OPENVPN - bekomme es nicht hin

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
J

Josef Drei

Neuer User
Mitglied seit
16 Nov 2008
Beiträge
28
Punkte für Reaktionen
0
Punkte
0
Hallo Gemeinde,

nachdem ich auf meiner gefreetzten W920 openvpn 2 Jahre erfolgreich genutzt habe, hat der Router ausgedient und ein 7390 ist gekommen.

Leider bekomme ich Openvpn nicht zum laufen.

Eckdaten:

7390 AVM
aktueller Freetz Trunk
kein Virtual IP

1. Phänomen: Nach der Installation konnte ich VPN nicht starten da der static key nicht generiert wurde.
Diesen habe ich per hand generiert über Rudi Shell.

2. Nachdem jetzt der Dienst startet, bekomme ich Fehlermeldungen mit denen ich nichts anfagen kann.

Hier die Log vom Client:

Fri Jun 17 23:10:38 2011 OpenVPN 2.1_rc22 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 20 2009
Fri Jun 17 23:10:38 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Fri Jun 17 23:10:38 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 17 23:10:38 2011 Control Channel Authentication: using 'c:/keys/static.key' as a OpenVPN static key file
Fri Jun 17 23:10:38 2011 UDPv4 link local (bound): [undef]:1194
Fri Jun 17 23:10:38 2011 UDPv4 link remote: 79.253.0.136:1194
Fri Jun 17 23:10:38 2011 TLS Error: Unroutable control packet received from 79.253.0.136:1194 (si=3 op=P_ACK_V1)
Fri Jun 17 23:10:39 2011 TLS Error: Unroutable control packet received from 79.253.0.136:1194 (si=3 op=P_CONTROL_V1)
Zum Vergrößern anklicken....

Hier die Log vom Server:

NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Diffie-Hellman initialized with 1024 bit key
WARNING: file '/tmp/flash/openvpn/box.key' is group or others accessible
WARNING: file '/tmp/flash/openvpn/static.key' is group or others accessible
Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
TLS-Auth MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:0 ]
Socket Buffers: R=[132096->131072] S=[132096->131072]
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
/sbin/ifconfig tun0 192.168.200.1 pointopoint 192.168.200.5 mtu 1500
/sbin/route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.200.5
Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
chroot to '/tmp/openvpn' and cd to '/' succeeded
GID set to openvpn
UID set to openvpn
UDPv4 link local (bound): [undef]
UDPv4 link remote: [undef]
MULTI: multi_init called, r=256 v=256
IFCONFIG POOL: base=192.168.200.0 size=2, ipv6=0
Initialization Sequence Completed
MULTI: multi_create_instance called
2.205.255.102:1194 Re-using SSL/TLS context
2.205.255.102:1194 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:0 ]
2.205.255.102:1194 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
2.205.255.102:1194 TLS: Initial packet from [AF_INET]2.205.255.102:1194, sid=a366ebbd bda2fc7f
2.205.255.102:1194 Replay-window backtrack occurred [1]
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
2.205.255.102:1194 TLS: new session incoming connection from [AF_INET]2.205.255.102:1194
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
2.205.255.102:1194 TLS: new session incoming connection from [AF_INET]2.205.255.102:1194
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
2.205.255.102:1194 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivit

2.205.255.102:1194 TLS Error: TLS handshake failed
2.205.255.102:1194 SIGUSR1[soft,tls-error] received, client-instance restarting
Zum Vergrößern anklicken....

Meine Server Config:

# OpenVPN 2.1 Config, Fri Jun 17 22:42:28 CEST 2011
proto udp
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
mode server
ifconfig-pool 192.168.200.2 192.168.200.5
push "route 192.168.200.1"
route 192.168.200.0 255.255.255.0
ifconfig 192.168.200.1 192.168.200.5
push "route 192.168.0.0 255.255.255.0"
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
Zum Vergrößern anklicken....

meine Client Config:

port 1194
proto udp
dev tap

#client einstellungen
tls-client
ns-cert-type server
remote bei-mir-zu-hause.dyndns.org 1194

#authentifizierung
ca c:/keys/ca.crt
cert c:/keys/client01.crt
key c:/keys/client01.key
tls-remote fritzbox
tls-auth c:/keys/static.key 1
auth SHA1
cipher AES-256-CBC
tun-mtu 1500
pull
Zum Vergrößern anklicken....

Ich habe mit der AVM Firewall (Freetz) eine Portfreigabe auf 0.0.0.0 gemacht. Das sollte doc reichen, Virtual IP ist ja nach meinem jetztigen Sachstand nicht nötig.

Was bedeuten die zwei Warninngs Kursiv dargestellt?

diese kommen auch über die deamon abfrage in der Rudi-Shell

Fri Jun 17 23:19:02 2011 OpenVPN 2.2.0 mips-linux [SSL] [LZO2] [EPOLL] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 10 2011
Fri Jun 17 23:19:02 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 17 23:19:02 2011 Diffie-Hellman initialized with 1024 bit key
Fri Jun 17 23:19:02 2011 WARNING: file '/tmp/flash/openvpn/box.key' is group or others accessible
Fri Jun 17 23:19:02 2011 WARNING: file '/tmp/flash/openvpn/static.key' is group or others accessible
Fri Jun 17 23:19:02 2011 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Fri Jun 17 23:19:02 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 17 23:19:02 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 17 23:19:02 2011 TLS-Auth MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Jun 17 23:19:02 2011 Socket Buffers: R=[132096->131072] S=[132096->131072]
Fri Jun 17 23:19:02 2011 TCP/UDP: Socket bind failed on local address [undef]: Address already in use
Fri Jun 17 23:19:02 2011 Exiting
Zum Vergrößern anklicken....

Wäre schön wenn mir jeman weiterhelfen könnte.
 
Ich bin mir nicht sicher, aber kann man denn ein tap-Device mit einem tun-Device verbinden? Wenn ich OpenVPNs baue, dann immer mit dem gleichen Device-Typ. Ich habe bei FritzBoxen-OpenVPN immer nur tun-Devices genutzt.

Nur eine Idee...

Hawedieehre.
Fant.
 
Sorry, hab das natürlich angepasst.

folgendes kommt dann als Fehler.

UDPv4 link remote: 79.253.3.70:1194
Sat Jun 18 09:48:35 2011 TLS Error: Unroutable control packet received from 79.253.3.70:1194 (si=3 op=P_CONTROL_V1)
Sat Jun 18 09:48:36 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sat Jun 18 09:48:36 2011 TLS Error: TLS object -> incoming plaintext read error
Sat Jun 18 09:48:36 2011 TLS Error: TLS handshake failed
Zum Vergrößern anklicken....

Wenn ich das richtig verstehe wird das falsche Certifikat übergeben.
Wie kommt so etwas zu stande?
Die Certifikate habe ich überprüft bzw. erneuert. Gleicher Fehler.
 
Der von Dir beschriebene Fehler tritt oft dann auf, wenn der Pfad zu den Zertifikaten falsch ist. Dabei ist der Pfad selbst, die Groß- und Kleinschreibung sowie der Name der Zertifikate wichtig.

Sind diese alle korrekt, dann prüfe mal, ob bei den Files auf der FritzBox vielleicht ein <STRG-M>, das ist das DOSen-CR+LF, am Ende jeder Zeile ist. Sollte das dran sein, dann machen manche OpenVPN-Versionen Ärger. Wenn ja, dann einfach die Files auf einen Linux-Hobel Deiner Wahl kopieren und mit dos2unix oder fromdos ins Linux-Format wandeln. Dann wieder zurück zur Box kopieren und OpenVPN neu starten.

Ich hatte vor kurzem das gleiche Problem auf meinem iPhone, da war dann erst der Pfad verkehrt (/ statt \) und dann die CR-LFs am Ende. Einfach wie oben geändert -> rennt wunderbar.

Hoffe, das hilft.

Hawedieehre.
Fant.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 866 (Mitglieder: 48, Gäste: 818)

Neueste Beiträge

Statistik des Forums

Themen
246,039
Beiträge
2,244,928
Mitglieder
373,445
Neuestes Mitglied
testbm
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück