zeroblue2005
Goto Top

OpenVPN-Server akzeptiert keine selbsterstelle Zertifikate?

Hallo Zusammen,

habe heute auf einen Windows 10 Pro. Rechner einen OpenVPN-Server installiert und konfiguriert, nach dieser Anleitung

Open VPN Einrichten

und habe das ganze auch zich mal wiederholen müssen. Jetzt nach fast 4 Stunden bin ich mir eigentlich ziemlich sicher, das ich alles richtig gemacht habe. Aber bei der Einwahl erhalte ich folgende Fehlermeldung auf Clientseite:

Fri Nov 09 21:03:18 2018 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Fri Nov 09 21:03:18 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Nov 09 21:03:18 2018 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Enter Management Password:
Fri Nov 09 21:03:18 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Nov 09 21:03:18 2018 Need hold release from management interface, waiting...
Fri Nov 09 21:03:18 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Nov 09 21:03:18 2018 MANAGEMENT: CMD 'state on'  
Fri Nov 09 21:03:18 2018 MANAGEMENT: CMD 'log all on'  
Fri Nov 09 21:03:19 2018 MANAGEMENT: CMD 'echo all on'  
Fri Nov 09 21:03:19 2018 MANAGEMENT: CMD 'bytecount 5'  
Fri Nov 09 21:03:19 2018 MANAGEMENT: CMD 'hold off'  
Fri Nov 09 21:03:19 2018 MANAGEMENT: CMD 'hold release'  
Fri Nov 09 21:03:19 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Nov 09 21:03:19 2018 MANAGEMENT: >STATE:1541793799,RESOLVE,,,,,,
Fri Nov 09 21:03:19 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]176.94.211.50:1194
Fri Nov 09 21:03:19 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Nov 09 21:03:19 2018 UDP link local: (not bound)
Fri Nov 09 21:03:19 2018 UDP link remote: [AF_INET]176.94.211.50:1194
Fri Nov 09 21:03:19 2018 MANAGEMENT: >STATE:1541793799,WAIT,,,,,,
Fri Nov 09 21:03:19 2018 MANAGEMENT: >STATE:1541793799,AUTH,,,,,,
Fri Nov 09 21:03:19 2018 TLS: Initial packet from [AF_INET]176.94.211.50:1194, sid=f21f509f 055ff4fa
Fri Nov 09 21:03:19 2018 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=DE, ST=NRW, L=Essen, O=xxxxx-GmbH, OU="EDV", CN=xxxxx-essen.ath.cx, name="xxxxx GmbH OpenVPN Key", emailAddress=administrator@xxxxx.de  
Fri Nov 09 21:03:19 2018 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Fri Nov 09 21:03:19 2018 TLS_ERROR: BIO read tls_read_plaintext error
Fri Nov 09 21:03:19 2018 TLS Error: TLS object -> incoming plaintext read error
Fri Nov 09 21:03:19 2018 TLS Error: TLS handshake failed
Fri Nov 09 21:03:19 2018 SIGUSR1[soft,tls-error] received, process restarting
Fri Nov 09 21:03:19 2018 MANAGEMENT: >STATE:1541793799,RECONNECTING,tls-error,,,,,
Fri Nov 09 21:03:19 2018 Restart pause, 5 second(s)
Fri Nov 09 21:03:20 2018 SIGTERM[hard,init_instance] received, process exiting
Fri Nov 09 21:03:20 2018 MANAGEMENT: >STATE:1541793800,EXITING,init_instance,,,,,

Nach etwas Google habe ich rausgefunden, dass es wohl ein Problem mit dem Selbsterstellten Zertifikat ist, aber eine Lösung finde ich nicht dafür? Habt ihr eine?

Danke

Content-Key: 392191

Url: https://administrator.de/contentid/392191

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: 129580
129580 09.11.2018 aktualisiert um 21:51:05 Uhr
Goto Top
Guten Abend,

hast du die Zertifikate geprüft, ob auch alle gültig sind und von der CA signiert wurden?
Sind die richtigen Zertifikate für Client und Server verwendet worden?
Haben die Zertifikate die korrekte Berechtigung?

Config von Server/Client hast du exakt von dem Tutorial übernommen?

P.S: Sobald das Problem gelöst ist und der Tunnel funktioniert, solltest du dringend die Server Zertifikatsprüfung in der Client Config hinterlegen. Eine entsprechende Warnung siehst du ja im Log selbst.
http://openvpn.net/howto.html#mitm

Viele Grüße,
Exception
Mitglied: Henere
Lösung Henere 10.11.2018 um 03:48:46 Uhr
Goto Top
Servus,

Habe heute das Gleiche nach genau der Anleitung gemacht. Das mit den Zertifikaten geht einwandfrei, wenn man Schritt für Schritt in dem Tutorial abarbeitet. Gerade das vars-bat sollte man unbedingt machen. Danach die Zertifikate in der angegebenen Reihenfolge erstellen lassen.

Dafür habe ich andere Probleme: OpenVPN - Einrichtungsprobleme

Grüße, Henere
Mitglied: aqui
aqui 10.11.2018 um 08:57:01 Uhr
Goto Top
Mit dem Tutorial hier im Forum hättest du es in 4 Minuten eingerichtet:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die ToDos sind bei OpenVPN in ALLEN Betreibssystemen immer dieselben.
Das die Verwendung selbsterstellert Zertifikate die Regel sind bei OpenVPN wird es garantiert NICHT daran liegen.
Man kann nur vermuten das du mehrfach Zertifikate erstellt hast und alte nicht vollständig gelöscht hast im Verzeichnis.
Dadurch ist es vermutlich zu einer Vermischung gekommen die in dem o.a. Fehler resultiert.
Fazit:
  • Easy RSA Verzeichnis komplett löschen und alte Zertifikate entfernen. clean-all ausführen
  • Dann erste neue Zertifikate erstellen und auf Server und Clients kopieren !
Mitglied: zeroblue2005
zeroblue2005 10.11.2018 um 11:15:06 Uhr
Goto Top
Hallo Zusammen,

die Aussage von Henere hat mir ja zu denken gegeben. Also habe ich alles noch mal neu gemacht und weiss auch was ich immer falsch gemacht habe. Beim Punkt Client Zerti: build-key-server.bat Server01 auch wenn er es fett unten beschrieben hat läuft man in die Gefahr einmal zu viel Enter zu drücken wenn die Parameter aus vars geladen werden. Wenn man das dann macht überschreibt er das Server Zerti. Ich habe daher den Schritt unten:Server Zerti nach: C:\Programme\OpenVPN\server-keys zu kopieren vor der Client-Zerti erstellung vorgezogen ud mir gleichzeitig eine zweite vars erstellen. Eine varss für Server und eine varsc für Client Zertis.

Die Verbindung wurde hergestellt und ich konnte einen Drucker und den Server im Lan anpingen. Was mir aufgefallen ist: Den Router im Lan konnte ich nicht erreichen, hat das einen Grund? Aus dem lokalen Lan ist er zu pingen...

Dann habe ich eine weitere Frage, kann man die Server Konfig so anpassen, dass nicht der Ganze WAN also Internetverkehr über die VPN läuft? Also das der Client zwar alle Maschinen im VPN Lan erreichen kann aber eben die VPN nicht als Gateway benutzt?

Danke
Mitglied: 129580
129580 10.11.2018 aktualisiert um 12:11:43 Uhr
Goto Top
Moin,

schön das es nun klappt face-smile

Die Verbindung wurde hergestellt und ich konnte einen Drucker und den Server im Lan anpingen. Was mir aufgefallen ist: Den Router im Lan konnte ich nicht erreichen, hat das einen Grund? Aus dem lokalen Lan ist er zu pingen...

Dazu müsstest du uns mehr zu deinem Aufbau erzählen. Wenn ich das richtig Verstanden habe, müsste das so sein:
Seite 1: Ein VPN Server im internen Netz auf einer Windows Kiste?
Seite 2: Ein Windows Client der sich dann einwählt?

Korrekt? Dem Router fehlt vermutlich die Route zu dem Netzwerk von Seite 2 über die Windows Kiste bzw. VPN Server. Das ist einer von vielen Gründen weshalb man einen VPN Server nur auf einem Router oder Firewall konfigurieren sollte. Du solltest dir generell überlegen, ob dieses Design in deiner Umgebung (insbesondere wenn es sich um die produktive Umgebung handelt) umsetzten möchtest. Alleine schon deshalb, weil du Port Fowarding auf den Windows Server einrichten musst (mal abgesehen davon, dass du anschließend ein Loch vom externen ins interne Netz hast) und du musst mindestens zwei Geräte konfigurieren. Einmal die Windows Kiste und einmal den Router für die Route. In der IT gilt immer das KISS-Prinzip. Zumal du dadurch es auch deutlich schwieriger hast, den Traffic im Tunnel zu filtern.

Dann habe ich eine weitere Frage, kann man die Server Konfig so anpassen, dass nicht der Ganze WAN also Internetverkehr über die VPN läuft? Also das der Client zwar alle Maschinen im VPN Lan erreichen kann aber eben die VPN nicht als Gateway benutzt?

Ja, in dem man die default Route nicht auf den VPN Server umbiegt.
Das macht OpenVPN nicht standardgemäß, d.h. du musst irgendein Parameter in der Server oder Client Config gesetzt haben.
Prüf mal, ob in der Server Konfiguration folgender Parameter gesetzt wurde: push "redirect-gateway def1"

Poste mal am besten die Server und die Client Config bevor hier ein Ratespiel entsteht. face-wink

Viele Grüße,
Exception
Mitglied: zeroblue2005
zeroblue2005 10.11.2018 um 12:59:14 Uhr
Goto Top
Hallo Exception,

das Ganze Lan-Konstruckt mit Hintergründen hier niederzuschreiben usw. dauert jetzt zu lange, nur das als Hintergrundinfo, bei der Konzeption war VPN nur für einen Benutzer geplannt sporadisch zugriff daher via PPTP in Win 10 Pro. nun sollen mehrere User gleichzeitig bla bla Win-10 Pro lässt aber nur ein Zugriff zu. Dann gibt es einenen Dualwan Router von DrayTek dort an WAN 1 eine Frite mit Lan to IPSEC kopplung so das dieser die IPSEC Ports schon belegt, hier never Touch a Running System. An WAN 2 ein LTE Router... Fakt ist das der DrayTek noch PPTP könnte ich aber hier von weg will ist klar warum! Ich selber schon immer mal einen Open VPN ausetzen wollte, hat ja auch geklappt und da sind wir.

Klar könnte ich das Ganze jetzt totoal umstricken, dann läuft es auch, aber ich habe jetzt keine Bock 100 Km zu fahren um das umzusetzen, ausserdem benutzen die VPN nur ganz spradisch.

Zu guter letzt einfach ein bisschen Spieltrieb face-wink. Bin jetzt ja auch fast durch, will jetzt nur noch erreichen, dass eben nicht der Gateway vom OpenVPN benutzt wird von Clientseite, dann bin ich durch, denke ich face-smile

Hier die Server onfig:
#################################################
# OpenVPN (MvA-Networks Conf)
# VPN Server Configuration
#
# Copyright 2006-2018 (03.01.2018) www.mva.ch
# MvA Internet Services GmbH
#################################################

local 192.168.4.10
port 1194
proto udp
dev tun

# ----------------------------------------------
# Zertifikate
# ----------------------------------------------

dh "C:\\Programme\\OpenVPN\\server-keys\\dh4096.pem"  
ca "C:\\Programme\\OpenVPN\\server-keys\\ca.crt"  
cert "C:\\Programme\\OpenVPN\\server-keys\\FS-xxx-Z-001.crt"  
key "C:\\Programme\\OpenVPN\\server-keys\\FS-xxx-Z-001.key"  

# ----------------------------------------------
# Server-Setup
# ----------------------------------------------

server 10.19.15.0 255.255.255.0
ifconfig-pool-persist "C:\\Programme\\OpenVPN\\ipp.txt"  
client-to-client

# ----------------------------------------------
# Client-Settings (inkl Special Dir)Files
# ----------------------------------------------

client-config-dir "C:\\Programme\\OpenVPN\\ccd"  
push "route 192.168.4.0 255.255.255.0"  
push "dhcp-option DNS 192.168.4.1"  

# ----------------------------------------------
# Defaults
# ----------------------------------------------

keepalive 10 120
comp-lzo
persist-key
persist-tun

# ----------------------------------------------
# Logging
# ----------------------------------------------

status "C:\\Programme\\OpenVPN\\log\\openvpn-status.log"  
log "C:\\Programme\\OpenVPN\\log\\openvpn.log"  
log-append "C:\\Programme\\OpenVPN\\log\\openvpn.log"  
verb 3

Das ist die ClientConfig:
##############################################
# MvA-Networks Connect. OpenVPN ClientScript #
##############################################

client
dev tun

proto udp
remote xxx-xxx.ath.cx 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\config\\WS-Chris-H-001.crt"  
key "C:\\Program Files\\OpenVPN\\config\\WS-Chris-H-001.key"  

comp-lzo
verb 3

Wäre schön wen wir das hinbekommen würden...
Mitglied: 129580
Lösung 129580 10.11.2018 um 13:50:52 Uhr
Goto Top
Bist du dir sicher, dass der Client den OpenVPN Server als Gateway nimmt? Was sagt die Routing Tabelle?
Denn in der Server Konfiguration ist kein Parameter, der den Clients zwingt, die default Route auf den OpenVPN umzubiegen.
Und wie bereits geschrieben, OpenVPN tut die default Route nicht standardgemäß umbiegen.
Mitglied: zeroblue2005
zeroblue2005 10.11.2018 um 15:14:46 Uhr
Goto Top
ähh jetzt wo du es sagst, hätte mir auch vorher auffallen können oder?

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.100.1   192.168.100.76     50
       10.19.15.0    255.255.255.0       10.19.15.5       10.19.15.6    291
       10.19.15.4  255.255.255.252   Auf Verbindung        10.19.15.6    291
       10.19.15.6  255.255.255.255   Auf Verbindung        10.19.15.6    291
       10.19.15.7  255.255.255.255   Auf Verbindung        10.19.15.6    291
    87.138.206.43  255.255.255.255    192.168.100.1   192.168.100.76     51
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      192.168.4.0    255.255.255.0       10.19.15.5       10.19.15.6    291
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    281
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    281
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    281
    192.168.100.0    255.255.255.0   Auf Verbindung    192.168.100.76    306
   192.168.100.76  255.255.255.255   Auf Verbindung    192.168.100.76    306
  192.168.100.255  255.255.255.255   Auf Verbindung    192.168.100.76    306
    192.168.178.0    255.255.255.0  192.168.178.100  192.168.178.116     36
  192.168.178.116  255.255.255.255   Auf Verbindung   192.168.178.116    291
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    281
        224.0.0.0        240.0.0.0   Auf Verbindung        10.19.15.6    291
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.100.76    306
        224.0.0.0        240.0.0.0   Auf Verbindung   192.168.178.116    291
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    281
  255.255.255.255  255.255.255.255   Auf Verbindung        10.19.15.6    291
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.100.76    306
  255.255.255.255  255.255.255.255   Auf Verbindung   192.168.178.116    291
===========================================================================
Ständige Routen:
  Keine

Ich glaube ich habe mich jetzt von meinem IP-Cop den ich im Büro im Betrieb habe ein wenig irritieren lassen, wenn ich mich dort mit dem Smartphone einwähle geht immer alles über den VPN Tunnel, daher bi ich jetzt einfach davon ausgegangen, dass dies bei Winsows als OpenVPN Server auch so ist.

hätte ja nur mal ein Tracert machen müssen bei verbundenen VPN, da hätte ich das auch sehen müssen! Na ja dann läuft ja alles so wie es soll!

Ich danke dir aber für deine Hilfe und Denkanstöße face-wink
Mitglied: zeroblue2005
zeroblue2005 10.11.2018 um 15:24:15 Uhr
Goto Top
ahhh jetzt sehe ich es, das Problem ist nicht der Gateway sondern der DNS den ich dem Client mitgebe! Habe den Parameter:

#push "dhcp-option DNS 192.168.4.1" 


Auskommentiert, daher laufen jetzt alle Anfragen über den Client DNS Server... so soll es sein!
Mitglied: aqui
Lösung aqui 10.11.2018 aktualisiert um 16:00:58 Uhr
Goto Top
DNS Probleme kann man immer leicht erkennen wenn man Zielsysteme mal nicht mit ihrem Host Namen sondern mit der nackten IP pingt. Interne oder externe wie z.B. 8.8.8.8
Noch besser: Traceroute verwenden (tracert bie Winblows). Das zeigt dann noch die einzelnen Routing Hops an die ein Paket zum Ziel benutzt.