OpenVPN Verbindung kommt nicht zustande
Hallo zusammen,
ich versuche mich via VPN von meiner Arbeit aus zu mir nach Hause einzuwählen, bekomme aber keine Verbindung.
Mein Aufbau sieht wie folgt aus:
Arbeit: GästeWlan ohne Einschränkungen, Win7 NB ohne Domäne/Policies
zu Hause: Kabeldeutschland, Portweiterleitung UDP 1194 auf Debian maschine mit OpenVPN
OpenVPN Server Config
Client Konfig
Vom Notebook aus, bekomme ich keine Verbindung zu stande.
nach der Dyndns Adresse wird aber ansich richtig aufgelöst. Dennoch scheint es nicht durchzukommen. Ist in der Konfig ein Fehler?
Hat noch jemand ein VPN über Kabel Deutschland am laufen? Laut Internet gibt es da teilweise je nach Anschluss Probleme, da sich mehrere Haushalte die gleiche IPv4 teilen.
Anderseits habe ich noch eine Owncloud am laufen und da funktioniert die Weiterleitung vom Port443 auch.
Schöne Grüße
ich versuche mich via VPN von meiner Arbeit aus zu mir nach Hause einzuwählen, bekomme aber keine Verbindung.
Mein Aufbau sieht wie folgt aus:
Arbeit: GästeWlan ohne Einschränkungen, Win7 NB ohne Domäne/Policies
zu Hause: Kabeldeutschland, Portweiterleitung UDP 1194 auf Debian maschine mit OpenVPN
OpenVPN Server Config
# Which TCP/UDP port should OpenVPN listen on?
port 1194
# TCP or UDP server?
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
# a 120 second time period.
keepalive 10 120
# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo
# The maximum number of concurrently connected
# clients we want to allow.
max-clients 8
persist-key
persist-tun
status openvpn-status.log
# or the other (but not both).
log openvpn.log
;log-append openvpn.log
# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3
Client Konfig
client
dev tun
proto udp
remote DYNDNSADRESSE 1194
resolv-retry infinite
nobind
persist-key
persist-tun
#ca ca.crt
#cert client.crt
#key client.key
remote-cert-tls server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
hier steht CA Zertifkat
-----END CERTIFICATE-----
</ca>
<cert>
hier steht das Cert
</cert>
<key>
-----BEGIN PRIVATE KEY-----
hier der privatkey
-----END PRIVATE KEY-----
</key>
Vom Notebook aus, bekomme ich keine Verbindung zu stande.
Mon May 02 11:28:20 2016 OpenVPN 2.3.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 4 2015
Mon May 02 11:28:20 2016 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
Enter Management Password:
Mon May 02 11:28:20 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon May 02 11:28:20 2016 Need hold release from management interface, waiting...
Mon May 02 11:28:21 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon May 02 11:28:21 2016 MANAGEMENT: CMD 'state on'
Mon May 02 11:28:21 2016 MANAGEMENT: CMD 'log all on'
Mon May 02 11:28:21 2016 MANAGEMENT: CMD 'hold off'
Mon May 02 11:28:21 2016 MANAGEMENT: CMD 'hold release'
Mon May 02 11:28:21 2016 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon May 02 11:28:21 2016 MANAGEMENT: >STATE:1462181301,RESOLVE,,,
Mon May 02 11:28:21 2016 UDPv4 link local: [undef]
Mon May 02 11:28:21 2016 UDPv4 link remote: [AF_INET]IPDYNDNS:1194
Mon May 02 11:28:21 2016 MANAGEMENT: >STATE:1462181301,WAIT,,,
Mon May 02 11:29:22 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon May 02 11:29:22 2016 TLS Error: TLS handshake failed
Mon May 02 11:29:22 2016 SIGUSR1[soft,tls-error] received, process restarting
Mon May 02 11:29:22 2016 MANAGEMENT: >STATE:1462181362,RECONNECTING,tls-error,,
Mon May 02 11:29:22 2016 Restart pause, 2 second(s)
Mon May 02 11:29:24 2016 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon May 02 11:29:24 2016 MANAGEMENT: >STATE:1462181364,RESOLVE,,,
Mon May 02 11:29:24 2016 UDPv4 link local: [undef]
Mon May 02 11:29:24 2016 UDPv4 link remote: [AF_INET]IPDYNDNS:1194
Mon May 02 11:29:24 2016 MANAGEMENT: >STATE:1462181364,WAIT,,,
nach der Dyndns Adresse wird aber ansich richtig aufgelöst. Dennoch scheint es nicht durchzukommen. Ist in der Konfig ein Fehler?
Hat noch jemand ein VPN über Kabel Deutschland am laufen? Laut Internet gibt es da teilweise je nach Anschluss Probleme, da sich mehrere Haushalte die gleiche IPv4 teilen.
Anderseits habe ich noch eine Owncloud am laufen und da funktioniert die Weiterleitung vom Port443 auch.
Schöne Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303468
Url: https://administrator.de/forum/openvpn-verbindung-kommt-nicht-zustande-303468.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
35 Kommentare
Neuester Kommentar
Hallo,
die Fehlermeldung kann folgende Ursachen haben:
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tl ...
Alle gecheckt?
Gruß
die Fehlermeldung kann folgende Ursachen haben:
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tl ...
Alle gecheckt?
Gruß
Nicht dein Ernst oder?
Hallo,
stell generell auf tcp um.
Und in beide configs muss ein float und beim client noch ein nobind.
remote-cert-tls server
Steht in der Clientconfig, warum? In der Serverconfig steht da nix.
Die Einstellung ist dafür gedacht einen Presharedkey vor der eigentlichen Übergabe der Benutzerdaten zu verwenden.
Also doppelte Autentifizierung, PSK und danach mit deinem Zertifikat weiter.
Kann man machen muss man nichtm wenn man eh schon zertifikate verwendet.
Du solltest noch in der Serverkonf die Zertifikatssperrliste mitgeben (und diese auch pflegen)
Gruß
Chonta
stell generell auf tcp um.
Und in beide configs muss ein float und beim client noch ein nobind.
remote-cert-tls server
Steht in der Clientconfig, warum? In der Serverconfig steht da nix.
Die Einstellung ist dafür gedacht einen Presharedkey vor der eigentlichen Übergabe der Benutzerdaten zu verwenden.
Also doppelte Autentifizierung, PSK und danach mit deinem Zertifikat weiter.
Kann man machen muss man nichtm wenn man eh schon zertifikate verwendet.
Du solltest noch in der Serverkonf die Zertifikatssperrliste mitgeben (und diese auch pflegen)
Gruß
Chonta
Hi,
Das ist keine Idee, denn dann wird TCP durch einen TCP tunnel geschleift. Da kommt nix gutes raus (einfach mal "TCP over TCP" googeln).
Lieber mal schaun ob keine DS Lite im Spiel ist bzw die Portforwarding Regeln checken.
Kann man bei der Fritzbox TCP und UDP Portforwarding separat einstellen?
mfg
Cthluhu
Das ist keine Idee, denn dann wird TCP durch einen TCP tunnel geschleift. Da kommt nix gutes raus (einfach mal "TCP over TCP" googeln).
Lieber mal schaun ob keine DS Lite im Spiel ist bzw die Portforwarding Regeln checken.
Kann man bei der Fritzbox TCP und UDP Portforwarding separat einstellen?
mfg
Cthluhu
Ok danke für den Hinweis,
werde das mal bei uns überarbeiten.
Hatte bisher damit keine Probleme gehabt.
Der Rest was ich geschrieben habe könnte aber zutreffen
Ist vor der FB noch ein anderes Gerät vom Provider? Das kann auch blocken.
Sind andere Anwendungen z.B. https auf den Server möglich mit dem Portforwarding (wenn entsprechender Dienst geht)
Gruß
Chonta
werde das mal bei uns überarbeiten.
Hatte bisher damit keine Probleme gehabt.
Der Rest was ich geschrieben habe könnte aber zutreffen
Ist vor der FB noch ein anderes Gerät vom Provider? Das kann auch blocken.
Sind andere Anwendungen z.B. https auf den Server möglich mit dem Portforwarding (wenn entsprechender Dienst geht)
Gruß
Chonta
Zitat von @Xandros:
ich hab jetzt mal den Port auf 2424 geändert.
der Port müsste dann eigentlich dort auftauchen oder?
Ja, der Port müsste dort auftauchen. Wenn nicht läuft openvpn nicht oder auf einem tcp-port (checkbar mit netstat -tlpen)ich hab jetzt mal den Port auf 2424 geändert.
der Port müsste dann eigentlich dort auftauchen oder?
Btw: ich kenn mich zwar nicht mit dnsmasq aus, aber dass das ding auf ca 60 port lauscht kommt mir nicht normal vor.
Man fragt sich außerdem warum der TO die Verbindung nicht erstmal lokal wasserdicht testet ?!
Damit hätte man die 100%ige Sicherheit das Server und Client sauber konfiguriert sind und der VPN Zugang sicher funktioniert.
Wenn es dann remote nicht klappt, ist es dann wieder der übliche Klassiker Firewall und/oder Port Forwarding.
So rum wäre es doch sinnvoll anstatt remote zu testen wo es zig weitere Unwägbarkeiten gibt und das raten noch größer wird.
Damit hätte man die 100%ige Sicherheit das Server und Client sauber konfiguriert sind und der VPN Zugang sicher funktioniert.
Wenn es dann remote nicht klappt, ist es dann wieder der übliche Klassiker Firewall und/oder Port Forwarding.
So rum wäre es doch sinnvoll anstatt remote zu testen wo es zig weitere Unwägbarkeiten gibt und das raten noch größer wird.
Du gibst in der Client Config die lokale IP des VPN Servers an?!
Gruß
Gruß
Dann mach mal ein traceroute oder pathping auf die IP des VPN Servers und schau wo du hängen bleibst.
Gruß
Gruß
irgendwas blockiert auf der Serverseite.
Lokale Firewall ?! Hast du die mal deaktiviert ??Wie du in diesem Tutorial sehen kannst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Solltest du den OpenVPN erstmal manuell starten.
Ein Initialization Sequence Completed solltet dann immer im CLI ausgegeben werden.
Hier kannst du dann auch beim Client Login sofort sehen wo der Fehler ist !
Zitat von @Xandros:
Oh mann!! Grober Schnitzer Hab mittlerweile schon so viel rumgebastelt, dass ich den Überblick verliere. Danke dir!
Wenns das war, dann bitte den Beitrag als "gelöst" markieren.Oh mann!! Grober Schnitzer Hab mittlerweile schon so viel rumgebastelt, dass ich den Überblick verliere. Danke dir!
Zitat von @Xandros:
May 11 12:59:33 owncloud ovpn-server[13462]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/server.conf
Ja moment mal: in deinem post vom 10.05.2016 um 17:48 Uhr stand da noch openvpn.confMay 11 12:59:33 owncloud ovpn-server[13462]: Options error: In [CMD-LINE]:1: Error opening configuration file: /etc/openvpn/server.conf
Was hast du geändert (außer die Datei umgebannt)?
Kannst du mir sagen, wo sich das entsprechende Script befindet, damit ich es dort anpassen kann?
Hab leider grad kein Debian zur hand um das rauszusuchen, aber /lib/systemd/system/openvpn.service ist IMHU ein guter Startpunkt für die Suche.
Sehr gut. Dann sei doch bitte auch so fair und markiere @Cthluhu s Antworten, dass sie zur Lösung beigetragen haben.
Schönen Tag noch.
Gruß
Schönen Tag noch.
Gruß
Dann sorry, war nicht bös gemeint Hatte es wohl beim drüber scrollen übersehen. Finde es nur immer fair wenn die Helfenden Hände auch belohnt werden.
vielleicht weil es in der Doku so geschrieben stand
Fragt sich dann was für eine Art Doku du liest. In der offiziellen ist das mit keinem Wort so beschrieben:https://openvpn.net/index.php/open-source/documentation.html
Und gerade als OVPN Anfänger hält man sich immer ans Original !