[gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von mat6937 » 04.03.2018 13:18:32

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:26
Sehe ich das richtig, dass die statische Route im Router unnötig ist ?
Welche statische Route hast Du in deinem Router konfiguriert? Die wird evtl. für die Clients im (W)LAN deines Routers, nützlich bzw. zuständig sein.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 14:16:57

ich meine das hier

Destination Network 10.0.0.0
subnet 255.255.255.0
default gateway 192.168.22.2

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von mat6937 » 04.03.2018 14:20:38

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 14:16:57
ich meine das hier

Destination Network 10.0.0.0
subnet 255.255.255.0
default gateway 192.168.22.2
Ja, diese Route wird von den Clients im (W)LAN des Routers benötigt, wenn diese das VPN nutzen sollen.

BTW: Dann muss man nicht in jedem Client so eine Route konfigurieren.
Zuletzt geändert von mat6937 am 04.03.2018 14:29:04, insgesamt 1-mal geändert.

TomL

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 14:25:32

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:26
Wenn ich es ändere auf remote-cert-tls bekomme ich tls errors. gibt es da nen Trick ?
1. Wie sieht die Client-Conf mit diesem Statement aus?
2. Hast Du die Certs auf Grundlage RFC3280 gemäßt TLS-Regeln signiert...?... mit anderen Worten, (PKI) mit Nutzung des RSA-Tools?

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 15:00:20

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 14:25:32
Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:26
Wenn ich es ändere auf remote-cert-tls bekomme ich tls errors. gibt es da nen Trick ?
1. Wie sieht die Client-Conf mit diesem Statement aus?
2. Hast Du die Certs auf Grundlage RFC3280 gemäßt TLS-Regeln signiert...?... mit anderen Worten, (PKI) mit Nutzung des RSA-Tools?
Die Client.conf (getestet mit Debian 9 und Windows 10)

Code: Alles auswählen

remote meineserveradresse
dev tap
proto udp
port 5000
float
tls-client
client
ns-cert-type server
cipher AES-256-CBC
ca C:\\Daten\\tools\\zerti\\dttb\\ca.crt 
key C:\\Daten\\tools\\zerti\\dttb\\client.key 
cert C:\\Daten\\tools\\zerti\\dttb\\client.crt
tls-auth C:\\Daten\\tools\\zerti\\dttb\\ta.key 1
pull
verb 3 
keepalive 10 120
comp-lzo
auth-nocache
Ich ändere
ns-cert-type server
in
remote-cert-tls server
dann erhalte ich

Code: Alles auswählen

Sun Mar 04 14:58:45 2018 Certificate does not have key usage extension
Sun Mar 04 14:58:45 2018 VERIFY KU ERROR
Sun Mar 04 14:58:45 2018 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Sun Mar 04 14:58:45 2018 TLS_ERROR: BIO read tls_read_plaintext error
Sun Mar 04 14:58:45 2018 TLS Error: TLS object -> incoming plaintext read error
Sun Mar 04 14:58:45 2018 TLS Error: TLS handshake failed
Sun Mar 04 14:58:45 2018 SIGUSR1[soft,tls-error] received, process restarting
Sun Mar 04 14:58:45 2018 MANAGEMENT: >STATE:1520171925,RECONNECTING,tls-error,,,,,
Sun Mar 04 14:58:45 2018 Restart pause, 5 second(s)
ich meine es funktioniert ja mit
ns-cert-type server
Muss ich eventuell noch was an der Server-conf ändern oder fehlt noch ein zertifikat am Server ?

Zertifikate hatte ich nach Anleitung von OpenVPN erstellt

TomL

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 15:11:50

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:00:20
Muss ich eventuell noch was an der Server-conf ändern oder fehlt noch ein zertifikat am Server ?
Nö, das ist imho ok.
Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:00:20
Zertifikate hatte ich nach Anleitung von OpenVPN erstellt
Welche Anleitung?

Wie gesagt, wenn das nicht nach den TLS-Regeln erfolgt ist, was ich jetzt bei dieser Fehlermeldung glaube, geht das nicht. Dann wirst Du die wohl neu machen müssen... und zwar mit dem RSA-Tool. Aber da kommst Du sowieso nicht drumrum, in der nächsten OVPN-Version ist der alte Parameter entfernt.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 15:17:28

Gut, ich teste mich mal durch.
Habe ja local die Möglichkeit zum testen.

Ich hatte die Zertifikate mit den RSA Tools erstellt.
Da gab es eine Anleitung.
Viel kann man da nicht falsch machen glaube ich.

TomL

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 15:29:58

Auf meinen Clients ist dieser Parameter gesetzt und es gbit keine Probleme damit. Meine Certs und Keys sind mit Easy_RSA_2.2.2-2_Debian-9 erstellt. Vielleicht reicht ein Update und Neuerstellen.

Antworten