VPN Problem mit TLS und evtl. zertifikaten

Online-tutorials.net Forenübersicht/Tutorials/VPN Problem mit TLS und evtl. zertifikaten

Antworten Neues Thema Bottom Seite 1 

Autor | Nachricht      nächster / vorheriger Thread

gelöscht
Einsteiger

avatar

Registriert seit: 12.2008
Beiträge:1

VPN Problem mit TLS und evtl. zertifikaten
Servus,
bin schon seit mehreren Tagen dabei OpenVpn zum laufen zu bringen.
benutzte Debian lenny amd64 und Laptop hat vista installiert mit dem OpenVpn Client.
Hier mal die Configs erstmals:

Code:

# Port
port 1194

# TCP oder UDP?
#proto tcp-server
proto udp
mode server
tls-server

# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# während das tap Device einen Ethernet Tunnel erstellt.
#tun or tap device
#tun is an IP tunnel,
#tap an ethernet tunnel
dev tap

#Our Server IP
ifconfig 10.0.0.1 255.255.255.0

#dynamic clients from 10.0.0.2-10.0.0.254
ifconfig-pool 10.0.0.2 10.0.0.254

#Die pakete werden auf dieser größe gekapselt
tun-mtu 1492
#fragment 1300
mssfix

#Paths to the certs
ca /etc/openvpn/certs/vpn-ca.pem
cert /etc/openvpn/certs/servercert.pem
key /etc/openvpn/certs/serverkey.pem

#Clients können miteinander kommunizieren
#client-to-client

#Diffie-Hellmann Parameters
dh /etc/openvpn/certs/dh1024.pem

#Same Ip in the next session
ifconfig-pool-persist ipp.txt

#Routes the packages to the intern network, you should use iptables instead of this
#push "route 192.168.0.0 255.255.255.0"

#Tests the connection with a ping like paket. (wait=120sec)
keepalive 10 120

#Authenication
auth SHA1

#Our encryption algorithm
#cipher aes-256-ecb
#openvpn --show-ciphers for testing

#comp
comp-lzo

#Sets new rights after the connection
user nobody
group nogroup

#We need this because of user nobody/group nobody.
persist-key
persist-tun

#Logging 0, (testing:5)
verb 3



client config:

Code:

client
float
dev tap


#MTU
tun-mtu 1500
#fragment 1300
mssfix

#device name, unter linux nicht mehr auskommentieren (# löschen)
#dev-node vsn-device

#tcp oder udp
proto udp

#Server IP
remote 192.168.0.10 1194

#force authentication
#WICHTIG: hier den COMMON Name vom Server Zertifikat nehmen!
#tls-remote server

ca vpn-ca.pem
cert servercert.pem
key serverkey.pem

auth SHA1
#cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3

# Nach dem Verbindungsaufbau wird eine Route zum lokalen Netz vom Server aus aufgebaut
# AUSKOMMENTIERT
# Beispiel: Subnetz 192.168.2.0/24
#route 192.168.2.0 255.255.255.0

# Default route ueber VPN
# AUSKOMMENTIERT
#route remote_host 255.255.255.255 net_gateway
#route 0.0.0.0 0.0.0.0 vpn_gateway 



und hier mal das was mein Laptop ausspuckt:

Abbildung

Bild



und der server:

Code:

Tue Dec 30 15:02:17 2008 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Tue Dec 30 15:02:17 2008 192.168.0.7:60827 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Dec 30 15:02:17 2008 192.168.0.7:60827 TLS Error: TLS handshake failed
Tue Dec 30 15:02:17 2008 192.168.0.7:60827 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Dec 30 15:02:17 2008 MULTI: multi_create_instance called
Tue Dec 30 15:02:17 2008 192.168.0.7:64422 Re-using SSL/TLS context
Tue Dec 30 15:02:17 2008 192.168.0.7:64422 LZO compression initialized
Tue Dec 30 15:02:17 2008 192.168.0.7:64422 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Tue Dec 30 15:02:17 2008 192.168.0.7:64422 Control Channel MTU parms [ L:1566 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Dec 30 15:02:17 2008 192.168.0.7:64422 Data Channel MTU parms [ L:1566 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Dec 30 15:02:17 2008 192.168.0.7:64422 Local Options hash (VER=V4): '07ee0ac2'
Tue Dec 30 15:02:17 2008 192.168.0.7:64422 Expected Remote Options hash (VER=V4): 'c69db0ac'
Tue Dec 30 15:02:17 2008 192.168.0.7:64422 TLS: Initial packet from 192.168.0.7:64422, sid=124a327b de74bafd
Tue Dec 30 15:02:18 2008 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)



30.12.2008 19:54Profil >> Zitat >> IP gespeichert 
Keywords:VPN Debian Zertifikate tls error

glua
Online-tutorials.net Team

avatar

Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389


so wie's in der fehlermeldung steht, hast du beim unterschreiben der zertifikate was falsch gemacht bzw. server- und ca-zertifikate verwechselt. evtl. noch mal alle zerts löschen, und von vorne beginnen (ca erstellen, server-key erstellen, server-cert unterschreiben, client-key, client-cert unterschreiben).

weiters: warum verwendest du die servercerts in der server und CLIENT config?

31.12.2008 19:05Homepage >> icq status >>Profil >> Zitat >> IP gespeichert 
                   nächster / vorheriger Thread

Antworten Neues Thema Top Seite 1