2
openVPN und verify error ergibt Krise
hiho
ich kenne bereits sämtliche beiträge etc zu diesem thema, doch sind diese nicht wirklich brauchbar in meinem fall.
ich möchte mit laptop xp sp2 von überall auf ein schulnetz zugreifen mit openvpn
aufbau: lancom 821+ router/modem --> ubuntu 6.10 proxy-server --> w2k3 server und alles andere
auf dem ubuntu läuft das openvpn ohne fehler und erkennt auch zugriffe des clients, jedoch bekommt der client folgende fehlermeldung zu sehen:
Mon Sep 22 12:51:53 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Sep 22 12:51:53 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Sep 22 12:51:53 2008 LZO compression initialized
Mon Sep 22 12:51:53 2008 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Mon Sep 22 12:51:53 2008 Control Channel MTU parms [ L:1554 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Sep 22 12:51:53 2008 Data Channel MTU parms [ L:1554 D:1300 EF:62 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 22 12:51:53 2008 Fragmentation MTU parms [ L:1554 D:1300 EF:61 EB:135 ET:1 EL:0 AF:3/1 ]
Mon Sep 22 12:51:53 2008 Local Options hash (VER=V4): 'a9557fc3'
Mon Sep 22 12:51:53 2008 Expected Remote Options hash (VER=V4): '3e1c4603'
Mon Sep 22 12:51:53 2008 UDPv4 link local: [undef]
Mon Sep 22 12:51:53 2008 UDPv4 link remote: 89.246.200.112:443
Mon Sep 22 12:51:53 2008 TLS: Initial packet from 89.246.200.112:443, sid=763bc204 e9325dc9
Mon Sep 22 12:51:53 2008 VERIFY ERROR: depth=0, error=self signed certificate:
Mon Sep 22 12:51:53 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Sep 22 12:51:53 2008 TLS Error: TLS object -> incoming plaintext read error
Mon Sep 22 12:51:53 2008 TLS Error: TLS handshake failed
Mon Sep 22 12:51:53 2008 TCP/UDP: Closing socket
Mon Sep 22 12:51:53 2008 SIGUSR1[soft,tls-error] received, process restarting
Mon Sep 22 12:51:53 2008 Restart pause, 2 second(s)
der server sieht folgendes:
TLS Error: TLS key negotiation failed.....
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client instance restarting
ein neu-erstellen der zertifikate (nach versch. beiträgen) bringt nichts
ich hoffe ihr habt eine idee, woran dieser fehler noch liegen kann.
client-konfig -->
client
float
dev tun
tun-mtu 1492
fragment 1300
mssfix
proto udp
remote 89.246.200.112 443
ca vpn-ca.pem
cert admincert.pem
key adminkey.pem
pull
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3
server-konfig -->
port 443
proto udp
dev tun
tun-mtu 1492
fragment 1300
mssfix
ca /usr/local/etc/openvpn/vpn-ca.pem
cert /usr/local/etc/openvpn/servercert.pem
key /usr/local/etc/openvpn/serverkey.pem
dh /usr/local/etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.3.0 255.255.255.0"
keepalive 10 120
auth SHA1
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
verb 3
ich kenne bereits sämtliche beiträge etc zu diesem thema, doch sind diese nicht wirklich brauchbar in meinem fall.
ich möchte mit laptop xp sp2 von überall auf ein schulnetz zugreifen mit openvpn
aufbau: lancom 821+ router/modem --> ubuntu 6.10 proxy-server --> w2k3 server und alles andere
auf dem ubuntu läuft das openvpn ohne fehler und erkennt auch zugriffe des clients, jedoch bekommt der client folgende fehlermeldung zu sehen:
Mon Sep 22 12:51:53 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Sep 22 12:51:53 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Sep 22 12:51:53 2008 LZO compression initialized
Mon Sep 22 12:51:53 2008 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Mon Sep 22 12:51:53 2008 Control Channel MTU parms [ L:1554 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Sep 22 12:51:53 2008 Data Channel MTU parms [ L:1554 D:1300 EF:62 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 22 12:51:53 2008 Fragmentation MTU parms [ L:1554 D:1300 EF:61 EB:135 ET:1 EL:0 AF:3/1 ]
Mon Sep 22 12:51:53 2008 Local Options hash (VER=V4): 'a9557fc3'
Mon Sep 22 12:51:53 2008 Expected Remote Options hash (VER=V4): '3e1c4603'
Mon Sep 22 12:51:53 2008 UDPv4 link local: [undef]
Mon Sep 22 12:51:53 2008 UDPv4 link remote: 89.246.200.112:443
Mon Sep 22 12:51:53 2008 TLS: Initial packet from 89.246.200.112:443, sid=763bc204 e9325dc9
Mon Sep 22 12:51:53 2008 VERIFY ERROR: depth=0, error=self signed certificate:
Mon Sep 22 12:51:53 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Sep 22 12:51:53 2008 TLS Error: TLS object -> incoming plaintext read error
Mon Sep 22 12:51:53 2008 TLS Error: TLS handshake failed
Mon Sep 22 12:51:53 2008 TCP/UDP: Closing socket
Mon Sep 22 12:51:53 2008 SIGUSR1[soft,tls-error] received, process restarting
Mon Sep 22 12:51:53 2008 Restart pause, 2 second(s)
der server sieht folgendes:
TLS Error: TLS key negotiation failed.....
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client instance restarting
ein neu-erstellen der zertifikate (nach versch. beiträgen) bringt nichts
ich hoffe ihr habt eine idee, woran dieser fehler noch liegen kann.
client-konfig -->
client
float
dev tun
tun-mtu 1492
fragment 1300
mssfix
- Der Name des tun/tap Devices in der
- Netzwerkkonfiguration.
- Ich habe das Device my-tap genannt.
proto udp
remote 89.246.200.112 443
- Wir erlauben nur eine Verbindung zu
- unserem Server. Wir haben bei der
- Zertifiakt Erstellung dem Server
- den Common Name server gegeben und
- erzwingen so, dass sich auch der Server
- beim Client authentifizieren muss
ca vpn-ca.pem
cert admincert.pem
key adminkey.pem
pull
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3
server-konfig -->
port 443
proto udp
dev tun
tun-mtu 1492
fragment 1300
mssfix
ca /usr/local/etc/openvpn/vpn-ca.pem
cert /usr/local/etc/openvpn/servercert.pem
key /usr/local/etc/openvpn/serverkey.pem
dh /usr/local/etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.3.0 255.255.255.0"
keepalive 10 120
auth SHA1
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
verb 3
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 97491
Url: https://administrator.de/contentid/97491
Printed on: April 19, 2024 at 02:04 o'clock
2 Comments
Latest comment
Besser du löscht mal deine persönlichen Daten Jan Pampel, Zwickau aus dem Thread oben !!
Hast du ein Port Forwarding des Open VPN Ports auf den VPN Server im Router konfiguriert ???
Das wirds aber vermutlich wohl nicht sein, denn der Fehler weist wie du oben sehen kannst eher weiterhin auf ein Zertifikatsproblem hin.
Ggf. könntest du die Tunnel MTU nochmal auf einen kleineren Wert setzen wie z.B. 1432 um ggf. MTU Problematiken mit der Router MTU vorzubeugen ?!
Hast du ein Port Forwarding des Open VPN Ports auf den VPN Server im Router konfiguriert ???
Das wirds aber vermutlich wohl nicht sein, denn der Fehler weist wie du oben sehen kannst eher weiterhin auf ein Zertifikatsproblem hin.
Ggf. könntest du die Tunnel MTU nochmal auf einen kleineren Wert setzen wie z.B. 1432 um ggf. MTU Problematiken mit der Router MTU vorzubeugen ?!
Danke für antwort und hinweis... hab in meinem wahn des nicht-gehen-wollens darauf nimmer geachtet.
nen 100%iges port forwarding im lancom router war nicht einfach, daher weiss ich auch nich, ob der geht, aber theoretisch sollte er. der vpn server registriert den versuch des clients. die mtu ist schon kleiner als sie sollte... wie wirkt sich das mtu problem auf die zert-verifizierung aus ??
nen 100%iges port forwarding im lancom router war nicht einfach, daher weiss ich auch nich, ob der geht, aber theoretisch sollte er. der vpn server registriert den versuch des clients. die mtu ist schon kleiner als sie sollte... wie wirkt sich das mtu problem auf die zert-verifizierung aus ??
