Seit ein paar Tagen keine Open-VPN Verbindung mehr möglich
Hallo liebes Forum. Ich hab ein VPN Problem, bei dem ich nicht so richtig weiterkomme. Hab schon im Internet und im Forum geschaut. Bis jetzt aber nicht wirklich eine Lösung gefunden.
Vielleicht hat hier jemand den ein oder anderen Ansatz.
Ich hab einen W2012R2 Server auf dem OpenVPN als Dienst läuft. Auf diesen verbinden sich die Clients und werden dann normalerweise weitergeleitet.
Aber seit ein paar Tagen ist keine Verbindung mehr möglich.
Im Clientlog steht:
Im Serverlog steht:
Wenn ich es richtig verstehe, sind die Zertifikate abgelaufen. Aber warum? Sie werden mit einer Gültigkeit von 10 Jahren erzeugt. Oder ist das ein ganz anderer Fehler?
Ich hab auch schon in der Config den Parameter hinzugefügt (und wieder entfernt). Hat aber nichts gebracht.
Meine Client Config sieht im Moment so aus:
Hat vielleicht jemand ein ähnliches Problem? Oder einen Ansatz? Danke schonmal vorab.
Vielleicht hat hier jemand den ein oder anderen Ansatz.
Ich hab einen W2012R2 Server auf dem OpenVPN als Dienst läuft. Auf diesen verbinden sich die Clients und werden dann normalerweise weitergeleitet.
Aber seit ein paar Tagen ist keine Verbindung mehr möglich.
Im Clientlog steht:
1
2
3
2
3
Mon May 27 10:46:11 2019 us=954076 Validating certificate extended key usage
Mon May 27 10:46:11 2019 us=954076 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon May 27 10:46:11 2019 us=954076 VERIFY EKU OK
Im Serverlog steht:
1
2
3
4
5
6
2
3
4
5
6
Mon May 27 11:14:41 2019 IP Adresse VERIFY ERROR: depth=0, error=CRL has expired: C=DE, ST=BW, L=Ort, O=FirmaGMBH, OU=DEV, CN=CLIENT, name=CLIENT, emailAddress=CLIENT@Firma.de
Mon May 27 11:14:41 2019 IP Adresse OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
Mon May 27 11:14:41 2019 IP Adresse TLS_ERROR: BIO read tls_read_plaintext error
Mon May 27 11:14:41 2019 IP Adresse TLS Error: TLS object -> incoming plaintext read error
Mon May 27 11:14:41 2019 IP Adresse TLS Error: TLS handshake failed
Mon May 27 11:14:41 2019 IP Adresse SIGUSR1[soft,tls-error] received, client-instance restarting
Wenn ich es richtig verstehe, sind die Zertifikate abgelaufen. Aber warum? Sie werden mit einer Gültigkeit von 10 Jahren erzeugt. Oder ist das ein ganz anderer Fehler?
Ich hab auch schon in der Config den Parameter
1
remote-cert-eku "TLS Web Server Authentication"
Meine Client Config sieht im Moment so aus:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
client
pull
dev tun
dev-node OpenVPN
proto udp
remote IP Adresse 1194
resolv-retry infinite
nobind
persist-key
persist-tun
auth-nocache
ca ca.crt
cipher AES-256-CBC
comp-lzo
verb 6
remote-cert-tls server
pkcs12 "C:\\Program Files\\OpenVPN\\config\\Zert1.p12"
Hat vielleicht jemand ein ähnliches Problem? Oder einen Ansatz? Danke schonmal vorab.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 456355
Url: https://administrator.de/forum/seit-ein-paar-tagen-keine-open-vpn-verbindung-mehr-moeglich-456355.html
Ausgedruckt am: 08.04.2025 um 19:04 Uhr
5 Kommentare
Neuester Kommentar
Ob sie abgelaufen sind kannst du ja leicht mit dem Easy RSA Tool selber checken. Ggf. hast du statt 10 nur "1" eingegeben sprich eine 0 vergessen was den Gültigkeitszeitraum anbetrifft.
De facto hast du aber ein Problem mit deinen Zertifikaten, soviel ist sicher !
Der TLS_ERROR: BIO read tls_read_plaintext error Fehlerstring besagt das du entweder den falschen CN (Common Name) nutzt in deinen Zertifikaten oder du Client und Server Zertifikat vertauscht hast.
Halte dich an das hiesige Tutorial zum Erstellen der Zertifikate, dann sollte eigentlich nix schief laufen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Bzw. für einen korrekte Client Konfig Datei auch hier:
Clientverbindung OpenVPN Mikrotik
Mal ganz abgesehen davon das ein VPN Dialin niemals auf einen lokalen Winblows Server gehört, aber das ist ne komplett andere Baustelle.
De facto hast du aber ein Problem mit deinen Zertifikaten, soviel ist sicher !
Der TLS_ERROR: BIO read tls_read_plaintext error Fehlerstring besagt das du entweder den falschen CN (Common Name) nutzt in deinen Zertifikaten oder du Client und Server Zertifikat vertauscht hast.
Halte dich an das hiesige Tutorial zum Erstellen der Zertifikate, dann sollte eigentlich nix schief laufen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Bzw. für einen korrekte Client Konfig Datei auch hier:
Clientverbindung OpenVPN Mikrotik
Mal ganz abgesehen davon das ein VPN Dialin niemals auf einen lokalen Winblows Server gehört, aber das ist ne komplett andere Baustelle.
Das Zertifikat ist bestimmt noch gültig. CRL ist die Zertifikatsperrliste.
Folge einfach dem ersten Treffer, den Google ausspuckt:
https://forums.openvpn.net/viewtopic.php?t=26308
Folge einfach dem ersten Treffer, den Google ausspuckt:
https://forums.openvpn.net/viewtopic.php?t=26308