openvpn auf debian-Server einrichten

Duff · Beitrag von **Duff** » 29.08.2008 12:21:14

So, habe den openvpn-Dienst auf dem Server nochmals neu gestartet und nun kann ich mich vom debian-Client aus verbinden.

Von einem Windows-client aus (auf dem habe ich die gleichen key, cert und ca Sachen) funktioniert es nicht.

Bekomme folgende Fehlermeldung:

Code: Alles auswählen

Thu Oct 30 10:53:22 2008 Re-using SSL/TLS context
Thu Oct 30 10:53:22 2008 LZO compression initialized
Thu Oct 30 10:53:22 2008 WARNING: normally if you use --mssfix and/or --fragment
, you should also set --tun-mtu 1500 (currently it is 1492)
Thu Oct 30 10:53:22 2008 Control Channel MTU parms [ L:1554 D:138 EF:38 EB:0 ET:
0 EL:0 ]
Thu Oct 30 10:53:22 2008 Data Channel MTU parms [ L:1554 D:1300 EF:62 EB:135 ET:
0 EL:0 AF:3/1 ]
Thu Oct 30 10:53:22 2008 Fragmentation MTU parms [ L:1554 D:1300 EF:61 EB:135 ET
:1 EL:0 AF:3/1 ]
Thu Oct 30 10:53:22 2008 Local Options hash (VER=V4): 'a9557fc3'
Thu Oct 30 10:53:22 2008 Expected Remote Options hash (VER=V4): '3e1c4603'
Thu Oct 30 10:53:22 2008 UDPv4 link local: [undef]
Thu Oct 30 10:53:22 2008 UDPv4 link remote: 80.116.111.226:65357
Thu Oct 30 10:53:22 2008 TLS: Initial packet from 80.116.111.226:65357, sid=5d44
2614 09062c2b
Thu Oct 30 10:53:23 2008 VERIFY OK: depth=1, /C=de/ST=NRW/L=Home-Server/O=Geb_xC
3_xA4udetechnik_Name/OU=Administration/CN=Daniel_Name/emailAddress=danie
l@Name.de
Thu Oct 30 10:53:23 2008 VERIFY X509NAME ERROR: /C=de/ST=NRW/L=Home-Server/O=Geb
_xC3_xA4udetechnik-Name/OU=Administration/CN=Daniel_Name/emailAddress=da
niel@Name.de, must be server
Thu Oct 30 10:53:23 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:140
90086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Oct 30 10:53:23 2008 TLS Error: TLS object -> incoming plaintext read error
Thu Oct 30 10:53:23 2008 TLS Error: TLS handshake failed
Thu Oct 30 10:53:23 2008 TCP/UDP: Closing socket
Thu Oct 30 10:53:23 2008 SIGUSR1[soft,tls-error] received, process restarting
Thu Oct 30 10:53:23 2008 Restart pause, 2 second(s)
Thu Oct 30 10:53:25 2008 IMPORTANT: OpenVPN's default port number is now 1194, b
ased on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Thu Oct 30 10:53:25 2008 Re-using SSL/TLS context
Thu Oct 30 10:53:25 2008 LZO compression initialized
Thu Oct 30 10:53:25 2008 WARNING: normally if you use --mssfix and/or --fragment
, you should also set --tun-mtu 1500 (currently it is 1492)
Thu Oct 30 10:53:25 2008 Control Channel MTU parms [ L:1554 D:138 EF:38 EB:0 ET:
0 EL:0 ]
Thu Oct 30 10:53:25 2008 Data Channel MTU parms [ L:1554 D:1300 EF:62 EB:135 ET:
0 EL:0 AF:3/1 ]
Thu Oct 30 10:53:25 2008 Fragmentation MTU parms [ L:1554 D:1300 EF:61 EB:135 ET
:1 EL:0 AF:3/1 ]
Thu Oct 30 10:53:25 2008 Local Options hash (VER=V4): 'a9557fc3'
Thu Oct 30 10:53:25 2008 Expected Remote Options hash (VER=V4): '3e1c4603'
Thu Oct 30 10:53:25 2008 UDPv4 link local: [undef]
Thu Oct 30 10:53:25 2008 UDPv4 link remote: 80.116.111.226:65357
Thu Oct 30 10:53:25 2008 TLS: Initial packet from 80.116.111.226:65357, sid=04f4
8a56 bbc3681e
Thu Oct 30 10:53:25 2008 VERIFY OK: depth=1, /C=de/ST=NRW/L=Home-Server/O=Geb_xC
3_xA4udetechnik_Name/OU=Administration/CN=Daniel_Name/emailAddress=danie
l@Name.de
Thu Oct 30 10:53:25 2008 VERIFY X509NAME ERROR: /C=de/ST=NRW/L=Home-Server/O=Geb
_xC3_xA4udetechnik-Name/OU=Administration/CN=Daniel_Name/emailAddress=da
niel@Name.de, must be server
Thu Oct 30 10:53:25 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:140
90086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Oct 30 10:53:25 2008 TLS Error: TLS object -> incoming plaintext read error
Thu Oct 30 10:53:25 2008 TLS Error: TLS handshake failed
Thu Oct 30 10:53:25 2008 TCP/UDP: Closing socket
Thu Oct 30 10:53:25 2008 SIGUSR1[soft,tls-error] received, process restarting
Thu Oct 30 10:53:25 2008 Restart pause, 2 second(s)

Jemand eine Idee???

...stehe immer wieder vor neuen Problemen... ;-(

Soul_D · Beitrag von **Soul_D** » 02.09.2008 09:19:27

Da scheint es doch irgendwelche Probleme mit der Zertifizierung des Zertifikates geben!
Erstelle doch mal ein neues Zert. für den Rechner...
Was ich auch noch gesehen habe: Stelle mal dein Datum/Uhrzeit, da hab ich mich auch schon einmal wund gesucht!
Der OpenVPN-Server hats nicht gern, wenn man mit Zertifikaten aus der Zukunft anrückt;-)))

Nochmal zum routing!:
Bevor du auf jedem Rechner in deinem Netz die Route zum Netz-A hinzufügst, könntest du doch auch MASQUERADING aktivieren, oder ist das nicht gewünscht???

Best Regards,

Soul_D!"@§$%

Duff · Beitrag von **Duff** » 02.09.2008 17:57:42

Soul_D hat geschrieben:Da scheint es doch irgendwelche Probleme mit der Zertifizierung des Zertifikates geben!
Erstelle doch mal ein neues Zert. für den Rechner...

Habe nochmals von meinem Linux-Rechner die Sachen auf den Windows-Rechner kopiert und dort auf dem Windows-Rechner nur die Verzeichnissepfade zu den Zertifikaten geändert.
Und nun hat es endlich funktioniert.

Juhhhuuuuu!!!

Soul_D hat geschrieben: Was ich auch noch gesehen habe: Stelle mal dein Datum/Uhrzeit, da hab ich mich auch schon einmal wund gesucht!
Der OpenVPN-Server hats nicht gern, wenn man mit Zertifikaten aus der Zukunft anrückt;-)))

Wie genau meinst du dass jetzt?

Soul_D hat geschrieben: Nochmal zum routing!:
Bevor du auf jedem Rechner in deinem Netz die Route zum Netz-A hinzufügst, könntest du doch auch MASQUERADING aktivieren, oder ist das nicht gewünscht???

Habe eine "allgemeine Rückroute" auf dem Router (der Fritzbox) eingerichtet.
Aber dass mit dem MASQUERADING würde mich auch nochmal interessieren.

Duff · Beitrag von **Duff** » 03.09.2008 16:54:57

So, noch eine weitere Frage:

Auf dem Server habe ich 2 Interfaces, eth0 192.168.1.98 und eth1 .99

Habe ich beide Interfaces oben, kann ich mich vom Client aus nicht per openvpn mit dem server verbinden. Im logfile des Servers sehe die Fehlermeldung:

Code: Alles auswählen

Wed Sep  3 16:44:11 2008 80.124.64.209:64183 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Sep  3 16:44:11 2008 80.124.64.209:64183 TLS Error: TLS handshake failed
Wed Sep  3 16:44:11 2008 80.124.64.209:64183 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Sep  3 16:44:12 2008 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Wed Sep  3 16:44:13 2008 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Wed Sep  3 16:44:14 2008 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)

Fahre ich jedoch eth1 per ifdown runter, so funktioniert es.

Mein Firewall-Skript sieht so aus:

Code: Alles auswählen

#!/bin/bash
# /etc/mysysconfig/iptables_firewall.sh
# Mini-Firewall zur Absicherung des Internet-Interface

# Grundzustand herstellen
/etc/mysysconfig/iptables_reset.sh

# Variablen setzen
IPT=$(which iptables)
[ -z $IPT ] && (echo "iptables cannot be found!";exit)

MODPROBE=$(which modprobe)
[ -z $MODPROBE ] && (echo "modprobe cannot be found!";exit)

INET=eth0      # IP-Adresse 192.168.1.98 
LAN=eth1    # IP-Adresse 192.168.1.99
TUN=tun0

# Zugriff auf den SSH-Server (Port 22) aus dem Internet erlauben
$IPT -A INPUT -i $INET -p tcp --dport 22 -j ACCEPT

# OpenVPN aus dem Internet erlauben
$IPT -A INPUT -i $INET -p udp --dport 443 -j ACCEPT
$IPT -A OUTPUT -o $INET -p udp --dport 443 -j ACCEPT
$IPT -A FORWARD -i $TUN -o $INET -s 10.8.0.0/24 -d 192.168.1.0/24 -j ACCEPT
$IPT -A FORWARD -i $INET -o $TUN -s 192.168.1.0/24 -d 10.8.0.0/24 -j ACCEPT

...

Kann mir das jemand erklären?

debianforum.de

openvpn auf debian-Server einrichten

Re: openvpn auf debian-Server einrichten

Re: openvpn auf debian-Server einrichten

Re: openvpn auf debian-Server einrichten

Re: openvpn auf debian-Server einrichten