bytigo
27.05.2019, aktualisiert um 11:33:44 Uhr
view19215
view5
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Seit ein paar Tagen keine Open-VPN Verbindung mehr möglich

FrageSicherheitVerschlüsselung, Zertifikate
Hallo liebes Forum. Ich hab ein VPN Problem, bei dem ich nicht so richtig weiterkomme. Hab schon im Internet und im Forum geschaut. Bis jetzt aber nicht wirklich eine Lösung gefunden.
Vielleicht hat hier jemand den ein oder anderen Ansatz.

Ich hab einen W2012R2 Server auf dem OpenVPN als Dienst läuft. Auf diesen verbinden sich die Clients und werden dann normalerweise weitergeleitet.
Aber seit ein paar Tagen ist keine Verbindung mehr möglich.

Im Clientlog steht:

Mon May 27 10:46:11 2019 us=954076 Validating certificate extended key usage
Mon May 27 10:46:11 2019 us=954076 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon May 27 10:46:11 2019 us=954076 VERIFY EKU OK

Im Serverlog steht:

Mon May 27 11:14:41 2019 IP Adresse VERIFY ERROR: depth=0, error=CRL has expired: C=DE, ST=BW, L=Ort, O=FirmaGMBH, OU=DEV, CN=CLIENT, name=CLIENT, emailAddress=CLIENT@Firma.de
Mon May 27 11:14:41 2019 IP Adresse OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
Mon May 27 11:14:41 2019 IP Adresse TLS_ERROR: BIO read tls_read_plaintext error
Mon May 27 11:14:41 2019 IP Adresse TLS Error: TLS object -> incoming plaintext read error
Mon May 27 11:14:41 2019 IP Adresse TLS Error: TLS handshake failed
Mon May 27 11:14:41 2019 IP Adresse SIGUSR1[soft,tls-error] received, client-instance restarting

Wenn ich es richtig verstehe, sind die Zertifikate abgelaufen. Aber warum? Sie werden mit einer Gültigkeit von 10 Jahren erzeugt. Oder ist das ein ganz anderer Fehler?

Ich hab auch schon in der Config den Parameter 
remote-cert-eku "TLS Web Server Authentication"
hinzugefügt (und wieder entfernt). Hat aber nichts gebracht.

Meine Client Config sieht im Moment so aus:

client
pull
dev tun
dev-node OpenVPN
proto udp
remote IP Adresse 1194
resolv-retry infinite
nobind
persist-key
persist-tun
auth-nocache
ca ca.crt
cipher AES-256-CBC
comp-lzo
verb 6
remote-cert-tls server
pkcs12 "C:\\Program Files\\OpenVPN\\config\\Zert1.p12"


Hat vielleicht jemand ein ähnliches Problem? Oder einen Ansatz? Danke schonmal vorab.
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 456355

Url: https://administrator.de/forum/seit-ein-paar-tagen-keine-open-vpn-verbindung-mehr-moeglich-456355.html

Ausgedruckt am: 29.04.2025 um 20:04 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 27.05.2019 aktualisiert um 12:47:11 Uhr
Goto Top
Ob sie abgelaufen sind kannst du ja leicht mit dem Easy RSA Tool selber checken. Ggf. hast du statt 10 nur "1" eingegeben sprich eine 0 vergessen was den Gültigkeitszeitraum anbetrifft.
De facto hast du aber ein Problem mit deinen Zertifikaten, soviel ist sicher !
Der TLS_ERROR: BIO read tls_read_plaintext error Fehlerstring besagt das du entweder den falschen CN (Common Name) nutzt in deinen Zertifikaten oder du Client und Server Zertifikat vertauscht hast.
Halte dich an das hiesige Tutorial zum Erstellen der Zertifikate, dann sollte eigentlich nix schief laufen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Bzw. für einen korrekte Client Konfig Datei auch hier:
Clientverbindung OpenVPN Mikrotik
Mal ganz abgesehen davon das ein VPN Dialin niemals auf einen lokalen Winblows Server gehört, aber das ist ne komplett andere Baustelle.
NordicMike
NordicMike 27.05.2019 um 13:45:56 Uhr
Goto Top
Das Zertifikat ist bestimmt noch gültig. CRL ist die Zertifikatsperrliste.

Folge einfach dem ersten Treffer, den Google ausspuckt:

https://forums.openvpn.net/viewtopic.php?t=26308
aqui
aqui 27.05.2019 um 14:55:25 Uhr
Goto Top
Derzeit gibt der Link einen "General Error" aus:
("SQL ERROR [ mysqli ], Too many connections [1040], An sql error occurred while fetching this page. Please contact an administrator if this problem persists.")
Bytigo
Bytigo 27.05.2019 um 15:36:01 Uhr
Goto Top
Danke für Eure Hinweise.

Die Fehlermeldung Kam bei mir auch. Hab dann den Link in Google eingeben.

Mittlerweile hab ich das OpenVPN in der neuesten Version installiert.

Es erscheint jetzt die Meldung

Could not determine IPv4/IPv6 protocol. Using AF_INET6

Weiß jemand was hier die Ursache sein könnte?
aqui
aqui 27.05.2019 um 20:12:13 Uhr
Goto Top
Ja !
Du hast vergessen in der Konf Datei zu sagen ob nur v4 oder nur 6 oder Dual Stack.
Ein
remote deinovpnserver.de 1194 udp4
in der Konfig Datei löst das Problem. (Hätte dir auch Dr. Google in 3 Sek. gesagt !)
FrageSicherheitVerschlüsselung, Zertifikate
Heiß diskutiert
Surfer12Neue Telefonanlage konventionell oder IPSurfer12 - 28 Kommentareopc123Kostenloser Hypervisoropc123 - 28 KommentareStefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 26 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 24 Kommentarebloodstix2560x1080 Auflösung komischer Rand bei Spielenbloodstix - 21 KommentareStefanKittelSMTP Relay gesuchtStefanKittel - 18 KommentareLordReaperRDP Sessions trennen sich 1-2x täglichLordReaper - 17 KommentarespinnifexMein Explorer bringt mich zum Wahnsinn (Einstellungen merken)spinnifex - 14 KommentarekeineahnungcomputerProfi Notebook CAD Autocadkeineahnungcomputer - 13 KommentarekreuzbergerMB pro min und MB pro s umrechnenkreuzberger - 13 KommentareTwistedAirNetzwerkgeräte bei Ransomware - Austausch oder Reset?TwistedAir - 12 KommentarekreuzbergerRDP auf dem iPadkreuzberger - 11 KommentareKauzigUser wird immer mit Temporären Profil angemeldetKauzig - 11 Kommentare