OpenVPN Fehler tls-remote (2.4.6)

Hallo Leute,

ich hab ein Problem mit der Installation von OpenVPN (Windows). Vielleicht habt ihr den einen oder anderen Tip. Ich hab schon im Forum gesucht, aber nichts passendes gefunden.

Also folgendes. Ich versuche die OpenVPN Version auf einem Client (W10) zu installieren (auf einem Win Server 2016 hab ich sie schon installiert und die Zertifikate generiert). Es kommt aber immer eine Fehlermeldung auf dem client:

Options error: Unrecognized option or missing or extra parameter(s) in client.ovpn:127: tls-remote (2.4.6)
Use --help for more information.

Hat jemand von Euch eine Idee (ich hab die Zertifikate nach Anleitung (textdatei im Setup)) installiert)?
Hier der Inhalt der Server Config und der Client Config.

client config:

client
pull
dev tun
dev-node vAdapter_OPENVPN
proto udp
remote ÖFFENTLICHE IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert CLIENT.crt
key CLIENT.key
cipher AES-256-CBC
comp-lzo
verb 4

Silence repeating messages

;mute 20
tls-remote server
;ns-cert-type server
;remote-cert-tls server

server config:

local IP ADRESSE SERVER
port 1194
proto udp
dev tun
dev-node vAdapter_OPENVPN
ca ca.crt
cert SERVER.crt
key SERVER.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route Öffentliche IP und Subnetmask"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

Anmerkung: wenn ich verify-x509-server hinzufüge in der client config (letzte Zeile und tls-remote auskommentiere) erscheint die nachfolgende Meldung:

Options error: Unrecognized option or missing or extra parameter(s) in client.ovpn:131: verify-x509-server (2.4.6)
Use --help for more information.

Please also mark the comments that contributed to the solution of the article

Content-Key: 390110

Url: https://administrator.de/contentid/390110

Printed on: April 18, 2024 at 16:04 o'clock

9 Comments

Latest comment

Hallo,

tls-remote ist schon lange deprecated und wurde durch verify-x509-name ersetzte.

Anmerkung: wenn ich verify-x509-server hinzufüge in der client config (letzte Zeile und tls-remote auskommentiere) erscheint die nachfolgende > Meldung:

Options error: Unrecognized option or missing or extra parameter(s) in client.ovpn:131: verify-x509-server (2.4.6)
Use --help for more information.

Dann hast du wohl ein Syntax Fehler drin. Hast du die Option bzw. Parameter korrekt angegeben?

 verify-x509-name myvpn.example.com name

Siehe auch:
https://community.openvpn.net/openvpn/wiki/GettingStartedwithOVPN

P.S. Bitte verwende zukünftig die Code Tags zwecks Übersicht!

Edit:

1. Silence repeating messages

Das ist kein Parameter! Entfern das aus deiner Konfiguration!

Viele Grüße,
Exception

Hi. Danke für Dein Feedback. Ich hab jetzt den ganzen Server (OpenVPN) neu erstellt und bin Schritt für Schritt nach der Anleitung, die als TXT Datei vorliegt vorgegangen (nur zur Info).

Ich hab eine Verständnisfrage.

Du frägst, ob ich einen Syntaxfehler habe:

verify-x509-name myvpn.example.com name

Das kann durchaus sein. Nur weiß ich nicht genau, wie und wo ich das (verify-x509) angebe. Geb ich das nur in der CLIENT config an?
Es ist in Deinem Beispiel eine Domäne zu sehen. Ich gebe aber auf dem Server keine Domäne an.

Muss ich beim Erstellen der Client Zertifikate die Option in einer Form mit dem Parameter verify-509 erstellen?

Die Client Zertifikate erstelle ich folgendermassen auf dem Server:

1. vars.bat
2. build-key.bat Rechnername

Dann kopiere ich die Zertifikate in den CONFIG Ordner des CLIENTS (passe natürlich die CONFIG Datei des CLIENTS an). Und das wars.

Bisher war das OK so. Oder gehe ich mit der neuen Version falsch vor?

Es ist in Deinem Beispiel eine Domäne zu sehen. Ich gebe aber auf dem Server keine Domäne an.

X509 ist der Standard für PKI. Damit ist das Zertifikat gemeint. Das Verify-X509 führt noch einen zusätzlichen Check des Zertifikates durch z.B. ob der Common Name übereinstimmt. Ist ein optionaler Check und kann ggf. auch weggelassen werden. Würde ich allerdings eher nicht machen.

Muss ich beim Erstellen der Client Zertifikate die Option in einer Form mit dem Parameter verify-509 erstellen?

Beim Zertifikat ein Common Namen angeben (üblicherweise in Form eines FQDNs). Dieses muss dann auch in der Client Konfiguration bei dem verify-509 identisch sein.

OK. Das heißt in den neueren OpenVPN Versionen erstelle ich das Zertifikat auf dem Server über die BAT Datei build-key-pkcs12.bat anstatt über die BAT Datei build-key.bat?
und als common Name den FQDN des Clients?

Sorry, aber hab das schon etwas länger nicht mehr gemacht und mit X509 auch nicht.

Ich hab das jetzt auf dem Server mit build-key-pkcs12.bat erstellt. Dann hab ich die CONFIG für den CLIENT angepasst.
Folgende Dateien sind jetzt im CONFIG Ordner des CLIENTS

ca.crt
CLIENT.crt
CLIENT.key
CLIENT.ovpn

Muss ich die Datei "CLIENT2.p12" auch verteilen? Bei dieser kommt eine Fehlermeldung, dass es eine binäre Datei ist.

Es erscheint jetzt aber mit den oberen 4 Dateien das folgende LOG (wie auf das Datum 2018-38-19 gekommen wird verstehe ich im Moment nicht):

2018-38-19 19:38:34 Frame=512/2048/512 mssfix-ctrl=1250

2018-38-19 19:38:34 UNUSED OPTIONS
1 [pull] 
3 [dev-node] [OpenVPN] 
6 [resolv-retry] [infinite] 
7 [nobind] 
8 [persist-key] 
9 [persist-tun] 
15 [verb] [3] 
17 [verify-x509-name] [GERÄT] [name] 

2018-38-19 19:38:34 EVENT: RESOLVE
2018-38-19 19:38:34 Contacting [SERVERIP]:1194/UDP via UDP
2018-38-19 19:38:34 EVENT: WAIT
2018-38-19 19:38:34 Connecting to [SERVERIP]:1194 (SERVERIP) via UDPv4
2018-38-19 19:38:54 Server poll timeout, trying next remote entry...
2018-38-19 19:38:54 EVENT: RECONNECTING
2018-38-19 19:38:54 EVENT: RESOLVE
2018-38-19 19:38:54 Contacting [SERVERIP]:1194/UDP via UDP
2018-38-19 19:38:54 EVENT: WAIT
2018-38-19 19:38:54 Connecting to [SERVERIP]:1194 (SERVERIP) via UDPv4
2018-39-19 19:39:04 EVENT: CONNECTION_TIMEOUT [ERR]

2018-39-19 19:39:04 Raw stats on disconnect:
  BYTES_OUT : 420
  PACKETS_OUT : 30
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 2

2018-39-19 19:39:04 Performance stats on disconnect:
  CPU usage (microseconds): 58586
  Network bytes per CPU second: 7168
  Tunnel bytes per CPU second: 0

2018-39-19 19:39:04 EVENT: DISCONNECTED

2018-39-19 19:39:04 Raw stats on disconnect:
  BYTES_OUT : 420
  PACKETS_OUT : 30
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 2

2018-39-19 19:39:04 Performance stats on disconnect:
  CPU usage (microseconds): 60525
  Network bytes per CPU second: 6939
  Tunnel bytes per CPU second: 0

2018-39-19 19:39:07 1

2018-39-19 19:39:07 ----- OpenVPN Start -----

2018-39-19 19:39:07 Frame=512/2048/512 mssfix-ctrl=1250

2018-39-19 19:39:07 UNUSED OPTIONS
1 [pull] 
3 [dev-node] [OpenVPN] 
6 [resolv-retry] [infinite] 
7 [nobind] 
8 [persist-key] 
9 [persist-tun] 
15 [verb] [3] 
17 [verify-x509-name] [GERÄT] [name] 

2018-39-19 19:39:07 EVENT: RESOLVE
2018-39-19 19:39:07 Contacting [SERVERIP]:1194/UDP via UDP
2018-39-19 19:39:07 EVENT: WAIT
2018-39-19 19:39:07 Connecting to [SERVERIP]:1194 (SERVERIP) via UDPv4

Ich hab es jetzt (auf einem Gerät) hinbekommen. Und zwar haben einige Dinge auf dem Server (nach der Neuinstallation) gefehlt, wie die korrekte Nennung der Zertifikate in der Server.config. Herausgefunden hab ich das im Serverlogfile.

Danke für die wertvollen Tips mit Verify-X509. Mal schauen wie das mit den anderen Clients wird. Aber jetzt erstmal Wochenende ;)