[Gelöst] OpenVPN mit Zertifikaten hängt beim Verbindungsaufbau

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

Hunter06

Neuer User
Mitglied seit
20 Jun 2008
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Hi,
Mit statischen Keys lief das schon alles super. Wollte jetzt mit Zertifikaten eine Verbindung aufbauen. Klappt aber nicht.

Server: Fritzbox 7170
Client: Windows 7
Zertifikate unter Windows mittels easy-rsa erstellt:

Server

Code: 
#  OpenVPN 2.1 Config, Mon Nov 12 09:14:15 CET 2012
proto udp
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
crl-verify /etc/crl.pem
tls-server
port 1194
ifconfig 10.0.0.1 10.0.0.2
mode server
ifconfig-pool 10.0.0.3 10.0.0.8
push "route 10.0.0.1"
route 10.0.0.0 255.255.255.0
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Client
Code: 
remote meinserver
proto udp
port 1194
dev tun
ifconfig 10.0.0.2 10.0.0.1
tls-client
ca ca.crt
cert client1.crt
key client1.key
pull
tun-mtu 1500
verb 3
cipher BF-CBC
comp-lzo
persist-tun
persist-key

Verbindungsaufbau

Code: 
Mon Nov 12 10:11:41 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Mon Nov 12 10:11:41 2012 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Mon Nov 12 10:11:41 2012 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Nov 12 10:11:41 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Nov 12 10:11:42 2012 LZO compression initialized
Mon Nov 12 10:11:42 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Nov 12 10:11:42 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Nov 12 10:11:45 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 12 10:11:45 2012 Local Options hash (VER=V4): '41690919'
Mon Nov 12 10:11:45 2012 Expected Remote Options hash (VER=V4): '530fdded'
Mon Nov 12 10:11:45 2012 UDPv4 link local (bound): [undef]:1194
Mon Nov 12 10:11:45 2012 UDPv4 link remote: xx.xx.xx.xx:1194
Mon Nov 12 10:11:45 2012 TLS: Initial packet from xx.xx.xx.xx:1194, sid=7df52940 d16962f4
Mon Nov 12 10:11:46 2012 VERIFY OK: depth=1, /C=xx/ST=xx/L=xxx/O=OpenVPN/OU=OpenVPN/CN=Wurzelzertifikat/name=xxxx/[email protected]
Mon Nov 12 10:11:46 2012 VERIFY OK: depth=0, /C=xx/ST=xx/L=xxx/O=OpenVPN/OU=OpenVPN/CN=OpenVPN-Server/name=xxxx/[email protected]

Danach kommt ein Timeout und es geht von vorne los.
Was mach ich falsch?

Danke
Hunter06
 
Zuletzt bearbeitet:
Was sagt denn der Server beim Aufbau? Stimmt dort z.B. das Datum?
 
MaxMuster schrieb:
Was sagt denn der Server beim Aufbau? Stimmt dort z.B. das Datum?
Zum Vergrößern anklicken....

Auf dem Server stimmt das Datum und die Uhrzeit:


Code: 
Nov 12 11:46:42 fritz authpriv.info dropbear[2113]: Child connection from xx.xxx.xx.xxx:51879
Nov 12 11:46:44 fritz daemon.notice openvpn[2112]: OpenVPN 2.2.2 mipsel-linux [SSL] [LZO2] [MH] [IPv6 payload 20110424-2 (2.2RC2)] built on May 21 2012
Nov 12 11:46:44 fritz daemon.warn openvpn[2112]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: Diffie-Hellman initialized with 1024 bit key
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: Socket Buffers: R=[110592->131072] S=[110592->131072]
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: TUN/TAP device tun0 opened
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: TUN/TAP TX queue length set to 100
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.2
Nov 12 11:46:45 fritz daemon.notice openvpn[2112]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Nov 12 11:46:45 fritz daemon.notice openvpn[2118]: chroot to '/tmp/openvpn' and cd to '/' succeeded
Nov 12 11:46:45 fritz daemon.notice openvpn[2118]: GID set to openvpn
Nov 12 11:46:45 fritz daemon.notice openvpn[2118]: UID set to openvpn
Nov 12 11:46:45 fritz daemon.notice openvpn[2118]: UDPv4 link local (bound): [undef]
Nov 12 11:46:45 fritz daemon.notice openvpn[2118]: UDPv4 link remote: [undef]
Nov 12 11:46:45 fritz daemon.notice openvpn[2118]: MULTI: multi_init called, r=256 v=256
Nov 12 11:46:45 fritz daemon.notice openvpn[2118]: IFCONFIG POOL: base=10.0.0.0 size=3, ipv6=0
Nov 12 11:46:45 fritz daemon.notice openvpn[2118]: Initialization Sequence Completed
Nov 12 11:46:45 fritz user.notice EXTERNAL: Starting openvpn ... done.
Nov 12 11:46:47 fritz user.notice EXTERNAL: Starting external finished.
Nov 12 11:46:52 fritz authpriv.notice dropbear[2113]: Pubkey auth succeeded for 'root' with key md5  from xx.xxx.xx.xxx:51879
Nov 12 11:47:02 fritz daemon.notice openvpn[2118]: MULTI: multi_create_instance called
Nov 12 11:47:02 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 Re-using SSL/TLS context
Nov 12 11:47:02 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 LZO compression initialized
Nov 12 11:47:02 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Nov 12 11:47:02 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Nov 12 11:47:02 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 TLS: Initial packet from [AF_INET]xx.xxx.xx.xxx:1194, sid=4427d0ac 6c09753b
Nov 12 11:47:04 fritz daemon.err openvpn[2118]: xx.xxx.xx.xxx:1194 CRL: cannot read CRL from file /etc/crl.pem
Nov 12 11:47:04 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 Exiting
Nov 12 11:47:04 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 /sbin/route del -net 10.0.0.0 netmask 255.255.255.0
Nov 12 11:47:04 fritz daemon.warn openvpn[2118]: xx.xxx.xx.xxx:1194 ERROR: Linux route delete command failed: could not execute external program
Nov 12 11:47:04 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 Closing TUN/TAP interface
Nov 12 11:47:04 fritz daemon.notice openvpn[2118]: xx.xxx.xx.xxx:1194 /sbin/ifconfig tun0 0.0.0.0
Nov 12 11:47:04 fritz daemon.warn openvpn[2118]: xx.xxx.xx.xxx:1194 Linux ip addr del failed: could not execute external program

Ich frage mich, warum er die CRL aus /etc nimmt? Ist das nicht die Datei mit den zurückgezogenen Zertifikaten? Die ist bei mir eigentlich unter /tmp/flash/openvpn/crl.pem.
Das /etc ist readonly Filesystem.
 
Zuletzt bearbeitet:
Hast du das vielleicht "von Hand" eingetragen (in den Experteneinstellungen)? Welche Freetz-Version nutzt du?

EDIT: Nee, "/etc" stimmt schon. Die Datei wird nach /tmp/openvpn/etc kopiert, weil diese Datei nach dem "chroot" eingelesen wird.
Und nach dem chroot wird etwas in "/tmp/openvpn/etc" als "/etc" angesprochen...

Prüfst du bitte mal, ob die Datei in /tmp/openvpn/etc liegt?!?
 
Zuletzt bearbeitet:
MaxMuster schrieb:
Hast du das vielleicht "von Hand" eingetragen (in den Experteneinstellungen)? Welche Freetz-Version nutzt du?

EDIT: Nee, "/etc" stimmt schon. Die Datei wird nach /tmp/openvpn/etc kopiert, weil diese Datei nach dem "chroot" eingelesen wird.
Und nach dem chroot wird etwas in "/tmp/openvpn/etc" als "/etc" angesprochen...

Prüfst du bitte mal, ob die Datei in /tmp/openvpn/etc liegt?!?
Zum Vergrößern anklicken....


Das chroot habe ich eben auch überlesen ;-) Die Datei war da nicht drin. Hab sie jetzt manuell von /tmp/flash/openvpn rüberkopiert!.

Jetzt läuft es.

Danke!!
 
Gerne. Eigentlich sollte aber auch das Startskript die Datei dorthin kopieren?!?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 420 (Mitglieder: 2, Gäste: 418)

Neueste Beiträge

Statistik des Forums

Themen
246,341
Beiträge
2,250,494
Mitglieder
373,998
Neuestes Mitglied
MacDeath
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück