5
Seit ein paar Tagen keine Open-VPN Verbindung mehr möglich
Hallo liebes Forum. Ich hab ein VPN Problem, bei dem ich nicht so richtig weiterkomme. Hab schon im Internet und im Forum geschaut. Bis jetzt aber nicht wirklich eine Lösung gefunden.
Vielleicht hat hier jemand den ein oder anderen Ansatz.
Ich hab einen W2012R2 Server auf dem OpenVPN als Dienst läuft. Auf diesen verbinden sich die Clients und werden dann normalerweise weitergeleitet.
Aber seit ein paar Tagen ist keine Verbindung mehr möglich.
Im Clientlog steht:
Im Serverlog steht:
Wenn ich es richtig verstehe, sind die Zertifikate abgelaufen. Aber warum? Sie werden mit einer Gültigkeit von 10 Jahren erzeugt. Oder ist das ein ganz anderer Fehler?
Ich hab auch schon in der Config den Parameter hinzugefügt (und wieder entfernt). Hat aber nichts gebracht.
Meine Client Config sieht im Moment so aus:
Hat vielleicht jemand ein ähnliches Problem? Oder einen Ansatz? Danke schonmal vorab.
Vielleicht hat hier jemand den ein oder anderen Ansatz.
Ich hab einen W2012R2 Server auf dem OpenVPN als Dienst läuft. Auf diesen verbinden sich die Clients und werden dann normalerweise weitergeleitet.
Aber seit ein paar Tagen ist keine Verbindung mehr möglich.
Im Clientlog steht:
Mon May 27 10:46:11 2019 us=954076 Validating certificate extended key usage
Mon May 27 10:46:11 2019 us=954076 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon May 27 10:46:11 2019 us=954076 VERIFY EKU OKIm Serverlog steht:
Mon May 27 11:14:41 2019 IP Adresse VERIFY ERROR: depth=0, error=CRL has expired: C=DE, ST=BW, L=Ort, O=FirmaGMBH, OU=DEV, CN=CLIENT, name=CLIENT, emailAddress=CLIENT@Firma.de
Mon May 27 11:14:41 2019 IP Adresse OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
Mon May 27 11:14:41 2019 IP Adresse TLS_ERROR: BIO read tls_read_plaintext error
Mon May 27 11:14:41 2019 IP Adresse TLS Error: TLS object -> incoming plaintext read error
Mon May 27 11:14:41 2019 IP Adresse TLS Error: TLS handshake failed
Mon May 27 11:14:41 2019 IP Adresse SIGUSR1[soft,tls-error] received, client-instance restartingWenn ich es richtig verstehe, sind die Zertifikate abgelaufen. Aber warum? Sie werden mit einer Gültigkeit von 10 Jahren erzeugt. Oder ist das ein ganz anderer Fehler?
Ich hab auch schon in der Config den Parameter
remote-cert-eku "TLS Web Server Authentication" Meine Client Config sieht im Moment so aus:
client
pull
dev tun
dev-node OpenVPN
proto udp
remote IP Adresse 1194
resolv-retry infinite
nobind
persist-key
persist-tun
auth-nocache
ca ca.crt
cipher AES-256-CBC
comp-lzo
verb 6
remote-cert-tls server
pkcs12 "C:\\Program Files\\OpenVPN\\config\\Zert1.p12" Hat vielleicht jemand ein ähnliches Problem? Oder einen Ansatz? Danke schonmal vorab.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 456355
Url: https://administrator.de/contentid/456355
Printed on: April 16, 2024 at 06:04 o'clock
5 Comments
Latest comment
Ob sie abgelaufen sind kannst du ja leicht mit dem Easy RSA Tool selber checken. Ggf. hast du statt 10 nur "1" eingegeben sprich eine 0 vergessen was den Gültigkeitszeitraum anbetrifft.
De facto hast du aber ein Problem mit deinen Zertifikaten, soviel ist sicher !
Der TLS_ERROR: BIO read tls_read_plaintext error Fehlerstring besagt das du entweder den falschen CN (Common Name) nutzt in deinen Zertifikaten oder du Client und Server Zertifikat vertauscht hast.
Halte dich an das hiesige Tutorial zum Erstellen der Zertifikate, dann sollte eigentlich nix schief laufen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Bzw. für einen korrekte Client Konfig Datei auch hier:
Clientverbindung OpenVPN Mikrotik
Mal ganz abgesehen davon das ein VPN Dialin niemals auf einen lokalen Winblows Server gehört, aber das ist ne komplett andere Baustelle.
De facto hast du aber ein Problem mit deinen Zertifikaten, soviel ist sicher !
Der TLS_ERROR: BIO read tls_read_plaintext error Fehlerstring besagt das du entweder den falschen CN (Common Name) nutzt in deinen Zertifikaten oder du Client und Server Zertifikat vertauscht hast.
Halte dich an das hiesige Tutorial zum Erstellen der Zertifikate, dann sollte eigentlich nix schief laufen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Bzw. für einen korrekte Client Konfig Datei auch hier:
Clientverbindung OpenVPN Mikrotik
Mal ganz abgesehen davon das ein VPN Dialin niemals auf einen lokalen Winblows Server gehört, aber das ist ne komplett andere Baustelle.
Das Zertifikat ist bestimmt noch gültig. CRL ist die Zertifikatsperrliste.
Folge einfach dem ersten Treffer, den Google ausspuckt:
https://forums.openvpn.net/viewtopic.php?t=26308
Folge einfach dem ersten Treffer, den Google ausspuckt:
https://forums.openvpn.net/viewtopic.php?t=26308
Derzeit gibt der Link einen "General Error" aus:
("SQL ERROR [ mysqli ], Too many connections [1040], An sql error occurred while fetching this page. Please contact an administrator if this problem persists.")
("SQL ERROR [ mysqli ], Too many connections [1040], An sql error occurred while fetching this page. Please contact an administrator if this problem persists.")
Danke für Eure Hinweise.
Die Fehlermeldung Kam bei mir auch. Hab dann den Link in Google eingeben.
Mittlerweile hab ich das OpenVPN in der neuesten Version installiert.
Es erscheint jetzt die Meldung
Weiß jemand was hier die Ursache sein könnte?
Die Fehlermeldung Kam bei mir auch. Hab dann den Link in Google eingeben.
Mittlerweile hab ich das OpenVPN in der neuesten Version installiert.
Es erscheint jetzt die Meldung
Could not determine IPv4/IPv6 protocol. Using AF_INET6Weiß jemand was hier die Ursache sein könnte?
Ja !
Du hast vergessen in der Konf Datei zu sagen ob nur v4 oder nur 6 oder Dual Stack.
Ein
remote deinovpnserver.de 1194 udp4
in der Konfig Datei löst das Problem. (Hätte dir auch Dr. Google in 3 Sek. gesagt !)
Du hast vergessen in der Konf Datei zu sagen ob nur v4 oder nur 6 oder Dual Stack.
Ein
remote deinovpnserver.de 1194 udp4
in der Konfig Datei löst das Problem. (Hätte dir auch Dr. Google in 3 Sek. gesagt !)