Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN baut keine Verbindung auf

Frage Netzwerke

Mitglied: alincoln

alincoln (Level 1) - Jetzt verbinden

10.04.2011, aktualisiert 18.10.2012, 6229 Aufrufe, 5 Kommentare

Hallo werte Forengemeinde!

Ich bin ein Neuling auf dem Gebiet VPN und habe meinen ersten Server eingerichtet. Leider kann ich mit meinen Client nicht auf den Server connecten. Beide Geräte laufen mit Windows 7 Professional 64bit.

Hier die config meines Servers:

local *Server IP*
port 1194
proto udp
dev tun

  1. ----------------------------------------------
  2. Zertifikate
  3. ----------------------------------------------

dh C:\\Test\\OpenVPN\\Zertifikate\\dh1024.pem
ca C:\\Test\\OpenVPN\\Zertifikate\\ca.crt
cert C:\\Test\\OpenVPN\\Zertifikate\\server01.crt
key C:\\Test\\OpenVPN\\Zertifikate\\server01.key

  1. ----------------------------------------------
  2. Server-Setup
  3. ----------------------------------------------

server 10.18.14.0 255.255.255.0
ifconfig-pool-persist C:\\Test\\OpenVPN\\ipp.txt
client-to-client
ns-cert-type server

  1. ----------------------------------------------
  2. Client-Settings (inkl Special Dir)
  3. ----------------------------------------------

  1. (if needed) client-config-dir ccd

push "route *Netz IP* 255.255.255.0"
#push "redirect-gateway"
#push "dhcp-option DNS *auskommentierte IP*"
#push "dhcp-option WINS *auskommentierte IP*"

  1. ----------------------------------------------
  2. Defaults
  3. ----------------------------------------------

keepalive 10 120
comp-lzo
persist-key
persist-tun

  1. ----------------------------------------------
  2. Logging
  3. ----------------------------------------------

status C:\\Test\\OpenVPN\\log\\openvpn-status.log
log C:\\Test\\OpenVPN\\log\\openvpn.log
log-append C:\\Test\\OpenVPN\\log\\openvpn.log
verb 3


Die Client-Config sieht folgendermaßen aus:

client
dev tun

proto udp
remote *dyndns-Adresse des Servers* 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca "C:\\test\\OpenVPN\\Zertifikate\\ca.crt"
cert "C:\\test\\OpenVPN\\Zertifikate\\vpnclient01.crt"
key "C:\\test\\OpenVPN\\Zertifikate\\vpnclient01.key"

ns-cert-type server # verhindert Man-in-the-Middle Attacken

comp-lzo
verb 3

Openvpn.log auf dem Server:

00C2-4926-A55C-19AD1628D721} [DHCP-serv: 10.18.14.2, lease-time: 31536000]
Sun Apr 10 18:41:41 2011 Sleeping for 10 seconds...
Sun Apr 10 18:41:51 2011 Successful ARP Flush on interface [17] {1A8258F8-00C2-4926-A55C-19AD1628D721}
Sun Apr 10 18:41:51 2011 C:\WINDOWS\system32\route.exe ADD 10.18.14.0 MASK 255.255.255.0 10.18.14.2
Sun Apr 10 18:41:51 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Apr 10 18:41:51 2011 Route addition via IPAPI succeeded [adaptive]
Sun Apr 10 18:41:51 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 18:41:51 2011 UDPv4 link local (bound): *Server-IP*:1194
Sun Apr 10 18:41:51 2011 UDPv4 link remote: [undef]
Sun Apr 10 18:41:51 2011 MULTI: multi_init called, r=256 v=256
Sun Apr 10 18:41:51 2011 IFCONFIG POOL: base=10.18.14.4 size=62
Sun Apr 10 18:41:51 2011 IFCONFIG POOL LIST
Sun Apr 10 18:41:51 2011 Initialization Sequence Completed
Sun Apr 10 18:41:55 2011 MULTI: multi_create_instance called
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Re-using SSL/TLS context
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 LZO compression initialized
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Local Options hash (VER=V4): '530fdded'
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 Expected Remote Options hash (VER=V4): '41690919'
Sun Apr 10 18:41:55 2011 89.204.137.144:61054 TLS: Initial packet from 89.204.137.144:61054, sid=e5ac6cb2 000c1e4c
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 VERIFY OK: depth=1, /C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 VERIFY nsCertType ERROR: /C=DE/ST=HE/O=TestFirma/CN=vpnclient01/emailAddress=testadresse@web.de, require nsCertType=SERVER
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS Error: TLS object -> incoming plaintext read error
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 TLS Error: TLS handshake failed
Sun Apr 10 18:41:58 2011 89.204.137.144:61054 SIGUSR1[soft,tls-error] received, client-instance restarting

Client.log auf dem Client:

Sun Apr 10 17:41:51 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Apr 10 17:41:51 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 10 17:41:54 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Apr 10 17:41:54 2011 LZO compression initialized
Sun Apr 10 17:41:54 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 10 17:41:54 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 10 17:41:55 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 10 17:41:55 2011 Local Options hash (VER=V4): '41690919'
Sun Apr 10 17:41:55 2011 Expected Remote Options hash (VER=V4): '530fdded'
Sun Apr 10 17:41:55 2011 UDPv4 link local: [undef]
Sun Apr 10 17:41:55 2011 UDPv4 link remote: *IP meiner dyn-DNS-Adresse*:1194
Sun Apr 10 17:41:55 2011 TLS: Initial packet from *IP meiner dyn-DNS-Adresse*, sid=f5800c52 3b7fe95d
Sun Apr 10 17:41:57 2011 VERIFY OK: depth=1, /C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
Sun Apr 10 17:41:57 2011 VERIFY OK: nsCertType=SERVER
Sun Apr 10 17:41:57 2011 VERIFY OK: depth=0, /C=DE/ST=HE/O=TestFirma/CN=server01/emailAddress=testadresse@web.de
Sun Apr 10 17:42:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Apr 10 17:42:55 2011 TLS Error: TLS handshake failed
Sun Apr 10 17:42:55 2011 TCP/UDP: Closing socket
Sun Apr 10 17:42:55 2011 SIGUSR1[soft,tls-error] received, process restarting
Sun Apr 10 17:42:55 2011 Restart pause, 2 second(s)
Sun Apr 10 17:42:57 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 10 17:42:57 2011 Re-using SSL/TLS context

Eine Verbindung kommt leider nicht zustande. Da auf dem Server ja allerdings etwas anzukommen scheint, kann es ja eigentlich nicht an der Verbindung liegen.
Die Ports sind in meinem Router freigegeben, die Firewalls waren zu Testzwecken auf beiden Geräten ausgeschaltet.

Kann mir jemand bei dem Problem helfen?
Mitglied: dog
10.04.2011 um 20:52 Uhr
So wie ich das grade lese sendet der Client zwei SSL-Zertifikate (wahrscheinlich seins und das CA-Zertifikat):

/C=DE/ST=HE/L=Kassel/O=TestFirma/emailAddress=testadresse@web.de
/C=DE/ST=HE/O=TestFirma/CN=vpnclient01/emailAddress=testadresse@web.de

Das zweite Zertifikat hat aber nicht den nsCertType=SERVER und wird darum vom Server verweigert.

Dein Problem dürfte sein, dass du ns-cert-type server in der Serverkonfig hast, es aber nur in die Clientkonfig gehört.
Bitte warten ..
Mitglied: alincoln
10.04.2011 um 21:10 Uhr
Danke erstmal für die Antwort!

Die Sache mit dem ns-cert-type war mir auch schon aufgefallen, mittlerweile steht es auch nicht mehr in der Server-Config. Leider funktioniert es aber trotzdem nicht.

Zu Testzwecken habe ich das ns-cert-type aus der Client-Config auch mal rausgenommen, hilft leider auch nicht.
Bitte warten ..
Mitglied: aqui
11.04.2011, aktualisiert 18.10.2012
Hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
findest du einen sicheren Leitfaden wie das alles korrekt und funktionsfähig einzustellen ist und wie die Zertifikate zu generieren sind ! Die Platform ist dabei egal, denn die Konfig ist unabhängig von der HW gilt also auch für dich !
De facto hast du aber ein Problem mit dem Client Zertifikat das vermutlich nicht richtig generiert ist.
Sonnvoll wäre nochmal ein Konsol Output hier zu posten mit der jetzigen Fehlermeldung nachdem du das ns-cert-type server entfernt hast.
Bitte warten ..
Mitglied: alincoln
11.04.2011 um 22:01 Uhr
Ha, jetzt funktionierts endlich! Es lag tatsächlich an den Zertifikaten, ich hatte in der vars.bat den Pfad "set HOME" nicht angepasst...

Nun noch eine letzte Frage: Innerhalb des Netzwerkes kann ich meine Remote-Desktop-Verbindung ohne Probleme benutzen (von VPN-Client auf den VPN-Server). Dies funktioniert aber leider nicht über die VPN-Verbindung. Irgendwelche Tipps dafür?
Bitte warten ..
Mitglied: aqui
12.04.2011 um 10:16 Uhr
Das liegt wie immer an der lokalen Firewall. Gehe dort beim RDP Dienst in die erweiterten Einstellungen bei Port und Bereich und erlaube den Zugriff aus dem remoten IP Netz oder klicke auf die Scheunentor Lösung "alle Computer inkl. Internet".
Das fixt das Problem dann sofort !


Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Router & Routing
gelöst OpenVPN und PPTP Verbindung (3)

Frage von Veritas zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...