verbindung zw EFW 2.5.1 und OpenVPN nicht möglich

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • verbindung zw EFW 2.5.1 und OpenVPN nicht möglich

    Hallo zusammen,

    ich habe mir letzte Woche auf Anraten eines Freundes mir die EFW 2.5.1 heruntergeladen und installiert.
    nun möchte ich gerne OpenVPN konfigurieren und das versuche ich seit Tagen.
    vlt könnt ihr mir helfen?

    Folgende Konstellation:

    GRÜN (Vertrauenswürdiges, internes Netzwerk - LAN): 192.168.99.253/24 eth0
    ROT PPPoE (eth1): erreichbar per DynDNS

    name der efw: endian
    hängt bei mir in der domäne drin - der AD beitritt funktionierte wunderbar...

    client.ovpn:

    Quellcode

    1. client
    2. dev tun
    3. ifconfig 192.168.99.253 255.255.255.0
    4. proto udp
    5. remote <externe IP> 1194
    6. resolv-retry infinite
    7. nobind
    8. persist-key
    9. persist-tun
    10. ca ca.crt
    11. cert client1.crt
    12. key client1.key
    13. comp-lzo
    14. verb 3
    15. script-security 3 system
    Alles anzeigen


    ich habe die Zertifikate erstellt, das CA importiert, so dass es von meinem Client auch als vertrauenswürdig eingestuft wird.
    das CA Zertifikat also rein in root - endian zerti zeigt mir an, dass die kette valid ist. das client1 zerti ebenso.
    kette ist also da.
    die p12 datei habe ich importiert, die efw sagt also auch folgendes:

    Host Zertifikat:
    C=DE/ST=NRW/L=Essen/O=Firma/OU=IT/CN=endian/name=Client/emailAddress=test@domain.com

    CA Zertifikat:
    C=DE/ST=NRW/L=Essen/O=Firma/OU=IT/CN=CA/name=Client/emailAddress=test@domain.com

    also alles wunderbar.
    die Client Zertifikate

    ca.crt
    client1.crt
    client1.key

    liegen zum einen unter c:\progam files\openvpn\config
    und auch unter c:\program files(x86)\openvpn\config

    beide verzeichnisse haben den selben Inhalt.

    Verbinde ich mich mit OpenVPN kommt folgende Mitteilung:


    Sun Feb 12 16:54:02 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
    Sun Feb 12 16:54:02 2012 WARNING: using --pull/--client and --ifconfig together is probably not what you want
    Sun Feb 12 16:54:02 2012 WARNING: No server certificate verification method has been enabled. See openvpn.net/howto.html#mitm for more info.
    Sun Feb 12 16:54:02 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Sun Feb 12 16:54:02 2012 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
    Sun Feb 12 16:54:02 2012 LZO compression initialized
    Sun Feb 12 16:54:02 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Sun Feb 12 16:54:02 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Sun Feb 12 16:54:02 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Sun Feb 12 16:54:02 2012 Local Options hash (VER=V4): '41690919'
    Sun Feb 12 16:54:02 2012 Expected Remote Options hash (VER=V4): '530fdded'
    Sun Feb 12 16:54:02 2012 UDPv4 link local: [undef]
    Sun Feb 12 16:54:02 2012 UDPv4 link remote: <externe IP>:1194
    Sun Feb 12 16:54:02 2012 TLS: Initial packet from <externe IP>:1194, sid=50a5fda1 c79f4bae
    Sun Feb 12 16:54:02 2012 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Essen/O=Firma/OU=IT/CN=CA/name=Client/emailAddress=test@domain.com
    Sun Feb 12 16:54:02 2012 VERIFY OK: depth=0, /C=DE/ST=NRW/L=Essen/O=Firma/OU=IT/CN=endian/name=Client/emailAddress=test@domain.com
    Sun Feb 12 16:55:02 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Sun Feb 12 16:55:02 2012 TLS Error: TLS handshake failed
    Sun Feb 12 16:55:02 2012 TCP/UDP: Closing socket
    Sun Feb 12 16:55:02 2012 SIGUSR1[soft,tls-error] received, process restarting
    Sun Feb 12 16:55:02 2012 Restart pause, 2 second(s)


    das Serverprotokoll sagt:


    OpenVPN2012-02-12 16:57:19
    openvpn[16551]: <andere-extIP>:60857 Re-using SSL/TLS contextOpenVPN2012-02-12 16:57:19
    openvpn[16551]: <andere-extIP>:60857 LZO compression initializedOpenVPN2012-02-12 16:57:19
    openvpn[16551]: <andere-extIP>:60857 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returnedOpenVPN2012-02-12 16:57:19
    openvpn[16551]: <andere-extIP>:60857 TLS Error: TLS object -> incoming plaintext read errorOpenVPN2012-02-12 16:57:19
    openvpn[16551]: <andere-extIP>:60857 TLS Error: TLS handshake failed


    aus div. Meldungen habe ich entnommen, dass es ein Zertifikatsfehler sein soll - verstehe ich nicht, weil ich die Zertifikate komplett hintereinander erstellt habe, jede einzelne Fehlermeldung bei der erstellung beinhaltete ein löschen des keys verzeichnisses. und damit ein erneutes aufbauen der CA Zertifikate - bis ich alles komplett hatte und auf die jeweiligen Maschinen kopiert habe.

    ich habe keine Idee mehr...

    MFG CK
  • Re: verbindung zw EFW 2.5.1 und OpenVPN nicht möglich

    Hm, ich glaube, Du machst Dir die Sache unnötig kompliziert. Was mir an Deiner Konfig spontan auffällt ist die Zeile mit dev tun. Dort sollte eigentlich dev tap stehen.
    Aber der Reihe nach: Es reicht vollkommen aus, das von der efw erzeugte CA-Zertifikat herunterzuladen und unter ..\OpenVPN\config zu speichern. Die ebenfalls dort abgelegte Konfiguration (xxx.ovpn) sollte ungefähr so aussehen:

    client
    dev tap
    proto udp
    port 1194
    remote <IP oder DYNDNS> 1194
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca <efw-zertifikat>.cer
    auth-user-pass
    comp-lzo
    verb 3

    Jetzt muss beim OpenVPN-Server auf der efw nur noch ein dynamischer IP-Adresspool angelegt sein und schon wuppt die Verbindung mit Benutzername und Kennwort. Wenn Du soweit bist kannst Du das Ganze natürlich auch mit Client-Zertifikaten ausbauen.
  • Re: verbindung zw EFW 2.5.1 und OpenVPN nicht möglich

    Deine Fehlermeldung

    Sun Feb 12 16:55:02 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Sun Feb 12 16:55:02 2012 TLS Error: TLS handshake failed

    Tröste dich, den Fehler habe ich auch bei IPSEC VPN Verbindung.

    Irgendwas stimmt beim TLS handshake nett in dieser Version

    und keiner kann mir sagen, was den TLS handshake failed auslöst bzw wo ich da ansetzen muss um das zu beheben.

    Achja, VPN Verbindung von EFW zum Client mache ich auch wie der Kollege vor mir geschrieben hat.

    Du musst nur den DNS Pushen über /etc/openvpn/clients, hier ein file anlegen wie der user heist und dann die pushbefehle reinschreiben.
    Leider wird irgendwie der DNS nicht durchgereicht.
    Die Verbindung steht aber findet nix deswegen.