TLS-Error: Unroutable Control Packet bei OpenVPN

[Miksch]

Hallo Forum!
Ich habe auf einem Win XP SP2 OpenVPN als Server installiert.
Auf meinem debian sarge stable einen client dafuer.
Wenn ich den client starte bekomme ich aber die Fehlermeldung:

Code: Alles auswählen

TLS Error: Unroutable Control Packet

Was will mir das sagen? Wie kann ich das Problem loesen?
TIA und viele Gruesse,
Miksch

[balduin222]

Hallo,

poste mal die ganze Logdatei. Damit kann man noch nicht allzu viel anfangen. Vorab könntest du mal prüfen, ob Datum/Uhrzeit auf beiden Seiten stimmt und mit

Code: Alles auswählen

openssl x509 -noout -in /pfad/zum/zertifikat -dates

prüfen, ob das Zertifikat nicht schon abgelaufen ist, ich hatte deswegen u.a. eine ähnliche Meldung.

mfg
balduin222

[Miksch]

Hallo balduin222!
Wo finde ich die entsprechende log-Datei? Ich habe in /var/log vergeblich nach etwas Entsprechendem geschaut.
Die Zertifikate habe ich erst am Donnerstag der letzten Woche, also vor fuenf Tagen erstellt. Sollten also eigentlich nicht abgelaufen sein.
Viele Gruesse,
Miksch

P.S.: Ich habe mal nachgeschaut, die Zertifikate gelten noch bis 2016.

[balduin222]

Nabend,

in der /etc/openvpn/server.conf mal die Einträge hier

Code: Alles auswählen

log /var/log/openvpn.log
verb 4

das sollte erstmal etwas mehr Auskunft geben.

mfg
balduin222

[Miksch]

Guten Morgen balduin222!
Ich werde da heute abend mal reinschauen. Bin zur Zeit im Buero und komme nicht an die Daten heran.
Viele Gruesse,
Miksch

[Miksch]

Hallo balduin222!
Ich habe den Befehl eingegeben, aber erhalte immer nur die Mitteilung "command not found".
In meiner /var/log gibt es auch kein openvpn-Unterverzeichnis. Leider.
Viele Gruesse,
Miksch

[balduin222]

achso, vorher mit

Code: Alles auswählen

touch /var/log/openvpn.log

die Datei anlegen, sorry.

mfg
balduin222

[Miksch]

...verstehe!
Das mache ich. Kann aber immer erst abends, morgen abend nicht mal dann, wieder an den PC.
Bis heute abend (fruehen Abend)!
Miksch

[Miksch]

Hallo balduin222!
Habe die openvpn.log Datei eingerichtet. Leider wird hier nichts geloogt. Die Datei bleibt leer. Das Kommando log /var/log/openvpn.log verb4 quittiert die Konsole mit "bash: command not found".
Viele Gruesse,
Miksch

[balduin222]

Hallo noch mal,

die beiden Einträge sollst du ja auch in die /etc/openvpn/server.conf eintragen!

Danach ein

Code: Alles auswählen

/etc/init.d/openvpn stop

und

Code: Alles auswählen

/etc/init.d/openvpn start

Dann steht da auch was drin.

ähem, ich seh grad, dass dein Server auf nem WinXP läuft......poste mal wie du den Tunnel auf dem Linux-Client aufbauen willst. Mehr Ausgabe erhälst du jedenfalls mit

Code: Alles auswählen

openvpn --config /pfad/zu/deiner/config --verb 3

der --verb Parameter geht bis max. 11, dann wirds aber langsam unübersichtlich, probier erstmal mit 3 und poste hier, dann sollten wir schon sehen können warum er den Tunnel nicht aufbaut.

Grüße
balduin222

[Miksch]

Guten Morgen balduin222!
Steht die 222 eigentlich als Synonym fuer Deine super schnelle Latenzzeit?;)
Heute kann ich den Inhalt leider nicht mehr posten. Ich werde heute vermutlich nicht vor Mitternacht aus dem Buero kommen. Aber morgen am fruehen Abend werde ich dann wieder an meinem "heimischen" PC sitzen koennen.
Vielen Dank fuer Deine sehr nette und gute Hilfe!!!
Viele Gruesse,
Miksch

[balduin222]

Steht die 222 eigentlich als Synonym fuer Deine super schnelle Latenzzeit?;)

klar, CL 2-2-2 Dual Channel ...

ne balduin war eben schon belegt und da brauchte ich etwas, was ich mir gut merken konnte . Was machst du denn mitternachts im Büro???

Gruß
balduin222

[Miksch]

...achso!
...ich arbeite.
Ab und zu haben wir hier sehr lange Sitzungen. Das wird heute mal wieder der Fall sein. Die gehen erst um 18 Uhr los und dann dauert es eben etwas....
Die Erfahrung hat gezeigt, dass 24 Uhr ganz realistisch ist.
Miksch

[Miksch]

Guten Abend balduin222!
Jetzt bin ich wieder zu Hause!
Der Befehl mit dem --verb3 klappte leider nicht, aber ich poste mal meine config.

Code: Alles auswählen

proto udp
dev tun
resolv-retry infinite
group nogroup
ca /home/michael/openvpn-2.0.7/easy-rsa/keys/ca.crt
cert /home/michael/openvpn-2.0.7/easy-rsa/keys/michael.crt
key /home/michael/openvpn-2.0.7/easy-rsa/keys/michael.key
ns-cert-type server
comp-lzo
Leider ist mein "Server" bis Montag nun im Urlaub.
Viele Gruesse,
Miksch

Code: Alles auswählen

[balduin222]

Hallo,

es fehlt in deiner Config der Eintrag

Code: Alles auswählen

client

! Ich hoffe, jetzt klappt es.

mfg
balduin222

[Miksch]

Hallo badluin222!
Danke fuer den Tipp! Ich werde es am Montagabend probieren. Dann melde ich mich wieder.
Viele Gruesse,
Miksch

[Miksch]

Hallo balduin222!
Der "clien" hat leider auch nichts genuetzt.
Viele Gruesse,
Miksch

[balduin222]

Der Befehl mit dem --verb3 klappte leider nicht...

Hallo,

es muss "--verb 3" heißen nicht "--verb3" Die Ausgabe brauchen wir, sonst tappen wir noch Heilig Abend im Dunkeln.

Gruß
balduin222

[Miksch]

Hallo balduin222!

sonst tappen wir noch Heilig Abend im Dunkeln.

...bloss das nicht;)! Das dauert mir dann doch zu lange.
Ich werde mich heute abend dran machen.
Viele Gruesse,
Miksch

[Miksch]

Hallo balduin222!
Es geht weiter;). Hier die Ausgabe des Befehls nach --verb 3:

Code: Alles auswählen

Tue May  2 20:09:59 2006 OpenVPN 2.0.7 i686-pc-linux [SSL] [LZO] [EPOLL] built on Apr 21 2006
Tue May  2 20:09:59 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May  2 20:09:59 2006 WARNING: file '/home/michael/openvpn-2.0.7/easy-rsa/keys/michael.key' is group or others accessible
Tue May  2 20:09:59 2006 LZO compression initialized
Tue May  2 20:09:59 2006 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May  2 20:09:59 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May  2 20:09:59 2006 Local Options hash (VER=V4): '41690919'
Tue May  2 20:09:59 2006 Expected Remote Options hash (VER=V4): '530fdded'
Tue May  2 20:09:59 2006 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Tue May  2 20:09:59 2006 UDPv4 link local: [undef]
Tue May  2 20:09:59 2006 UDPv4 link remote: 217.251.40.32:1194
Tue May  2 20:09:59 2006 TLS: Initial packet from 217.251.40.32:1194, sid=1f106d5a bfda139b
Tue May  2 20:10:02 2006 VERIFY nsCertType ERROR: /C=DE/ST=SH/L=Kiel/O=Privat/CN=OpenVPN-CA/emailAddress=oscar@bssoldesloe.de, require nsCertType=SERVER
Tue May  2 20:10:02 2006 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue May  2 20:10:02 2006 TLS Error: TLS object -> incoming plaintext read error
Tue May  2 20:10:02 2006 TLS Error: TLS handshake failed
Tue May  2 20:10:02 2006 TCP/UDP: Closing socket
Tue May  2 20:10:02 2006 SIGUSR1[soft,tls-error] received, process restarting
Tue May  2 20:10:02 2006 Restart pause, 2 second(s)
Tue May  2 20:10:04 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May  2 20:10:04 2006 Re-using SSL/TLS context
Tue May  2 20:10:04 2006 LZO compression initialized
Tue May  2 20:10:04 2006 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May  2 20:10:04 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May  2 20:10:04 2006 Local Options hash (VER=V4): '41690919'
Tue May  2 20:10:04 2006 Expected Remote Options hash (VER=V4): '530fdded'
Tue May  2 20:10:04 2006 UDPv4 link local: [undef]
Tue May  2 20:10:04 2006 UDPv4 link remote: 217.251.40.32:1194
Tue May  2 20:10:04 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:04 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:04 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:04 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:04 2006 TLS: Initial packet from 217.251.40.32:1194, sid=7b244435 882a8323
Tue May  2 20:10:05 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:05 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:05 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:05 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:05 2006 VERIFY nsCertType ERROR: /C=DE/ST=SH/L=Kiel/O=Privat/CN=OpenVPN-CA/emailAddress=oscar@bssoldesloe.de, require nsCertType=SERVER
Tue May  2 20:10:05 2006 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue May  2 20:10:05 2006 TLS Error: TLS object -> incoming plaintext read error
Tue May  2 20:10:05 2006 TLS Error: TLS handshake failed
Tue May  2 20:10:05 2006 TCP/UDP: Closing socket
Tue May  2 20:10:05 2006 SIGUSR1[soft,tls-error] received, process restarting
Tue May  2 20:10:05 2006 Restart pause, 2 second(s)
Tue May  2 20:10:07 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May  2 20:10:07 2006 Re-using SSL/TLS context
Tue May  2 20:10:07 2006 LZO compression initialized
Tue May  2 20:10:07 2006 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May  2 20:10:07 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May  2 20:10:07 2006 Local Options hash (VER=V4): '41690919'
Tue May  2 20:10:07 2006 Expected Remote Options hash (VER=V4): '530fdded'
Tue May  2 20:10:07 2006 UDPv4 link local: [undef]
Tue May  2 20:10:07 2006 UDPv4 link remote: 217.251.40.32:1194
Tue May  2 20:10:07 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)
Tue May  2 20:10:07 2006 TLS Error: Unroutable control packet received from 217.251.40.32:1194 (si=3 op=P_CONTROL_V1)

Mit den TLS Errors geht das dann unaufhoerlich weiter.
Viele Gruesse,
Miksch

[balduin222]

Hi,

da stimmt definitiv was mit den SSL Zertifikaten nicht. Ich würde die einfach auf Server-Seite nochmal neu erstellen und dann mit dem neuen Client Zertifikat nochmal probieren.

Gruß
balduin222

[Miksch]

Guten Morgen balduin222!
Ganz herzlichen Dank fuer Deine Hilfe! Ich werde es so machen wie Du vorgeschlagen hast. Danach melde ich mal ob ich Erfolg hatte oder nicht.
Allerdings wird es u. U. zwei bis drei Wochen dauern, da ich vorher nicht zu meinem "Server" komme.
Viele Gruesse,
Miksch

[balduin222]

Allerdings wird es u. U. zwei bis drei Wochen dauern,

Heilig Abend rückt immer näher ....

[Miksch]

...scheint mir auch so!
Miksch

[delario]

Hallo alle zusammen,
also ich habe genau das gleiche Problem.
ihc beiße mir jetzt schon seit Tagen die Zähne aus und komme nicht weiter.
Meine Zertifikate sind 100%ig in Iordnung, da die Verbindung über UDP funktioniert.
Nur TCP macht bei mir Probleme.
Gibt es eine Lösung für das TLS Problem?
Würde mich sehr über eine Antwort freuen und wünsche euch was.
Gruß
Delario