20
OpenVPN-Problem
Hallo,
habe gestern mit ipfire einen OpenVPN-Server aufgesetzt.
Der läuft auch wunderbar.
Sowohl Win7, wie auch Win10pro können sich problemlos anmelden.
Ein Laptop mit Win10 Home will aber überhaupt nicht:
15:00:17 openvpnserver[4152]: 192.168.1.149:63653 TLS: Initial packet from [AF_INET]192.168.1.149:63653, sid=7 5906ebd d4e6009d
15:00:17 openvpnserver[4152]: 192.168.1.149:63653 CRL: loaded 1 CRLs from file /var/ipfire/ovpn/crls/cacrl.pem
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 TLS Error: TLS key negotiation failed to occur within 60 sec onds (check your network connectivity)
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 TLS Error: TLS handshake failed
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 SIGUSR1[soft,tls-error] received, client-instance restarting
Die Firewall wurde deaktiviert, openvpn.exe wurde alles erlaubt. Die Uhrzeit stimmt.
Das Laptop ist neu installiert und in der neusten Win-Version.
Die selbe OpenVPN-Konfiguration läuft auf anderen Rechner ohne Probleme!
Also kein Serverproblem. Die OpenVPN-Clientkonfiguration muss ja auch korrekt sein.
Somit ein Windowsproblem.
Naja, vielleicht hat ja jemand eine Idee, Spur oder sieht einen Umriss im Nebel ;)
Ich werde hier verrückt!
Ciao Ingo
habe gestern mit ipfire einen OpenVPN-Server aufgesetzt.
Der läuft auch wunderbar.
Sowohl Win7, wie auch Win10pro können sich problemlos anmelden.
Ein Laptop mit Win10 Home will aber überhaupt nicht:
15:00:17 openvpnserver[4152]: 192.168.1.149:63653 TLS: Initial packet from [AF_INET]192.168.1.149:63653, sid=7 5906ebd d4e6009d
15:00:17 openvpnserver[4152]: 192.168.1.149:63653 CRL: loaded 1 CRLs from file /var/ipfire/ovpn/crls/cacrl.pem
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 TLS Error: TLS key negotiation failed to occur within 60 sec onds (check your network connectivity)
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 TLS Error: TLS handshake failed
15:01:17 openvpnserver[4152]: 192.168.1.149:63653 SIGUSR1[soft,tls-error] received, client-instance restarting
Die Firewall wurde deaktiviert, openvpn.exe wurde alles erlaubt. Die Uhrzeit stimmt.
Das Laptop ist neu installiert und in der neusten Win-Version.
Die selbe OpenVPN-Konfiguration läuft auf anderen Rechner ohne Probleme!
Also kein Serverproblem. Die OpenVPN-Clientkonfiguration muss ja auch korrekt sein.
Somit ein Windowsproblem.
Naja, vielleicht hat ja jemand eine Idee, Spur oder sieht einen Umriss im Nebel ;)
Ich werde hier verrückt!
Ciao Ingo
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 752240623
Url: https://administrator.de/forum/openvpn-problem-752240623.html
Ausgedruckt am: 19.04.2025 um 07:04 Uhr
20 Kommentare
Neuester Kommentar
Moin,
was sagt denn der OpenVPN-Client?
klicke mal doppelt auf die Amepl bzw. den Monitor. Alternativ per rechter Maustaste auf eben selbiges Icon und dann auf Log-Information
ANsonsten bitte noch ein paar mehr Infos zur Umgebung:
Hast du WAN-seitig eine feste IP? Und wenn ja, IPv4 oder IPv6
Oder arbeitest du mit DynDNS?
testest du überhaupt den Zugriff über die WAN-Strecke oder versuchst du gerade, den Tunnel innerhalb des LANS aufzubauen (was auch ohne murren geht)?
Gruß
em-pie
was sagt denn der OpenVPN-Client?
klicke mal doppelt auf die Amepl bzw. den Monitor. Alternativ per rechter Maustaste auf eben selbiges Icon und dann auf Log-Information
ANsonsten bitte noch ein paar mehr Infos zur Umgebung:
Hast du WAN-seitig eine feste IP? Und wenn ja, IPv4 oder IPv6
Oder arbeitest du mit DynDNS?
testest du überhaupt den Zugriff über die WAN-Strecke oder versuchst du gerade, den Tunnel innerhalb des LANS aufzubauen (was auch ohne murren geht)?
Gruß
em-pie
Hi,
Derzeit teste ich im LAN!
der Server hat die DYNDNS-Adresse, die in der hosts-Datei auf alles Clients eingetragen ist.
Ein Ping auf die dyndns-Adresse ist erfolgreich.
der Client sagt
2021-06-20 17:22:28 MANAGEMENT: >STATE:1624202548,RESOLVE,,,,,,
2021-06-20 17:22:28 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.1.9:1194
2021-06-20 17:22:28 Socket Buffers: R=[65536->65536] S=[65536->65536]
2021-06-20 17:22:28 UDP link local: (not bound)
2021-06-20 17:22:28 UDP link remote: [AF_INET]192.168.1.9:1194
2021-06-20 17:22:28 MANAGEMENT: >STATE:1624202548,WAIT,,,,,,
2021-06-20 17:22:30 MANAGEMENT: >STATE:1624202550,AUTH,,,,,,
2021-06-20 17:22:30 TLS: Initial packet from [AF_INET]192.168.1.9:1194, sid=060cb65a d51f3f37
2021-06-20 17:22:30 VERIFY OK: depth=1, C=DE, ST=NW, L=Dortmund, O=xx, CN=xx CA, emailAddress=xx
2021-06-20 17:22:30 VERIFY KU OK
2021-06-20 17:22:30 Validating certificate extended key usage
2021-06-20 17:22:30 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2021-06-20 17:22:30 VERIFY EKU OK
2021-06-20 17:22:30 VERIFY X509NAME OK: C=DE, ST=NW, O=xx CN=xx
2021-06-20 17:22:30 VERIFY OK: depth=0, C=DE, ST=NW, O=xx, CN=xx
2021-06-20 17:23:28 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2021-06-20 17:23:28 TLS Error: TLS handshake failed
2021-06-20 17:23:28 SIGUSR1[soft,tls-error] received, process restarting
2021-06-20 17:23:28 MANAGEMENT: >STATE:1624202608,RECONNECTING,tls-error,,,,,
2021-06-20 17:23:28 Restart pause, 300 second(s)
Danke fürs Lesen!
Derzeit teste ich im LAN!
der Server hat die DYNDNS-Adresse, die in der hosts-Datei auf alles Clients eingetragen ist.
Ein Ping auf die dyndns-Adresse ist erfolgreich.
der Client sagt
2021-06-20 17:22:28 MANAGEMENT: >STATE:1624202548,RESOLVE,,,,,,
2021-06-20 17:22:28 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.1.9:1194
2021-06-20 17:22:28 Socket Buffers: R=[65536->65536] S=[65536->65536]
2021-06-20 17:22:28 UDP link local: (not bound)
2021-06-20 17:22:28 UDP link remote: [AF_INET]192.168.1.9:1194
2021-06-20 17:22:28 MANAGEMENT: >STATE:1624202548,WAIT,,,,,,
2021-06-20 17:22:30 MANAGEMENT: >STATE:1624202550,AUTH,,,,,,
2021-06-20 17:22:30 TLS: Initial packet from [AF_INET]192.168.1.9:1194, sid=060cb65a d51f3f37
2021-06-20 17:22:30 VERIFY OK: depth=1, C=DE, ST=NW, L=Dortmund, O=xx, CN=xx CA, emailAddress=xx
2021-06-20 17:22:30 VERIFY KU OK
2021-06-20 17:22:30 Validating certificate extended key usage
2021-06-20 17:22:30 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2021-06-20 17:22:30 VERIFY EKU OK
2021-06-20 17:22:30 VERIFY X509NAME OK: C=DE, ST=NW, O=xx CN=xx
2021-06-20 17:22:30 VERIFY OK: depth=0, C=DE, ST=NW, O=xx, CN=xx
2021-06-20 17:23:28 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2021-06-20 17:23:28 TLS Error: TLS handshake failed
2021-06-20 17:23:28 SIGUSR1[soft,tls-error] received, process restarting
2021-06-20 17:23:28 MANAGEMENT: >STATE:1624202608,RECONNECTING,tls-error,,,,,
2021-06-20 17:23:28 Restart pause, 300 second(s)
Danke fürs Lesen!
Hallo.
laut:
https://openvpn.net/faq/tls-error-tls-key-negotiation-failed-to-occur-wi ...
Firewall oder ähnliches.
Wieso die Dyndns Adresse über die host auflösen?
laut:
https://openvpn.net/faq/tls-error-tls-key-negotiation-failed-to-occur-wi ...
Firewall oder ähnliches.
Wieso die Dyndns Adresse über die host auflösen?
Jaaa, guter Tipp, alles schon ausprobiert!
Die anderen Client die funktionieren auch in dem Netz? 192.168.1.X
jo
sowohl über WLAN, als auch per kabel
sowohl über WLAN, als auch per kabel
wie lautet die DynDNS-Adresse (anonymisiert) und auf welche IP verweist die?
ist der Host-Eintrag (sehr ungewöhnlicher Weg) an ALLEN Clients identisch?
Bitte nicht nur Ja schreiben, sondern einmal prüfen!
ist der Host-Eintrag (sehr ungewöhnlicher Weg) an ALLEN Clients identisch?
Bitte nicht nur Ja schreiben, sondern einmal prüfen!
hosts:
192.168.1.9 xx.dnsalias.net
Ping wird ausgeführt für xx.dnsalias.net [192.168.1.9] mit 32 Bytes Daten:
Antwort von 192.168.1.9: Bytes=32 Zeit<1ms TTL=64
auf allen drei rechnern, gerade kontroliert
192.168.1.9 xx.dnsalias.net
Ping wird ausgeführt für xx.dnsalias.net [192.168.1.9] mit 32 Bytes Daten:
Antwort von 192.168.1.9: Bytes=32 Zeit<1ms TTL=64
auf allen drei rechnern, gerade kontroliert
Jemand meinte es könnte an der Windows-Version "Home" liegen.
Eigentlich der einzige Unterschied.
Eigentlich der einzige Unterschied.
mhmm, die lizenz zu pro gewechselt, windowsupdate, neustart
genau das selbe
genau das selbe
Irgendeinen avira scheiss oder ähnliches drauf?
nix, nur defender
interessant:
sobald ich das lankabel ziehe, wird wlan aktiviert.
stecke ich das lankabel ein, wird wlan deaktiviert.
ist ein acer.
sowas hatte ich noch nicht.
sobald ich das lankabel ziehe, wird wlan aktiviert.
stecke ich das lankabel ein, wird wlan deaktiviert.
ist ein acer.
sowas hatte ich noch nicht.
Alles akribisch umgesetzt was hier steht ?:
Merkzettel: VPN Installation mit OpenVPN
Wie immer:
Konfig Datei von Server und Client wäre hilfreich für eine zielführende Hilfe !
Merkzettel: VPN Installation mit OpenVPN
Wie immer:
Konfig Datei von Server und Client wäre hilfreich für eine zielführende Hilfe !
Das mit dem deaktivierten wlan kannst du im bios ein und ausschalten.
#OpenVPN Client conf
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1400
remote xx.dnsalias.net 1194
pkcs12 roessler.p12
cipher AES-256-CBC
auth SHA512
verb 3
remote-cert-tls server
verify-x509-name ipfire.xx.dnsalias.net name
mssfix 0
#OpenVPN Server conf
daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare OpenVPN for listening on blue and orange
;local xx.dnsalias.net
dev tun
proto udp
port 1194
script-security 3
ifconfig-pool-persist /var/ipfire/ovpn/ovpn-leases.db 3600
client-config-dir /var/ipfire/ovpn/ccd
tls-server
ca /var/ipfire/ovpn/ca/cacert.pem
cert /var/ipfire/ovpn/certs/servercert.pem
key /var/ipfire/ovpn/certs/serverkey.pem
dh /var/ipfire/ovpn/ca/dh1024.pem
server 10.205.240.0 255.255.255.0
tun-mtu 1400
mssfix 0
status-version 1
status /var/run/ovpnserver.log 30
ncp-disable
cipher AES-256-CBC
auth SHA512
tls-version-min 1.2
max-clients 100
tls-verify /usr/lib/openvpn/verify
crl-verify /var/ipfire/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3
client-disconnect "/usr/sbin/openvpn-metrics client-disconnect"
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1400
remote xx.dnsalias.net 1194
pkcs12 roessler.p12
cipher AES-256-CBC
auth SHA512
verb 3
remote-cert-tls server
verify-x509-name ipfire.xx.dnsalias.net name
mssfix 0
#OpenVPN Server conf
daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare OpenVPN for listening on blue and orange
;local xx.dnsalias.net
dev tun
proto udp
port 1194
script-security 3
ifconfig-pool-persist /var/ipfire/ovpn/ovpn-leases.db 3600
client-config-dir /var/ipfire/ovpn/ccd
tls-server
ca /var/ipfire/ovpn/ca/cacert.pem
cert /var/ipfire/ovpn/certs/servercert.pem
key /var/ipfire/ovpn/certs/serverkey.pem
dh /var/ipfire/ovpn/ca/dh1024.pem
server 10.205.240.0 255.255.255.0
tun-mtu 1400
mssfix 0
status-version 1
status /var/run/ovpnserver.log 30
ncp-disable
cipher AES-256-CBC
auth SHA512
tls-version-min 1.2
max-clients 100
tls-verify /usr/lib/openvpn/verify
crl-verify /var/ipfire/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3
- Log clients connecting/disconnecting
client-disconnect "/usr/sbin/openvpn-metrics client-disconnect"
danke @Xerebus
Den Server nochmal neu aufgesetzt:
23:43:34 openvpnserver[18417]: 192.168.1.149:57355 SIGUSR1[soft,tls-error] received, client-instance restarting
23:43:34 openvpnserver[18417]: 192.168.1.149:57355 TLS Error: TLS handshake failed
23:43:34 openvpnserver[18417]: 192.168.1.149:57355 TLS Error: TLS key negotiation failed to occur within 60 sec onds (check your network connectivity)
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 TLS: Initial packet from [AF_INET]192.168.1.149:57355, sid=9 753cf3a 3e010123
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 Incoming Control Channel Authentication: Using 512 bit messa ge hash 'SHA512' for HMAC authentication
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 Outgoing Control Channel Authentication: Using 512 bit messa ge hash 'SHA512' for HMAC authentication
Was heisst "check your network connectivity"
Ein erfolgreicher Ping auf dem Namen,! Was denn noch?
Die Client-Firewall ist offen!
23:43:34 openvpnserver[18417]: 192.168.1.149:57355 SIGUSR1[soft,tls-error] received, client-instance restarting
23:43:34 openvpnserver[18417]: 192.168.1.149:57355 TLS Error: TLS handshake failed
23:43:34 openvpnserver[18417]: 192.168.1.149:57355 TLS Error: TLS key negotiation failed to occur within 60 sec onds (check your network connectivity)
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 TLS: Initial packet from [AF_INET]192.168.1.149:57355, sid=9 753cf3a 3e010123
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 Incoming Control Channel Authentication: Using 512 bit messa ge hash 'SHA512' for HMAC authentication
23:42:34 openvpnserver[18417]: 192.168.1.149:57355 Outgoing Control Channel Authentication: Using 512 bit messa ge hash 'SHA512' for HMAC authentication
Was heisst "check your network connectivity"
Ein erfolgreicher Ping auf dem Namen,! Was denn noch?
Die Client-Firewall ist offen!
Läuft!
Teamviewer mit VPN-Option deinstalliert und es klappt.
Warum werd ich heute nicht ergründen.
Teamviewer mit VPN-Option deinstalliert und es klappt.
Warum werd ich heute nicht ergründen.
Unsinnig in der o.a. Konfig ist der "mssfix" Parameter bzw. den mit 0 auszuschalten. Das ist fatal und ein gravierender Konfig Fehler. Der mssfix Wert steht im Default auf "1450" um die TCP Segment Size von Tunnel Traffic entsprechend zu verkleinen damit es nicht zu Fragmentierungsfehlern bei UDP Encapsulation kommt.
Siehe dazu auch hier.
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4 ...
Ein gravierender Fehler also das auf 0 zu setzen ! Sollte man dringenst entfernen und mit dem Default arbeiten.
Siehe dazu auch hier.
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4 ...
Ein gravierender Fehler also das auf 0 zu setzen ! Sollte man dringenst entfernen und mit dem Default arbeiten.
1
