crankcorp86
Goto Top

PfSense mit OpenVPN - in Testumgebung - Fehler TLS Error: TLS key negotiation failed

Hallo,

ich habe dank guter Empfehlungen nun eine pfSense Firewall/Router mit Alix Board. Es funktioniert sehr gut, nun wollte ich OpenVPN in Betrieb nehmen, aber mir gelingt es nicht.

Erst einmal meine Testumgebung:
Fritz!Box mit 192.168.178.0/24 dahinter den pfSense Router mit der LAN IP 192.168.2.1 und WAN IP 192.168.178.50 ich habe dor OpenVPN installiert nach der Einrichtung https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server und folgende Autentifzierung "Remote Access (User Auth)" . (siehe Bild) Das VPN Netz ist 192.168.20.0/24 .
mit dem Client Export habe ich dann auf einem Rechner Open VPN installiert. Der Laptop ist im Fritz!Box WLAN (192.168.178.21) und ich versuche eine Verbindung aufzubauen, dann fragt er nach Benutzername und Passwort. Dann kommt ein Fehler, siehe den Log:

Sun Sep 27 21:28:03 2015 OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 4 2015
Sun Sep 27 21:28:03 2015 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
Sun Sep 27 21:28:13 2015 Control Channel Authentication: using 'pfSense-udp-1194-tls.key' as a OpenVPN static key file
Sun Sep 27 21:28:13 2015 UDPv4 link local (bound): [undef]
Sun Sep 27 21:28:13 2015 UDPv4 link remote: [AF_INET]192.168.178.50:1194
Sun Sep 27 21:29:13 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 27 21:29:13 2015 TLS Error: TLS handshake failed
Sun Sep 27 21:29:13 2015 SIGUSR1[soft,tls-error] received, process restarting
Sun Sep 27 21:29:15 2015 UDPv4 link local (bound): [undef]
Sun Sep 27 21:29:15 2015 UDPv4 link remote: [AF_INET]192.168.178.50:1194

Was mache ich falsch? Geht das überhaupt in meiner Testumgebung?
Sobald ich im pfSense Netzwerk bin kann ich die VPN aufbauen, macht nur nicht viel Sinn, weil ich ja von extern und nicht intern VPN benötige. face-smile

Danke schon einmal vorab!

Content-ID: 284030

Url: https://administrator.de/forum/pfsense-mit-openvpn-in-testumgebung-fehler-tls-error-tls-key-negotiation-failed-284030.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

FalkIT
Lösung FalkIT 28.09.2015, aktualisiert am 19.10.2015 um 16:49:59 Uhr
Goto Top
Moin,
lese ich das Log richtig, dass du versuchst dich mit deinem Laptop mit der 192.168.178.50 (WAN IP pfsense) zu verbinden?
Falls ja wird das der Fehler sein, von extern wirst du dich mit der WAN IP deiner Fritzbox verbinden, die sich alles 24 Stunden ändert. Hierfür gibt es von AVM aber einen kostenlosen Dienst, um eine dauerhaft gütige URL zu bekommen.

Der Fritzbox musst du dann nur noch beibringen, dass alle Anfragen an deine pfsense weitergereicht werden.

Gruß
Falk
aqui
Lösung aqui 29.09.2015, aktualisiert am 19.10.2015 um 16:49:45 Uhr
Goto Top
Halte dich ganz einfach an das OVPN Tutorial hier im Forum dann klappt das auf Anhieb !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da du die pfSense in einer Kaskade mit einem Router betreibst der eine NAT Firewall hast hast du hoffentlich den OVPN Port UDP 1194 dort per Port Forwarding in der FB forgewardet ?!
Details dazu hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da dein FB WAN Port auch in einem privaten RFC 1918 IP netz ist besteht der Verdacht das da noch ein zusätzlicher NAT Router kaskadiert ist. Auch hier wäre dann zwingend ein Port Forwarding von UDP 1194 erforderlich damit die OVPN Pakete die NAT Firewall auch dort überwinden können.
Das du natürlich auf der pfSense das default Filtering für die RFC 1918 IP Netze entfernen musst im Setup auf dem WAN Port sollte dir hoffentlich klar sein wenn du mit Clients in privaten IP Netzen oder in Router Kaskaden arbeitest !
Interfaces --> WAN --> Unten bei "Block private networks" den Haken entfernen !
Zusätzlich MUSST du inbound UDP 1194 in den WAN Port Regeln der pfSense erlauben...logisch ! (Siehe o.a. Tutorial !)

Die typischen Fehlerursachen dazu findest du hier:
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tl ...