OpenVPN TLS-Handshake Problem

Online-tutorials.net Forenübersicht/Tutorials/OpenVPN TLS-Handshake Problem

Antworten Neues Thema Bottom Seite 1 

Autor | Nachricht      nächster / vorheriger Thread

groovesalad
Einsteiger

avatar

Registriert seit: 10.2007
Beiträge:4

OpenVPN TLS-Handshake Problem
Hallo liebe Leute!

Ich habe ein kleines Problem und stehe leider sehr unter Druck unser OpenVPN in GANG zu bringen cry

Netzwerkmäßig schaut es derzeit so aus:
IPTables Firewall => Port UDP 1194 (OpenVPN) für unsere 2te öffentliche IP bidirektional freigeschaltet. (lt. /var/log/messages - ACCEPT)

Zertifikate nach der onlone-tutorials Seite angelet Lachend

Meine Server.conf schaut so aus:

Code:


port 1194

# TCP oder UDP?
#proto tcp-server
proto udp
mode server
tls-server

# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# während das tap Device einen Ethernet Tunnel erstellt.
#tun or tap device
#tun is an IP tunnel,
#tap an ethernet tunnel
dev tap

#Our Server IP
ifconfig 81.XXX.XXX.XXX 255.255.255.240

#dynamic clients from 10.0.0.2-10.0.0.254
ifconfig-pool 10.18.XX.XX 10.18.XX.XX 255.255.252.0

#Die pakete werden auf dieser größe gekapselt
tun-mtu 1492
#fragment 1300
mssfix

#Paths to the certs
ca /usr/lib/ssl/vpn-ca.pem
cert /usr/lib/ssl/certs/servercert.pem
key /usr/lib/ssl/private/serverkey.pem

#Clients können miteinander kommunizieren
client-to-client

#Diffie-Hellmann Parameters
dh /usr/lib/ssl/dh1024.pem

#Same Ip in the next session
#ifconfig-pool-persist ipp.txt

#Routes the packages to the intern network, you should use iptables instead of this
push "route 10.18.0.254 255.255.252.0"

#Tests the connection with a ping like paket. (wait=120sec)
keepalive 10 120

#Authenication
#auth SHA1

#Our encryption algorithm
#cipher aes-256-ecb
#openvpn --show-ciphers for testing

#comp
comp-lzo

#Sets new rights after the connection



Die client.conf so:

Code:


client
float
dev tap

#MTU
tun-mtu 1492
#fragment 1300
mssfix

#device name, unter linux nicht mehr auskommentieren (# löschen)
#dev-node vsn-device

#tcp oder udp
proto udp

#Server IP
remote 81.223.XXX.XXX 1194

#force authentication
#WICHTIG: hier den COMMON Name vom Server Zertifikat nehmen!
tls-remote server

ca vpn-ca.pem
cert mitarbeiter_cert.pem
key mitarbeiter_key.pem

auth SHA1
#cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3 



Output LOG am Client:

Code:


Tue Oct 23 09:14:30 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Tue Oct 23 09:14:30 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Oct 23 09:14:30 2007 LZO compression initialized
Tue Oct 23 09:14:30 2007 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Tue Oct 23 09:14:30 2007 Control Channel MTU parms [ L:1566 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Oct 23 09:14:30 2007 Data Channel MTU parms [ L:1566 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Oct 23 09:14:30 2007 Local Options hash (VER=V4): 'c69db0ac'
Tue Oct 23 09:14:30 2007 Expected Remote Options hash (VER=V4): '07ee0ac2'
Tue Oct 23 09:14:30 2007 UDPv4 link local: [undef]
Tue Oct 23 09:14:30 2007 UDPv4 link remote: 81.223.XXX.XX:1194
Tue Oct 23 09:15:31 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Oct 23 09:15:31 2007 TLS Error: TLS handshake failed
Tue Oct 23 09:15:31 2007 TCP/UDP: Closing socket
Tue Oct 23 09:15:31 2007 SIGUSR1[soft,tls-error] received, process restarting
Tue Oct 23 09:15:31 2007 Restart pause, 2 second(s)



Output am Server:

Code:


Tue Oct 23 10:41:43 2007 MULTI: multi_create_instance called
Tue Oct 23 10:41:43 2007 194.166.XXX.XX:59513 Re-using SSL/TLS context
Tue Oct 23 10:41:43 2007 194.166.XXX.XX:59513 LZO compression initialized
Tue Oct 23 10:41:43 2007 194.166.XXX.XX:59513 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Tue Oct 23 10:41:43 2007 194.166.XXX.XX:59513 Control Channel MTU parms [ L:1566 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Oct 23 10:41:43 2007 194.166.XXX.XX:59513 Data Channel MTU parms [ L:1566 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Oct 23 10:41:43 2007 194.166.XXX.XX:59513 Local Options hash (VER=V4): '07ee0ac2'
Tue Oct 23 10:41:43 2007 194.166.XXX.XX:59513 Expected Remote Options hash (VER=V4): 'c69db0ac'
Tue Oct 23 10:41:43 2007 194.166.XXX.XX:59513 TLS: Initial packet from 194.166.XXX.XX:59513, sid=de974711 0fbb42a6
Tue Oct 23 10:41:46 2007 194.166.XXX.XX:59513 TLS: new session incoming connection from 194.166.XXX.XX:59513
Tue Oct 23 10:42:43 2007 194.166.XXX.XX:59513 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Oct 23 10:42:43 2007 194.166.XXX.XX:59513 TLS Error: TLS handshake failed
Tue Oct 23 10:42:43 2007 194.166.XXX.XX:59513 SIGUSR1[soft,tls-error] received, client-instance restarting



Bitte um eure Hilfe!

Danke,
Groovesalad.

23.10.2007 10:52Profil >> Zitat >> IP gespeichert 
Keywords:openvpn tls

groovesalad
Einsteiger

avatar

Registriert seit: 10.2007
Beiträge:4


Inzwischen habe ich bei meinem D-Link Heimrouter den UDP 1194 geforwardet auf meine interne IP:

Jetzt bekomme ich folgende Meldung:

Code:


Tue Oct 23 11:07:38 2007 us=239341 Local Options hash (VER=V4): 'c69db0ac'

Tue Oct 23 11:07:38 2007 us=239358 Expected Remote Options hash (VER=V4): '07ee0ac2'

Tue Oct 23 11:07:38 2007 us=239386 Socket Buffers: R=[8192->8192] S=[8192->8192]

Tue Oct 23 11:07:38 2007 us=239403 UDPv4 link local (bound): [undef]:1194

Tue Oct 23 11:07:38 2007 us=239414 UDPv4 link remote: 81.223.215.35:1194

Tue Oct 23 11:07:38 2007 us=436024 TLS: Initial packet from 81.223.215.34:1194, sid=19ff3430 c026157e

Tue Oct 23 11:07:38 2007 us=770023 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=AT/ST=Bayern/L=Munich/O=goe.de

Tue Oct 23 11:07:38 2007 us=612419 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Tue Oct 23 11:07:38 2007 us=612448 TLS Error: TLS object -> incoming plaintext read error

Tue Oct 23 11:07:38 2007 us=612470 TLS Error: TLS handshake failed

Tue Oct 23 11:07:38 2007 us=612597 TCP/UDP: Closing socket

Tue Oct 23 11:07:38 2007 us=612676 SIGUSR1[soft,tls-error] received, process restarting

Tue Oct 23 11:07:38 2007 us=612687 Restart pause, 2 second(s)

Tue Oct 23 11:07:40 2007 us=770027 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

Tue Oct 23 11:07:40 2007 us=770065 Re-using SSL/TLS context

Tue Oct 23 11:07:40 2007 us=770093 LZO compression initialized

Tue Oct 23 11:07:40 2007 us=612401 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)

Tue Oct 23 11:07:40 2007 us=612502 Control Channel MTU parms [ L:1566 D:138 EF:38 EB:0 ET:0 EL:0 ]

Tue Oct 23 11:07:40 2007 us=612934 Data Channel MTU parms [ L:1566 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]

Tue Oct 23 11:07:40 2007 us=612967 Local Options String: 'V4,dev-type tap,link-mtu 1566,tun-mtu 1524,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'

Tue Oct 23 11:07:40 2007 us=612978 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1566,tun-mtu 1524,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'

Tue Oct 23 11:07:40 2007 us=613000 Local Options hash (VER=V4): 'c69db0ac'

Tue Oct 23 11:07:40 2007 us=613017 Expected Remote Options hash (VER=V4): '07ee0ac2'

Tue Oct 23 11:07:40 2007 us=613043 Socket Buffers: R=[8192->8192] S=[8192->8192]

Tue Oct 23 11:07:40 2007 us=613057 UDPv4 link local (bound): [undef]:1194

Tue Oct 23 11:07:40 2007 us=613067 UDPv4 link remote: 81.223.215.35:1194

Tue Oct 23 11:07:40 2007 us=810741 TLS Error: Unroutable control packet received from 81.223.215.34:1194 (si=3 op=P_CONTROL_V1)

Tue Oct 23 11:07:40 2007 us=653468 TLS Error: Unroutable control packet received from 81.223.215.34:1194 (si=3 op=P_CONTROL_V1)

Tue Oct 23 11:07:40 2007 us=654177 TLS Error: Unroutable control packet received from 81.223.215.34:1194 (si=3 op=P_CONTROL_V1)

Tue Oct 23 11:07:40 2007 us=654701 TLS Error: Unroutable control packet received from 81.223.215.34:1194 (si=3 op=P_CONTROL_V1)

Tue Oct 23 11:07:40 2007 us=655151 TLS: Initial packet from 81.223.215.34:1194, sid=be4066ea 90c8fdfb

Tue Oct 23 11:07:41 2007 us=179906 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=AT/ST=Bayern/L=Munich/O=goe.de

Tue Oct 23 11:07:41 2007 us=179975 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Tue Oct 23 11:07:41 2007 us=179987 TLS Error: TLS object -> incoming plaintext read error

Tue Oct 23 11:07:41 2007 us=179996 TLS Error: TLS handshake failed

Tue Oct 23 11:07:41 2007 us=180092 TCP/UDP: Closing socket

Tue Oct 23 11:07:41 2007 us=180140 SIGUSR1[soft,tls-error] received, process restarting

Tue Oct 23 11:07:41 2007 us=180150 Restart pause, 2 second(s)

Tue Oct 23 11:07:43 2007 us=179370 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

Tue Oct 23 11:07:43 2007 us=179408 Re-using SSL/TLS context

Tue Oct 23 11:07:43 2007 us=179444 LZO compression initialized

Tue Oct 23 11:07:43 2007 us=179457 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)

Tue Oct 23 11:07:43 2007 us=179517 Control Channel MTU parms [ L:1566 D:138 EF:38 EB:0 ET:0 EL:0 ]

Tue Oct 23 11:07:43 2007 us=179839 Data Channel MTU parms [ L:1566 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]

Tue Oct 23 11:07:43 2007 us=179870 Local Options String: 'V4,dev-type tap,link-mtu 1566,tun-mtu 1524,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'

Tue Oct 23 11:07:43 2007 us=179881 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1566,tun-mtu 1524,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'

Tue Oct 23 11:07:43 2007 us=179904 Local Options hash (VER=V4): 'c69db0ac'

Tue Oct 23 11:07:43 2007 us=179922 Expected Remote Options hash (VER=V4): '07ee0ac2'

Tue Oct 23 11:07:43 2007 us=179948 Socket Buffers: R=[8192->8192] S=[8192->8192]

Tue Oct 23 11:07:43 2007 us=22287 UDPv4 link local (bound): [undef]:1194

Tue Oct 23 11:07:43 2007 us=22314 UDPv4 link remote: 81.223.215.35:1194

Tue Oct 23 11:07:43 2007 us=218233 TLS Error: Unroutable control packet received from 81.223.215.34:1194 (si=3 op=P_CONTROL_V1)

Tue Oct 23 11:07:43 2007 us=61199 TLS Error: Unroutable control packet received from 81.223.215.34:1194 (si=3 op=P_CONTROL_V1)

Tue Oct 23 11:07:43 2007 us=61664 TLS Error: Unroutable control packet received from 81.223.215.34:1194 (si=3 op=P_CONTROL_V1)

Tue Oct 23 11:07:43 2007 us=62563 TLS Error: Unroutable control packet received from 81.223.215.34:1194 (si=3 op=P_CONTROL_V1)

Tue Oct 23 11:07:44 2007 us=204047 TCP/UDP: Closing socket

Tue Oct 23 11:07:44 2007 us=46438 SIGTERM[hard,] received, process exiting




Bitte um Ihre Hilfe!

Vielen Dank Lachend

Dieser Beitrag wurde zuletzt am 12.09.2008 11:29 von groovesalad editiert.



23.10.2007 11:09Profil >> Zitat >> IP gespeichert 

Simon
Online-tutorials.net Administrator

avatar

Registriert seit: 01.1970
Wohnort:Dornbirn
Beiträge:1181


Hallo groovesalad,

ich denke das Zertifikat hat ein Fehler.

Code:


#force authentication
#WICHTIG: hier den COMMON Name vom Server Zertifikat nehmen!
tls-remote server 



ist der common name vom server cert wirklich server?
-------------------

http://www.online-tutorials.net/wiki/funktionsname

Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials



23.10.2007 17:18Homepage >> icq status >>Profil >> Zitat >> IP gespeichert 
Keywords:Zertifikat, OpenVPN

groovesalad
Einsteiger

avatar

Registriert seit: 10.2007
Beiträge:4


Hallo Simon!

Vielen Dank erstmal für deine Antwort.
Inzwischen hat sich wieder einiges getan.

Meine Serverconfig schaut jetzt so aus:

server.conf:

Code:


# lokale Adresse, auf welcher der VPN hört
local 10.16.34.51
# tcp oder udp?
proto udp
dev tap0
# Bridge-Parameter
# Eigene IP 10.1.0.4
# Client erhält IP-adresse aus 10.1.0.40-80
server-bridge 10.16.34.51 255.255.255.0 10.16.34.52 10.16.34.54
# Zertifikate
ca certs/ca.crt
cert certs/server.crt
key certs/server.key
# Diffie-Hellman-Parameter
dh certs/dh1024.pem
# Zuordnung von IP-Adressen speichern
# Setzen von Routen
push "route 10.16.34.100 255.255.255.0"
# Default-Route
push "redirect-gateway"
# Verschlüsselungsalgorithmus
cipher BF-CBC
#user nobody
#group nobody
client-to-client
verb 3



client.conf:

Code:


client 
dev tap
proto udp
dev tap0
# IP-Adresse und Port des VPN-Gateways
remote 10.16.34.51 1194

cipher BF-CBC

ca ca.crt
cert client1.crt
key client1.key



Output am Server:

Code:


Thu Oct 25 11:06:47 2007 10.16.34.36:1194 [vpnclient] Peer Connection Initiated with 10.16.34.36:1194
Thu Oct 25 11:06:48 2007 vpnclient/10.16.34.36:1194 PUSH: Received control message: 'PUSH_REQUEST'
Thu Oct 25 11:06:48 2007 vpnclient/10.16.34.36:1194 SENT CONTROL [vpnclient]: 'PUSH_REPLY,route 10.16.34.100 255.255.255.0,redirect-gateway,route-gateway 10.16.34.51,ifconfig 10.16.34.52 255.255.255.0' (status=1)
Thu Oct 25 11:07:50 2007 vpnclient/10.16.34.36:1194 MULTI: Learn: 00:ff:e2:a2:72:fe -> vpnclient/10.16.34.36:1194
Thu Oct 25 11:16:04 2007 event_wait : Interrupted system call (code=4)
Thu Oct 25 11:16:04 2007 TCP/UDP: Closing socket
Thu Oct 25 11:16:04 2007 Closing TUN/TAP interface
Thu Oct 25 11:16:04 2007 SIGINT[hard,] received, process exiting



Output am Client:

Code:


Thu Oct 25 09:07:24 2007 [server] Peer Connection Initiated with 10.16.34.51:1194
Thu Oct 25 09:07:25 2007 WARNING: --remote address [10.16.34.51] conflicts with --ifconfig subnet [10.16.34.52, 255.255.255.0] -- local and remote addresses cannot be inside of the --ifconfig subnet. (silence this warning with --ifconfig-nowarn)
Thu Oct 25 09:07:25 2007 TAP-WIN32 device [LAN-Verbindung 5] opened: \\.\Global\{E2A272FE-6CE0-4C42-8813-132822B031FB}.tap
Thu Oct 25 09:07:25 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.16.34.52/255.255.255.0 on interface {E2A272FE-6CE0-4C42-8813-132822B031FB} [DHCP-serv: 10.16.34.0, lease-time: 31536000]
Thu Oct 25 09:07:25 2007 Successful ARP Flush on interface [3] {E2A272FE-6CE0-4C42-8813-132822B031FB}
Thu Oct 25 09:07:55 2007 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Thu Oct 25 09:07:55 2007 Warning: address 10.16.34.100 is not a network address in relation to netmask 255.255.255.0
Thu Oct 25 09:07:55 2007 ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter.   [if_index=2]
Thu Oct 25 09:07:55 2007 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Thu Oct 25 09:09:11 2007 SIGTERM[hard,] received, process exiting


Soweit funtkioniert alles prächtigt, nur ich bekomme keine DHCP Adresse cry

Aber immerhin ist das keine OpenVPN Icon schon mal grün Lachend

Bitte um eure Hilfe.

Liebe Grüße aus dem verschneiten Tirol,
groovesalad :)

25.10.2007 09:21Profil >> Zitat >> IP gespeichert 

Simon
Online-tutorials.net Administrator

avatar

Registriert seit: 01.1970
Wohnort:Dornbirn
Beiträge:1181

Netzwerkadresse
Die Netzwerkadresse der Route stimmt nicht:

Code:


push "route 10.16.34.0 255.255.255.0" 



Was meinst du mit DHCP Adresse? Wer soll eine Adresse bekommen?

Ich bin mit OpenVPN ausser übung, aber ich glaube du solltest die IPs der Client nicht im gleichen Netz, wie dem vom Server halten.

Dieser Beitrag wurde zuletzt am 25.10.2007 22:12 von Simon editiert.


-------------------

http://www.online-tutorials.net/wiki/funktionsname

Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials

Firefox - besser durch das Web!



25.10.2007 22:07Homepage >> icq status >>Profil >> Zitat >> IP gespeichert 
Keywords:Netzwerkadresse, OpenVPN
                   nächster / vorheriger Thread

Antworten Neues Thema Top Seite 1