255.0 10.18.14.2
Sun Apr 10 18:41:51 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Apr 10 18:41:51 2011 Route addition via IPAPI succeeded [adaptive]
Sun Apr 10 18:41:51 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 18:41:51 2011 UDPv4 link local (bound): *Server-IP*:1194
Sun Apr 10 18:41:51 2011 UDPv4 link remote: [undef]
Sun Apr 10 18:41:51 2011 MULTI: multi_init called, r=256 v=256
Sun Apr 10 18:41:51 2011 IFCONFIG POOL: base=10.18.14.4 size=62
Sun Apr 10 18:41:51 2011 IFCONFIG POOL LIST
Sun Apr 10 18:41:51 2011 Initialization Sequence Completed
Sun Apr 10 18:41:55 2011 MULTI: multi_create_instance called
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Re-using SSL/TLS context
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 LZO compression initialized
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Local Options hash (VER=V4): '530fdded'
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Expected Remote Options hash (VER=V4): '41690919'
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 TLS: Initial packet from 89.204.137.144:61054, sid=e5ac6cb2 000c1e4c
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 VERIFY OK: depth=1, /C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 VERIFY nsCertType ERROR: /C=DE/ST=HE/O=TestFirma/CN=vpnclient01/emailAddress=testadresse@web.de, require nsCertType=SERVER
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS Error: TLS object -> incoming plaintext read error
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS Error: TLS handshake failed
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 SIGUSR1[soft,tls-error] received, client-instance restarting

Client.log auf dem Client:

Sun Apr 10 17:41:51 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Apr 10 17:41:51 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 10 17:41:54 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Apr 10 17:41:54 2011 LZO compression initialized
Sun Apr 10 17:41:54 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 10 17:41:54 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 10 17:41:55 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 17:41:55 2011 Local Options hash (VER=V4): '41690919'
Sun Apr 10 17:41:55 2011 Expected Remote Options hash (VER=V4): '530fdded'
Sun Apr 10 17:41:55 2011 UDPv4 link local: [undef]
Sun Apr 10 17:41:55 2011 UDPv4 link remote: *IP meiner dyn-DNS-Adresse*:1194
Sun Apr 10 17:41:55 2011 TLS: Initial packet from *IP meiner dyn-DNS-Adresse*, sid=f5800c52 3b7fe95d
Sun Apr 10 17:41:57 2011 VERIFY OK: depth=1, /C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
Sun Apr 10 17:41:57 2011 VERIFY OK: nsCertType=SERVER
Sun Apr 10 17:41:57 2011 VERIFY OK: depth=0, /C=DE/ST=HE/O=TestFirma/CN=server01/emailAddress=testadresse@web.de
Sun Apr 10 17:42:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Apr 10 17:42:55 2011 TLS Error: TLS handshake failed
Sun Apr 10 17:42:55 2011 TCP/UDP: Closing socket
Sun Apr 10 17:42:55 2011 SIGUSR1[soft,tls-error] received, process restarting
Sun Apr 10 17:42:55 2011 Restart pause, 2 second(s)
Sun Apr 10 17:42:57 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 10 17:42:57 2011 Re-using SSL/TLS context

Eine Verbindung kommt leider nicht zustande. Da auf dem Server ja allerdings etwas anzukommen scheint, kann es ja eigentlich nicht an der Verbindung liegen.
Die Ports sind in meinem Router freigegeben, die Firewalls waren zu Testzwecken auf beiden Geräten ausgeschaltet.

Kann mir jemand bei dem Problem helfen?
Mitglied: dog
10.04.2011 um 20:52 Uhr
So wie ich das grade lese sendet der Client zwei SSL-Zertifikate (wahrscheinlich seins und das CA-Zertifikat):

/C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
/C=DE/ST=HE/O=TestFirma/CN=vpnclient01/emailAddress=testadresse@web.de

Das zweite Zertifikat hat aber nicht den nsCertType=SERVER und wird darum vom Server verweigert.

Dein Problem dürfte sein, dass du ns-cert-type server in der Serverkonfig hast, es aber nur in die Clientkonfig gehört.
Bitte warten ..
Mitglied: alincoln
10.04.2011 um 21:10 Uhr
Danke erstmal für die Antwort!

Die Sache mit dem ns-cert-type war mir auch schon aufgefallen, mittlerweile steht es auch nicht mehr in der Server-Config. Leider funktioniert es aber trotzdem nicht.

Zu Testzwecken habe ich das ns-cert-type aus der Client-Config auch mal rausgenommen, hilft leider auch nicht.
Bitte warten ..
Mitglied: aqui
11.04.2011, aktualisiert 18.10.2012
Hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
findest du einen sicheren Leitfaden wie das alles korrekt und funktionsfähig einzustellen ist und wie die Zertifikate zu generieren sind ! Die Platform ist dabei egal, denn die Konfig ist unabhängig von der HW gilt also auch für dich !
De facto hast du aber ein Problem mit dem Client Zertifikat das vermutlich nicht richtig generiert ist.
Sonnvoll wäre nochmal ein Konsol Output hier zu posten mit der jetzigen Fehlermeldung nachdem du das ns-cert-type server entfernt hast.
Bitte warten ..
Mitglied: alincoln
11.04.2011 um 22:01 Uhr
Ha, jetzt funktionierts endlich! Es lag tatsächlich an den Zertifikaten, ich hatte in der vars.bat den Pfad "set HOME" nicht angepasst...

Nun noch eine letzte Frage: Innerhalb des Netzwerkes kann ich meine Remote-Desktop-Verbindung ohne Probleme benutzen (von VPN-Client auf den VPN-Server). Dies funktioniert aber leider nicht über die VPN-Verbindung. Irgendwelche Tipps dafür?
Bitte warten ..
Mitglied: aqui
12.04.2011 um 10:16 Uhr
Das liegt wie immer an der lokalen Firewall. Gehe dort beim RDP Dienst in die erweiterten Einstellungen bei Port und Bereich und erlaube den Zugriff aus dem remoten IP Netz oder klicke auf die Scheunentor Lösung "alle Computer inkl. Internet".
Das fixt das Problem dann sofort !


Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
IPSEC VPN mit pfSense und Lancom - keine verbindung wenn Client offline (7)

Frage von DanyCode zum Thema Netzwerkgrundlagen ...

Grafikkarten & Monitore
Iiyama 55" Touch und Intel NUC keine Verbindung (2)

Frage von tomi93 zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst OpenVPN Zertifikat abgelaufen - Verbindung nicht möglich (31)

Frage von intane zum Thema Router & Routing ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows Server
gelöst Exchange HyperV Prozessorlast (19)

Frage von theoberlin zum Thema Windows Server ...

Hardware
16-20 Port POE Switch mit VLAN (19)

Frage von thomasreischer zum Thema Hardware ...

Windows Server
Server mit Netzwerkaussetzern (17)

Frage von SarekHL zum Thema Windows Server ...

Netzwerke
Vorschlag Hotelverkabelung (14)

Frage von FA-jka zum Thema Netzwerke ...