OpenVPN Problem - Bekomme keine Verbindung zu Stande

mikaX

Neuer User
Mitglied seit
22 Sep 2007
Beiträge
21
Punkte für Reaktionen
0
Punkte
0
Guten Morgen alle zusammen,
ich versuche gerade eine lokale VPN Verbindung von meinem Windows 7 PC, zu meiner mit Freetz bespielten Fritzbox 7170 herzustellen! Was mir aber irgendwie nicht gelingt, ich bitte euch daher bitte einmal meine Config anzuschauen!

Ausgabe vom Windows PC bei versuch die Verbindung aufzubauen:
Sat Jun 26 07:45:02 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] bui
lt on Dec 11 2009
Sat Jun 26 07:45:02 2010 WARNING: Make sure you understand the semantics of --tl
s-remote before using it (see the man page).
Sat Jun 26 07:45:02 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
her to call user-defined scripts or executables
Sat Jun 26 07:45:02 2010 Control Channel Authentication: using 'static.key' as a
OpenVPN static key file
Sat Jun 26 07:45:02 2010 Outgoing Control Channel Authentication: Using 160 bit
message hash 'SHA1' for HMAC authentication
Sat Jun 26 07:45:02 2010 Incoming Control Channel Authentication: Using 160 bit
message hash 'SHA1' for HMAC authentication
Sat Jun 26 07:45:02 2010 Control Channel MTU parms [ L:1589 D:166 EF:66 EB:0 ET:
0 EL:0 ]
Sat Jun 26 07:45:02 2010 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32
EL:0 ]
Sat Jun 26 07:45:02 2010 Local Options hash (VER=V4): '441293dd'
Sat Jun 26 07:45:02 2010 Expected Remote Options hash (VER=V4): '404c7b3a'
Sat Jun 26 07:45:02 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jun 26 07:45:02 2010 UDPv4 link local: [undef]
Sat Jun 26 07:45:02 2010 UDPv4 link remote: 192.168.1.2:1194

Client.ovpn
remote 192.168.1.2 1194
proto udp
dev tap
tls-client
ns-cert-type server
cd C:\\VPN
ca ca.crt
cert client01.crt
key client01.key
tls-auth static.key
tls-remote fritzbox
auth SHA1
cipher AES-256-CBC
tun-mtu 1500
mssfix
nobind
pull
verb 3

server.conf
 

Anhänge

  • Unbenannt.jpg
    Unbenannt.jpg
    64.4 KB · Aufrufe: 32
Zuletzt bearbeitet:
Die tlsauth-Zeile wurde ohne "Direction" eingegeben. Beim Client muss dass heißen
Code:
tls-auth static.key [B]1[/B]

Der Zertifikats-Name der Box lautet "fritzbox"?
Warum nutzt du "tap"?? Auch wenn es scheinbar keiner glaubt: Das ist fast nie sinnvoll, geschweige denn nötig ;-). Vor allem, wenn dann noch ein zweites IP-Netz darauf gelegt wird...

Jörg
 
Hi, also das mit der 1 "tls-auth static.key 1" hat mich schon etwas weitergebracht!

[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
Code:
Sun Jun 27 05:42:48 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] bui
lt on Dec 11 2009
Sun Jun 27 05:42:48 2010 WARNING: Make sure you understand the semantics of --tl
s-remote before using it (see the man page).
Sun Jun 27 05:42:48 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
her to call user-defined scripts or executables
Sun Jun 27 05:42:48 2010 Control Channel Authentication: using 'static.key' as a
 OpenVPN static key file
Sun Jun 27 05:42:48 2010 Outgoing Control Channel Authentication: Using 160 bit
message hash 'SHA1' for HMAC authentication
Sun Jun 27 05:42:48 2010 Incoming Control Channel Authentication: Using 160 bit
message hash 'SHA1' for HMAC authentication
Sun Jun 27 05:42:48 2010 Control Channel MTU parms [ L:1589 D:166 EF:66 EB:0 ET:
0 EL:0 ]
Sun Jun 27 05:42:48 2010 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32
 EL:0 ]
Sun Jun 27 05:42:48 2010 Local Options hash (VER=V4): '1f958c04'
Sun Jun 27 05:42:48 2010 Expected Remote Options hash (VER=V4): '1490c6e9'
Sun Jun 27 05:42:48 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Jun 27 05:42:48 2010 UDPv4 link local: [undef]
Sun Jun 27 05:42:48 2010 UDPv4 link remote: 192.168.1.2:1194
Sun Jun 27 05:42:48 2010 TLS: Initial packet from 192.168.1.2:1194, sid=14d435bc
 b2ccd1bf
Sun Jun 27 05:42:51 2010 VERIFY OK: depth=1, /C=DE/ST=HIER/L=KEINE/O=POMMES/CN=c
a/[email protected]
Sun Jun 27 05:42:51 2010 VERIFY OK: nsCertType=SERVER
Sun Jun 27 05:42:51 2010 VERIFY X509NAME OK: /C=DE/ST=HIER/O=POMMES/CN=fritzbox/
[email protected]
Sun Jun 27 05:42:51 2010 VERIFY OK: depth=0, /C=DE/ST=HIER/O=POMMES/CN=fritzbox/
[email protected]
Sun Jun 27 05:42:53 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized
with 256 bit key
Sun Jun 27 05:42:53 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Sun Jun 27 05:42:53 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized
with 256 bit key
Sun Jun 27 05:42:53 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Sun Jun 27 05:42:53 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
56-SHA, 2048 bit RSA
Sun Jun 27 05:42:53 2010 [fritzbox] Peer Connection Initiated with 192.168.1.2:1
194
Sun Jun 27 05:42:56 2010 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Sun Jun 27 05:42:56 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.1
68.200.1,route-gateway 192.168.200.1,ping 10,ping-restart 120,ifconfig 192.168.2
00.100 255.255.255.0'
Sun Jun 27 05:42:56 2010 OPTIONS IMPORT: timers and/or timeouts modified
Sun Jun 27 05:42:56 2010 OPTIONS IMPORT: --ifconfig/up options modified
Sun Jun 27 05:42:56 2010 OPTIONS IMPORT: route options modified
Sun Jun 27 05:42:56 2010 OPTIONS IMPORT: route-related options modified
Sun Jun 27 05:42:56 2010 ROUTE default_gateway=192.168.1.1
Sun Jun 27 05:42:56 2010 TAP-WIN32 device [LAN-Verbindung 7] opened: \\.\Global\
{BD7EE87E-6850-456A-9896-35A524AE5898}.tap
Sun Jun 27 05:42:56 2010 TAP-Win32 Driver Version 9.6
Sun Jun 27 05:42:56 2010 TAP-Win32 MTU=1500
Sun Jun 27 05:42:56 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
92.168.200.100/255.255.255.0 on interface {BD7EE87E-6850-456A-9896-35A524AE5898}
 [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Sun Jun 27 05:42:56 2010 Successful ARP Flush on interface [200] {BD7EE87E-6850-
456A-9896-35A524AE5898}
Sun Jun 27 05:43:01 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sun Jun 27 05:43:01 2010 OpenVPN ROUTE: omitted no-op route: 192.168.200.1/255.2
55.255.255 -> 192.168.200.1
Sun Jun 27 05:43:01 2010 Initialization Sequence Completed

Bei "tls remote fritzbox" diesen habe ich beim erstellen so genannt (fritzbox.crt, fritzbox.key u. fritzbox.csr), wo wird der eigentlich bei den freetz OpenVPN einstellungen hinein kopiert? Und muss dieser lokal beim Client verfügbar sein?

Zum Device das ganze ist jetzt nur zum versuch gedacht, bevor ich mich an eine Internet Verbindung wage soll es erstmal lokal funktionieren, sobald ich eine Verbindung mit "tap" zustande bekommen habe kann ich auch tun umstellen!

Danke für deine Antwort!

EDIT:

Hier nochmal die openvpn.conf:
Code:
#  OpenVPN 2.1 Config, Sun Jun 27 05:49:54 CEST 2010
proto udp
dev tap0
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
mode server
ifconfig-pool 192.168.200.100 192.168.200.110
push "route 192.168.200.1"
route 192.168.200.0 255.255.255.0
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
max-clients 10
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

openvpn.cfg
Code:
export OPENVPN_ADDITIONAL='#'
export OPENVPN_AUTH_TYPE='static#certs'
export OPENVPN_AUTOSTART='#yes'
export OPENVPN_BOX_IP='#192.168.200.1'
export OPENVPN_BOX_MASK='255.255.255.0#255.255.255.0'
export OPENVPN_CIPHER='BF-CBC#AES-256-CBC'
export OPENVPN_CLIENT2CLIENT='#'
export OPENVPN_CLIENTS_DEFINED='#0'
export OPENVPN_CLIENT_INFO='#'
export OPENVPN_CLIENT_IPS='#'
export OPENVPN_CLIENT_MASKS='#'
export OPENVPN_CLIENT_NAMES='#'
export OPENVPN_CLIENT_NETS='#'
export OPENVPN_COMPLZO='yes#'
export OPENVPN_CONFIG_CHANGED='new#yes'
export OPENVPN_CONFIG_COUNT='1'
export OPENVPN_CONFIG_NAMES='DEFAULT#'
export OPENVPN_DEBUG='#'
export OPENVPN_DEBUG_TIME='10#10'
export OPENVPN_DHCP_CLIENT='#'
export OPENVPN_DHCP_RANGE='#192.168.200.100 192.168.200.110'
export OPENVPN_ENABLED='yes'
export OPENVPN_EXPERT=''
export OPENVPN_FLOAT='#'
export OPENVPN_IPV6='#'
export OPENVPN_KEEPALIVE='yes#yes'
export OPENVPN_KEEPALIVE_PING='10#10'
export OPENVPN_KEEPALIVE_TIMEOUT='120#120'
export OPENVPN_LOCAL='#'
export OPENVPN_LOCAL_NET='#'
export OPENVPN_LOGFILE='#'
export OPENVPN_MAXCLIENTS='1#10'
export OPENVPN_MGMNT='#'
export OPENVPN_MODE='server#server'
export OPENVPN_MTU='1500#1500'
export OPENVPN_NO_CERTTYPE='#'
export OPENVPN_OWN_KEYS='#'
export OPENVPN_PARAM_1='#'
export OPENVPN_PARAM_2='#'
export OPENVPN_PARAM_3='#'
export OPENVPN_PORT='#1194'
export OPENVPN_PROTO='udp#udp'
export OPENVPN_PULL='#'
export OPENVPN_PUSH_DNS='#'
export OPENVPN_PUSH_WINS='#'
export OPENVPN_REDIRECT='#'
export OPENVPN_REMOTE='#'
export OPENVPN_REMOTE_IP='#192.168.200.2'
export OPENVPN_REMOTE_NET='#'
export OPENVPN_SHAPER='#'
export OPENVPN_TAP2LAN='#'
export OPENVPN_TLS_AUTH='#yes'
export OPENVPN_TYPE='tun#tap'
export OPENVPN_UDP_FRAGMENT='#'
export OPENVPN_VERBOSE='3#3'

Client.ovpn
Code:
remote 192.168.1.2 1194
proto udp
dev tap
tls-client
ns-cert-type server
cd C:\\VPN
ca ca.crt
cert client01.crt
key client01.key
tls-auth static.key
tls-remote fritzbox
auth SHA1
cipher AES-256-CBC
tun-mtu 1500
mssfix
nobind
pull
verb 3
 
Zuletzt bearbeitet:
Der tls-remote Parameter ist eine "Zusatzsicherung" im OpenVPN. Damit wird festgelegt, welchen "Zertifikatsnamen" (CN) die Gegenstelle haben muss. Im Log siehst du, dass es klappt:
Code:
Sun Jun 27 05:42:51 2010 VERIFY X509NAME OK: /C=DE/ST=HIER/O=POMMES/[B]CN=fritzbox[/B]/
emailAddress ....

Grundsätzlich plädiere ich immer dafür, ein Tunnel-Netzwerk aufzubauen, das ist deutlich ressourcenschonender (und meist wegen der "Nebeneffekte" auch nervenschonender ;-))

Noch zwei Hinweise:
- Im Forum wird es nicht so gern gesehen, wenn der Vorgängerbeitrag komplett zitiert wird. Das ist hier sicher auch nicht nötig.
- Nimm aus dem Log naoch deine "Kennungen" raus, sofern du die Zertifikate nich nur zum Übern gebaut hast.

Jörg
 
Guten Morgen,
welche Kennung bei den logs meinst du?
Habe jetzt mal auf "tun" umgestellt, der log sieht jetzt so aus:
Code:
Sun Jun 27 08:59:11 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] bui
lt on Dec 11 2009
Sun Jun 27 08:59:11 2010 WARNING: Make sure you understand the semantics of --tl
s-remote before using it (see the man page).
Sun Jun 27 08:59:11 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
her to call user-defined scripts or executables
Sun Jun 27 08:59:11 2010 Control Channel Authentication: using 'static.key' as a
 OpenVPN static key file
Sun Jun 27 08:59:11 2010 Outgoing Control Channel Authentication: Using 160 bit
message hash 'SHA1' for HMAC authentication
Sun Jun 27 08:59:11 2010 Incoming Control Channel Authentication: Using 160 bit
message hash 'SHA1' for HMAC authentication
Sun Jun 27 08:59:12 2010 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:
0 EL:0 ]
Sun Jun 27 08:59:12 2010 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0
EL:0 ]
Sun Jun 27 08:59:12 2010 Local Options hash (VER=V4): 'ed844052'
Sun Jun 27 08:59:12 2010 Expected Remote Options hash (VER=V4): '8a244582'
Sun Jun 27 08:59:12 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Jun 27 08:59:12 2010 UDPv4 link local: [undef]
Sun Jun 27 08:59:12 2010 UDPv4 link remote: 192.168.1.2:1194
Sun Jun 27 08:59:12 2010 TLS: Initial packet from 192.168.1.2:1194, sid=e99c4b43
 71e1c529
Sun Jun 27 08:59:14 2010 VERIFY OK: depth=1, /C=DE/ST=HIER/L=KEINE/O=POMMES/CN=c
a/[email protected]
Sun Jun 27 08:59:14 2010 VERIFY OK: nsCertType=SERVER
Sun Jun 27 08:59:14 2010 VERIFY X509NAME OK: /C=DE/ST=HIER/O=POMMES/CN=fritzbox/
[email protected]
Sun Jun 27 08:59:14 2010 VERIFY OK: depth=0, /C=DE/ST=HIER/O=POMMES/CN=fritzbox/
[email protected]
Sun Jun 27 08:59:17 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized
with 256 bit key
Sun Jun 27 08:59:17 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Sun Jun 27 08:59:17 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized
with 256 bit key
Sun Jun 27 08:59:17 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Sun Jun 27 08:59:17 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
56-SHA, 2048 bit RSA
Sun Jun 27 08:59:17 2010 [fritzbox] Peer Connection Initiated with 192.168.1.2:1
194
Sun Jun 27 08:59:19 2010 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Sun Jun 27 08:59:19 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.1
68.200.1,ping 10,ping-restart 120,ifconfig 192.168.200.102 192.168.200.101'
Sun Jun 27 08:59:19 2010 OPTIONS IMPORT: timers and/or timeouts modified
Sun Jun 27 08:59:19 2010 OPTIONS IMPORT: --ifconfig/up options modified
Sun Jun 27 08:59:19 2010 OPTIONS IMPORT: route options modified
Sun Jun 27 08:59:19 2010 ROUTE default_gateway=192.168.1.1
Sun Jun 27 08:59:19 2010 TAP-WIN32 device [LAN-Verbindung 7] opened: \\.\Global\
{BD7EE87E-6850-456A-9896-35A524AE5898}.tap
Sun Jun 27 08:59:19 2010 TAP-Win32 Driver Version 9.6
Sun Jun 27 08:59:19 2010 TAP-Win32 MTU=1500
Sun Jun 27 08:59:19 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
92.168.200.102/255.255.255.252 on interface {BD7EE87E-6850-456A-9896-35A524AE589
8} [DHCP-serv: 192.168.200.101, lease-time: 31536000]
Sun Jun 27 08:59:19 2010 Successful ARP Flush on interface [200] {BD7EE87E-6850-
456A-9896-35A524AE5898}
Sun Jun 27 08:59:24 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sun Jun 27 08:59:24 2010 C:\WINDOWS\system32\route.exe ADD 192.168.200.1 MASK 25
5.255.255.255 192.168.200.101
Sun Jun 27 08:59:24 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMet
ric1=30 and dwForwardType=4
Sun Jun 27 08:59:24 2010 Route addition via IPAPI succeeded [adaptive]
Sun Jun 27 08:59:24 2010 Initialization Sequence Completed
 
Kennungen: Deine "persönlichen Daten" (die du bei der Zertifizatserstellung eingegeben hast) werden im Log angezeigt (eine Mail-Adresse usw.)

Als Test solltest du versuchen, ob du dann jetzt vom Client über die IP 192.168.200.1 die Fritzbox erreichst.

Jörg
 
Zuletzt bearbeitet:
Also die FB erreiche ich mit 192.168.200.1, kann man dies auch verhindern, genau wie den zugriff auf das lokale Netzwerk hinter dem OpenVPN Server?

Dann würd ich gerne noch wissen welches die stärkere verschlüsselung ist AES256 oder Blowfish? Und ob eine Username und Passwort abfrage sinn machen würde?

Danke nochmal für deine Antworten ahst mir sehr geholfen!
 
Also den Zugriff auf den Server selbst zu verhindern ist ohne iptables wohl nicht möglich, um es sicher zu tun, müsste man das auch für das Netz hinter der Box mit iptables verhindern.

AES ist zwar "stärker", aber auch anspruchsvoller.

Geknackt ist aber m.W. bislang Blowfish noch nicht, und auch eine zusätzliche PW-Abfrage sollte bei ordentlich "geschützten" Zertifikaten/Schlüsseln nicht unbedingt nötig sein. Kommt natürlich letztlich immer auf deine Anforderungen an ;-)

Jörg
 
Wie kann man so eine Passwort abfrage einbauen?
 
Das hatte ich für einen Client mal hier beschrieben, für den Server müsstest du das noch erweitern (siehe z.B.:im OpenVPN-Wiki):
OpenVPN enthält nur den Code um das Username/Passwort-Paar vom Client zu empfangen und an ein externes Programm (oder an ein Plugin) zu übergeben.

Das Script oder Programm muss das Username/Passwort-Paar entweder aus einer Datei lesen können oder über die Umgebungsvariablen. Weiters ist zu beachten, dass das Script oder Programm mit den Rechten des OpenVPN Daemon/Service ausgeführt wird.

Wenn die Authentifikation erfolgreich war, muss das Script Exitcode 0 an OpenVPN zurückgeben; schlägt sie fehl, Exit Code != 0.

Das müsstest du explizit von Hand ergänzen, dazu Expertenmodus anhaken und "auth-user-pass" in die Zeile mit Zusatzparametern eintragen, so in der Art, ebenso wie einen Wert für "script-security":
Code:
script-security 2; auth-user-pass-verify /tmp/openvpn/auth-script.sh via-env
Um das PW einzugeben, müsstest du dann auch noch eine Date /tmp/openvpn/auth-script.sh erzeugen,die User und PW prüft, z.B. in der RudiShell
Code:
cat << 'EOF' > /tmp/openvpn/auth-script.sh
#!/bin/sh
ALLOWED_USER="max"
ALLOWED_PASS="geheim"

if [ "$username" == "$ALLOWED_USER" ] && [ "$password" == "$ALLOWED_PASS" ]
 then exit 0
fi

exit 1
EOF
chmod +x /tmp/openvpn/auth-script.sh
Alles nur Theorie, nicht getestet
Jörg
 
Zuletzt bearbeitet:
Super, danke dafür!

EDIT: Wie siehts eiegtnlich mit dem Protokoll aus sollte man TCP oder UDP nehmen?
 
OpenVPN (und auch ich ;-)) empfiehlt wenn immer möglich UDP, weil es weniger Overhead hat.

Jörg
 
Hi, bin gerade dabei das ganze nochmal neu für den Interneteinsatz zu basteln!

Jetzt habe ich die Client Zertifikate mit "build-key-pass.bat" erstellt, besteht die möglichkeit dieses Passwort bei den Clients, direkt in die Client.conf oder Client.ovpn einzubinden um eine Manuelle eingabe überflüssig zu machen?
 
Eigentlich ist es ja komisch, erst Passwörter zu vergeben, um sie dann fest zu verdrahten ;-) aber auch dafür gibt's was von OpenVPN:
Code:
[B]--askpass [file][/B]
    Get certificate password from console or file before we daemonize.

    For the extremely security conscious, it is possible to protect your 
private key with a password. Of course this means that every time the 
OpenVPN daemon is started you must be there to type the password. The 
--askpass option allows you to start OpenVPN from the command line. It 
will query you for a password before it daemonizes. To protect a private key 
with a password you should omit the -nodes option when you use the 
openssl command line tool to manage certificates and private keys.

    If file is specified, read the password from the first line of file. 
Keep in mind that storing your password in a file to a certain extent 
invalidates the extra security provided by using an encrypted key 
(Note: OpenVPN will only read passwords from a file if it has been built 
with the --enable-password-save configure option, or on Windows by 
defining ENABLE_PASSWORD_SAVE in config-win32.h).

Also analog zu oben eine Datei mit dem Passwort erstellen und "askpass /tmp/openvpn/askpass.file " in die Zusatzeile einfügen.

Übrigens: Wenn du die Dateien unterhalb von /tmp/flash/ ablegst, können sie mit "modsave" gespeichert werden und überleben einen Reboot.

Jörg
 
Habs eigentlich am laufen jetzt! Nur ist nach einer Stunde die Verbindung tod?

Code:
Tue Jun 29 18:09:16 2010 OpenVPN 2.1_rc13 powerpc-linux [SSL] [LZO2] [EPOLL] built on Jan  2 2009
Tue Jun 29 18:09:16 2010 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Tue Jun 29 18:09:19 2010 Control Channel Authentication: using '/mmc/image/openvpn/static.key' as a OpenVPN static key file
Tue Jun 29 18:09:19 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 29 18:09:19 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 29 18:09:19 2010 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Jun 29 18:09:19 2010 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Tue Jun 29 18:09:19 2010 Socket Buffers: R=[103424->131072] S=[103424->131072]
Tue Jun 29 18:09:19 2010 UDPv4 link local: [undef]
Tue Jun 29 18:09:19 2010 UDPv4 link remote: 192.168.1.2:1194
Tue Jun 29 18:09:19 2010 TLS: Initial packet from 192.168.1.2:1194, sid=4623d50c 0d7430a7
Tue Jun 29 18:09:22 2010 VERIFY OK: depth=1, KENNUNG
Tue Jun 29 18:09:22 2010 VERIFY OK: nsCertType=SERVER
Tue Jun 29 18:09:22 2010 VERIFY X509NAME OK: KENNUNG
Tue Jun 29 18:09:22 2010 VERIFY OK: depth=0,KENNUNG
Tue Jun 29 18:09:42 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun 29 18:09:42 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 29 18:09:42 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun 29 18:09:42 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 29 18:09:42 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Jun 29 18:09:42 2010 [Vpn-Server] Peer Connection Initiated with 192.168.1.2:1194
Tue Jun 29 18:09:43 2010 SENT CONTROL [Vpn-Server]: 'PUSH_REQUEST' (status=1)
Tue Jun 29 18:09:43 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.1,route-gateway 10.0.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.0.0.20 255.255.255.0'
Tue Jun 29 18:09:43 2010 OPTIONS IMPORT: timers and/or timeouts modified
Tue Jun 29 18:09:43 2010 OPTIONS IMPORT: --ifconfig/up options modified
Tue Jun 29 18:09:43 2010 OPTIONS IMPORT: route options modified
Tue Jun 29 18:09:43 2010 OPTIONS IMPORT: route-related options modified
Tue Jun 29 18:09:43 2010 TUN/TAP device tun0 opened
Tue Jun 29 18:09:43 2010 TUN/TAP TX queue length set to 100
Tue Jun 29 18:09:43 2010 /sbin/ifconfig tun0 10.0.0.20 netmask 255.255.255.0 mtu 1500 broadcast 10.0.0.255
Tue Jun 29 18:09:43 2010 OpenVPN ROUTE: omitted no-op route: 10.0.0.1/255.255.255.255 -> 10.0.0.1
Tue Jun 29 18:09:43 2010 Initialization Sequence Completed
Enter Auth Username:Tue Jun 29 19:09:41 2010 ERROR: could not read Auth username from stdin
Tue Jun 29 19:09:41 2010 Exiting

client.ovpn
Code:
remote 192.168.1.2  1194
proto udp
dev tun
tls-client
ns-cert-type server
ca /mmc/image/openvpn/ca.crt
cert /mmc/image/openvpn/client11.crt
key /mmc/image/openvpn/client11.key
tls-remote Server
tls-auth /mmc/image/openvpn/static.key 1
auth SHA1
cipher AES-256-CBC
tun-mtu 1500
nobind
pull
verb 3
log-append /mmc/image/openvpn/openvpn.log
auth-user-pass /mmc/image/openvpn/passfile
auth-nocache
keepalive 10 120
 
Der Client kann scheinbar das Passwort für das Zertifikat (bzw. den Key) nicht lesen.
Ist der client mit "--enable-password-save" gebaut?
Versuche die Ursache beim Client zu finden oder nimm mal "auth-nocache" raus oder bau Zertifikate ohne Passwort ;-).

Jörg
 
Hallo, ja der Client wurde mit "--enable-password-save" gebaut ( wurde glaube sogar von dir gebaut ;-) ), "auth-nocache" habe ich jetzt mal entfernt und das scheint das Problem gewesen zu sein, danke!!! :groesste:

client.log
Code:
Wed Jun 30 07:09:38 2010 OpenVPN 2.1_rc13 powerpc-linux [SSL] [LZO2] [EPOLL] built on Jan  2 2009
Wed Jun 30 07:09:38 2010 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Wed Jun 30 07:09:39 2010 Control Channel Authentication: using '/mmc/image/openvpn/static.key' as a OpenVPN static key file
Wed Jun 30 07:09:39 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 07:09:39 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 07:09:39 2010 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Jun 30 07:09:39 2010 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Wed Jun 30 07:09:39 2010 Socket Buffers: R=[103424->131072] S=[103424->131072]
Wed Jun 30 07:09:39 2010 UDPv4 link local: [undef]
Wed Jun 30 07:09:39 2010 UDPv4 link remote: 192.168.1.2:1194
Wed Jun 30 07:09:39 2010 TLS: Initial packet from 192.168.1.2:1194, sid=605bb6fc 5d9cd818
Wed Jun 30 07:09:39 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jun 30 07:09:43 2010 VERIFY OK: depth=1, KENNUNG
Wed Jun 30 07:09:43 2010 VERIFY OK: nsCertType=SERVER
Wed Jun 30 07:09:43 2010 VERIFY X509NAME OK: KENNUNG
Wed Jun 30 07:09:43 2010 VERIFY OK: depth=0, KENNUNG
Wed Jun 30 07:10:00 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Jun 30 07:10:00 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 07:10:00 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Jun 30 07:10:00 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 07:10:00 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Jun 30 07:10:00 2010 [Vpn-Server] Peer Connection Initiated with 192.168.1.2:1194
Wed Jun 30 07:10:01 2010 SENT CONTROL [Vpn-Server]: 'PUSH_REQUEST' (status=1)
Wed Jun 30 07:10:01 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.1,route-gateway 10.0.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.0.0.20 255.255.255.0'
Wed Jun 30 07:10:01 2010 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jun 30 07:10:01 2010 OPTIONS IMPORT: --ifconfig/up options modified
Wed Jun 30 07:10:01 2010 OPTIONS IMPORT: route options modified
Wed Jun 30 07:10:01 2010 OPTIONS IMPORT: route-related options modified
Wed Jun 30 07:10:01 2010 TUN/TAP device tun0 opened
Wed Jun 30 07:10:01 2010 TUN/TAP TX queue length set to 100
Wed Jun 30 07:10:01 2010 /sbin/ifconfig tun0 10.0.0.20 netmask 255.255.255.0 mtu 1500 broadcast 10.0.0.255
Wed Jun 30 07:10:01 2010 OpenVPN ROUTE: omitted no-op route: 10.0.0.1/255.255.255.255 -> 10.0.0.1
Wed Jun 30 07:10:01 2010 Initialization Sequence Completed
Wed Jun 30 08:10:00 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jun 30 08:10:03 2010 VERIFY OK: depth=1, KENNUNG
Wed Jun 30 08:10:03 2010 VERIFY OK: nsCertType=SERVER
Wed Jun 30 08:10:03 2010 VERIFY X509NAME OK: KENNUNG
Wed Jun 30 08:10:03 2010 VERIFY OK: depth=0, KENNUNG
Wed Jun 30 08:10:20 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Jun 30 08:10:20 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 08:10:20 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Jun 30 08:10:20 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 08:10:20 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Jun 30 09:10:00 2010 TLS: tls_process: killed expiring key
Wed Jun 30 09:10:21 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jun 30 09:10:23 2010 VERIFY OK: depth=1, KENNUNG
Wed Jun 30 09:10:23 2010 VERIFY OK: nsCertType=SERVER
Wed Jun 30 09:10:23 2010 VERIFY X509NAME OK: KENNUNG
Wed Jun 30 09:10:23 2010 VERIFY OK: depth=0, KENNUNG
Wed Jun 30 09:10:41 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Jun 30 09:10:41 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 09:10:41 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Jun 30 09:10:41 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 09:10:41 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA

-------------------------------------------------------------------------
INTERNET:

So und nun lass ich das ganze mal aufs Internet los, zu bemerken ist das vor der Box mit Freetz und dem OpenVPN noch eine 7390 arbeitet die den Internetzugang bereit stellt!

Also hab ich jetzt den Port 1194 (UDP) in der 7390 freigegeben und an die VPN-Box weiter geleitet, zusätlich eine DynDNS geschaltet und diese in den Client eingetragen, ansonsten nix verändert!

Client.ovpn
Code:
remote MEINEDOMAIN.dyndns.org 1194
proto udp
dev tun
tls-client
ns-cert-type server
ca /mmc/image/openvpn/ca.crt
cert /mmc/image/openvpn/client11.crt
key /mmc/image/openvpn/client11.key
tls-remote Server
tls-auth /mmc/image/openvpn/static.key 1
auth SHA1
cipher AES-256-CBC
tun-mtu 1500
nobind
pull
verb 3
log-append /mmc/image/openvpn/openvpn.log
auth-user-pass /mmc/image/openvpn/passfile
keepalive 10 120

Client.log
Code:
Wed Jun 30 09:20:48 2010 event_wait : Interrupted system call (code=4)
Wed Jun 30 09:20:48 2010 TCP/UDP: Closing socket
Wed Jun 30 09:20:48 2010 Closing TUN/TAP interface
Wed Jun 30 09:20:48 2010 /sbin/ifconfig tun0 0.0.0.0
Wed Jun 30 09:20:48 2010 SIGTERM[hard,] received, process exiting
Wed Jun 30 09:22:41 2010 OpenVPN 2.1_rc13 powerpc-linux [SSL] [LZO2] [EPOLL] built on Jan  2 2009
Wed Jun 30 09:22:41 2010 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Wed Jun 30 09:22:42 2010 Control Channel Authentication: using '/mmc/image/openvpn/static.key' as a OpenVPN static key file
Wed Jun 30 09:22:42 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 09:22:42 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 30 09:22:42 2010 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Jun 30 09:22:42 2010 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Wed Jun 30 09:22:42 2010 Socket Buffers: R=[103424->131072] S=[103424->131072]
Wed Jun 30 09:22:42 2010 UDPv4 link local: [undef]
Wed Jun 30 09:22:42 2010 UDPv4 link remote: 8X.XXX.21.XXX:1194
Wed Jun 30 09:22:42 2010 TLS: Initial packet from 8X.XXX.21.XXX:1194, sid=3dfdfb0b 5eeb8c99
Wed Jun 30 09:22:42 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jun 30 09:22:42 2010 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Wed Jun 30 09:22:42 2010 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Wed Jun 30 09:22:44 2010 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Wed Jun 30 09:22:46 2010 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Wed Jun 30 09:22:48 2010 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Wed Jun 30 09:22:48 2010 TCP/UDP: Incoming packet rejected from 192.168.1.2:1194[2], expected peer address: 8X.XXX.21.XXX:1194 (allow this incoming source address/port by removing --remote or adding --float)

???? :mad:
 
Wie du das umgehen kannst, scheint zumindest in der letzten Zeile deines Logpostings zu stehen ;)
 
Für diesen Test muss sichergestellt sein, dass du auch wirklich "von außen" zugreifst.
Falls sich "im Laufe der Kommunikation" die IP der Gegenstelle ändern darf, muss noch "float" mit in die Config.

Jörg
 
Für diesen Test muss sichergestellt sein, dass du auch wirklich "von außen" zugreifst.
Falls sich "im Laufe der Kommunikation" die IP der Gegenstelle ändern darf, muss noch "float" mit in die Config.

Jörg

Muss das "float" nur in die Client.ovpn?

EDIT: Wenn ja hat das nicht geholfen!
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.