OpenVPN-Problem

Hallo,

habe gestern mit ipfire einen OpenVPN-Server aufgesetzt.

Der läuft auch wunderbar.
Sowohl Win7, wie auch Win10pro können sich problemlos anmelden.

Ein Laptop mit Win10 Home will aber überhaupt nicht:

15:00:17 openvpnserver[4152]: 192.168.1.149:63653 TLS: Initial packet from [AF_INET]192.168.1.149:63653, sid=7 5906ebd d4e6009d
15:00:17 openvpnserver[4152]: 192.168.1.149:63653 CRL: loaded 1 CRLs from file /var/ipfire/ovpn/crls/cacrl.pem
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 TLS Error: TLS key negotiation failed to occur within 60 sec onds (check your network connectivity)
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 TLS Error: TLS handshake failed
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 SIGUSR1[soft,tls-error] received, client-instance restarting

Die Firewall wurde deaktiviert, openvpn.exe wurde alles erlaubt. Die Uhrzeit stimmt.

Das Laptop ist neu installiert und in der neusten Win-Version.

Die selbe OpenVPN-Konfiguration läuft auf anderen Rechner ohne Probleme!
Also kein Serverproblem. Die OpenVPN-Clientkonfiguration muss ja auch korrekt sein.

Somit ein Windowsproblem.
Naja, vielleicht hat ja jemand eine Idee, Spur oder sieht einen Umriss im Nebel ;)

Ich werde hier verrückt!

Ciao Ingo

Content-Key: 752240623

Url: https://administrator.de/contentid/752240623

Ausgedruckt am: 28.07.2021 um 00:07 Uhr

Mitglied: em-pie
em-pie 20.06.2021 um 17:17:28 Uhr
Goto Top
Moin,

was sagt denn der OpenVPN-Client?
klicke mal doppelt auf die Amepl bzw. den Monitor. Alternativ per rechter Maustaste auf eben selbiges Icon und dann auf Log-Information

ANsonsten bitte noch ein paar mehr Infos zur Umgebung:
Hast du WAN-seitig eine feste IP? Und wenn ja, IPv4 oder IPv6
Oder arbeitest du mit DynDNS?

testest du überhaupt den Zugriff über die WAN-Strecke oder versuchst du gerade, den Tunnel innerhalb des LANS aufzubauen (was auch ohne murren geht)?

Gruß
em-pie
Mitglied: ingoros
ingoros 20.06.2021 um 17:32:14 Uhr
Goto Top
Hi,

Derzeit teste ich im LAN!
der Server hat die DYNDNS-Adresse, die in der hosts-Datei auf alles Clients eingetragen ist.
Ein Ping auf die dyndns-Adresse ist erfolgreich.

der Client sagt

2021-06-20 17:22:28 MANAGEMENT: >STATE:1624202548,RESOLVE,,,,,,
2021-06-20 17:22:28 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.1.9:1194
2021-06-20 17:22:28 Socket Buffers: R=[65536->65536] S=[65536->65536]
2021-06-20 17:22:28 UDP link local: (not bound)
2021-06-20 17:22:28 UDP link remote: [AF_INET]192.168.1.9:1194
2021-06-20 17:22:28 MANAGEMENT: >STATE:1624202548,WAIT,,,,,,
2021-06-20 17:22:30 MANAGEMENT: >STATE:1624202550,AUTH,,,,,,
2021-06-20 17:22:30 TLS: Initial packet from [AF_INET]192.168.1.9:1194, sid=060cb65a d51f3f37
2021-06-20 17:22:30 VERIFY OK: depth=1, C=DE, ST=NW, L=Dortmund, O=xx, CN=xx CA, emailAddress=xx
2021-06-20 17:22:30 VERIFY KU OK
2021-06-20 17:22:30 Validating certificate extended key usage
2021-06-20 17:22:30 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2021-06-20 17:22:30 VERIFY EKU OK
2021-06-20 17:22:30 VERIFY X509NAME OK: C=DE, ST=NW, O=xx CN=xx
2021-06-20 17:22:30 VERIFY OK: depth=0, C=DE, ST=NW, O=xx, CN=xx
2021-06-20 17:23:28 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2021-06-20 17:23:28 TLS Error: TLS handshake failed
2021-06-20 17:23:28 SIGUSR1[soft,tls-error] received, process restarting
2021-06-20 17:23:28 MANAGEMENT: >STATE:1624202608,RECONNECTING,tls-error,,,,,
2021-06-20 17:23:28 Restart pause, 300 second(s)

Danke fürs Lesen!
Mitglied: Xerebus
Xerebus 20.06.2021 aktualisiert um 17:49:21 Uhr
Goto Top
Hallo.

laut:
https://openvpn.net/faq/tls-error-tls-key-negotiation-failed-to-occur-wi ...

Firewall oder ähnliches.

Wieso die Dyndns Adresse über die host auflösen?
Mitglied: ingoros
ingoros 20.06.2021 um 17:49:19 Uhr
Goto Top
Jaaa, guter Tipp, alles schon ausprobiert!
Mitglied: Xerebus
Xerebus 20.06.2021 um 17:50:25 Uhr
Goto Top
Die anderen Client die funktionieren auch in dem Netz? 192.168.1.X
Mitglied: ingoros
ingoros 20.06.2021 um 17:55:50 Uhr
Goto Top
jo
sowohl über WLAN, als auch per kabel
Mitglied: em-pie
em-pie 20.06.2021 um 17:57:29 Uhr
Goto Top
wie lautet die DynDNS-Adresse (anonymisiert) und auf welche IP verweist die?

ist der Host-Eintrag (sehr ungewöhnlicher Weg) an ALLEN Clients identisch?
Bitte nicht nur Ja schreiben, sondern einmal prüfen!
Mitglied: ingoros
ingoros 20.06.2021 um 18:05:08 Uhr
Goto Top
hosts:
192.168.1.9 xx.dnsalias.net

Ping wird ausgeführt für xx.dnsalias.net [192.168.1.9] mit 32 Bytes Daten:
Antwort von 192.168.1.9: Bytes=32 Zeit<1ms TTL=64

auf allen drei rechnern, gerade kontroliert
Mitglied: ingoros
ingoros 20.06.2021 um 18:08:24 Uhr
Goto Top
Jemand meinte es könnte an der Windows-Version "Home" liegen.
Eigentlich der einzige Unterschied.
Mitglied: ingoros
ingoros 20.06.2021 um 19:06:28 Uhr
Goto Top
mhmm, die lizenz zu pro gewechselt, windowsupdate, neustart
genau das selbe
Mitglied: Xerebus
Xerebus 20.06.2021 um 19:09:39 Uhr
Goto Top
Irgendeinen avira scheiss oder ähnliches drauf?
Mitglied: ingoros
ingoros 20.06.2021 um 19:31:44 Uhr
Goto Top
nix, nur defender
Mitglied: ingoros
ingoros 20.06.2021 um 19:33:35 Uhr
Goto Top
interessant:
sobald ich das lankabel ziehe, wird wlan aktiviert.
stecke ich das lankabel ein, wird wlan deaktiviert.
ist ein acer.
sowas hatte ich noch nicht.
Mitglied: aqui
aqui 20.06.2021 aktualisiert um 20:14:40 Uhr
Goto Top
Alles akribisch umgesetzt was hier steht ?:
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-openvp ...
Wie immer:
Konfig Datei von Server und Client wäre hilfreich für eine zielführende Hilfe !
Mitglied: Xerebus
Xerebus 20.06.2021 um 20:27:15 Uhr
Goto Top
Das mit dem deaktivierten wlan kannst du im bios ein und ausschalten.
Mitglied: ingoros
ingoros 20.06.2021 um 20:32:48 Uhr
Goto Top
#OpenVPN Client conf
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1400
remote xx.dnsalias.net 1194
pkcs12 roessler.p12
cipher AES-256-CBC
auth SHA512
verb 3
remote-cert-tls server
verify-x509-name ipfire.xx.dnsalias.net name
mssfix 0


#OpenVPN Server conf

daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare OpenVPN for listening on blue and orange
;local xx.dnsalias.net
dev tun
proto udp
port 1194
script-security 3
ifconfig-pool-persist /var/ipfire/ovpn/ovpn-leases.db 3600
client-config-dir /var/ipfire/ovpn/ccd
tls-server
ca /var/ipfire/ovpn/ca/cacert.pem
cert /var/ipfire/ovpn/certs/servercert.pem
key /var/ipfire/ovpn/certs/serverkey.pem
dh /var/ipfire/ovpn/ca/dh1024.pem
server 10.205.240.0 255.255.255.0
tun-mtu 1400
mssfix 0
status-version 1
status /var/run/ovpnserver.log 30
ncp-disable
cipher AES-256-CBC
auth SHA512
tls-version-min 1.2
max-clients 100
tls-verify /usr/lib/openvpn/verify
crl-verify /var/ipfire/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3
  1. Log clients connecting/disconnecting
client-connect "/usr/sbin/openvpn-metrics client-connect"
client-disconnect "/usr/sbin/openvpn-metrics client-disconnect"
Mitglied: ingoros
ingoros 20.06.2021 aktualisiert um 20:41:55 Uhr
Goto Top
danke @Xerebus
Mitglied: ingoros
ingoros 20.06.2021 um 23:48:51 Uhr
Goto Top
Den Server nochmal neu aufgesetzt:

23:43:34 openvpnserver[18417]: 192.168.1.149:57355 SIGUSR1[soft,tls-error] received, client-instance restarting
23:43:34 openvpnserver[18417]: 192.168.1.149:57355 TLS Error: TLS handshake failed
23:43:34 openvpnserver[18417]: 192.168.1.149:57355 TLS Error: TLS key negotiation failed to occur within 60 sec onds (check your network connectivity)
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 TLS: Initial packet from [AF_INET]192.168.1.149:57355, sid=9 753cf3a 3e010123
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 Incoming Control Channel Authentication: Using 512 bit messa ge hash 'SHA512' for HMAC authentication
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 Outgoing Control Channel Authentication: Using 512 bit messa ge hash 'SHA512' for HMAC authentication

Was heisst "check your network connectivity"
Ein erfolgreicher Ping auf dem Namen,! Was denn noch?
Die Client-Firewall ist offen!
Mitglied: ingoros
Lösung ingoros 21.06.2021 um 00:43:29 Uhr
Goto Top
Läuft!

Teamviewer mit VPN-Option deinstalliert und es klappt.

Warum werd ich heute nicht ergründen.
Mitglied: aqui
aqui 21.06.2021 um 10:21:15 Uhr
Goto Top
Unsinnig in der o.a. Konfig ist der "mssfix" Parameter bzw. den mit 0 auszuschalten. Das ist fatal und ein gravierender Konfig Fehler. Der mssfix Wert steht im Default auf "1450" um die TCP Segment Size von Tunnel Traffic entsprechend zu verkleinen damit es nicht zu Fragmentierungsfehlern bei UDP Encapsulation kommt.
Siehe dazu auch hier.
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4 ...
Ein gravierender Fehler also das auf 0 zu setzen ! Sollte man dringenst entfernen und mit dem Default arbeiten.
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 17 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 16 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 10 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...