upgradea auf jessie -> OpenVPN produziert Fehlermeldung: TLS Error: TLS handshake failed

14/06/2015 - 17:00 von Anton Blau | Report spam
Hallo,

ich betreibe seit Jahren einen OpenVPN-Server auf meinem Debian-Router.
Seit dem Upgrade von Debian wheezy auf jessie erhalte ich immer Folgende
Fehlermeldungen :shock: :

...
*Code:*
Jun 14 16:21:00 debrouter ovpn-server[4784]: client1/192.168.4.3:64660
UDPv4 READ [101] from [AF_INET]192.168.4.3:64660: P_DATA_V1 kid=0 DATA
len0
Jun 14 16:21:00 debrouter ovpn-server[4784]: client1/192.168.4.3:64660
UDPv4 WRITE [69] to [AF_INET]192.168.4.3:64660: P_DATA_V1 kid=0 DATA lenh
Jun 14 16:21:00 debrouter ovpn-server[4784]: client1/192.168.4.3:64660
TUN WRITE [57]
Jun 14 16:21:05 debrouter ovpn-server[4784]: client1/192.168.4.3:64660
UDPv4 READ [117] from [AF_INET]192.168.4.3:64660: P_DATA_V1 kid=0 DATA
len6
Jun 14 16:21:05 debrouter ovpn-server[4784]: client1/192.168.4.3:64660
TUN WRITE [73]
Jun 14 16:21:07 debrouter ovpn-server[4784]: 192.168.4.3:55962 TLS
Error: TLS key negotiation failed to occur within 60 seconds (check your
network connectivity)
Jun 14 16:21:07 debrouter ovpn-server[4784]: 192.168.4.3:55962 TLS
Error: TLS handshake failed
Jun 14 16:21:07 debrouter ovpn-server[4784]: 192.168.4.3:55962
SIGUSR1[soft,tls-error] received, client-instance restarting


Die VPN-Verbindung wird aufgebaut. Auf IP-Adressen kann ich auch pingen
(OpenVPN-Server hat 192.168.10.1 OpenVPN-Client 192.168.10.10):

d. h.
am Open-VPN-Server geht ping 192.168.10.10 und
am Open-VPN-Client geht ping 192.168.10.1.
Beide können auch ins Internet pingen, d. h. ping 8.8.8.8 geht.

Wenn ich jedoch versuche auf einen Rechnernamen zu pingen erhalte ich
die obige Fehlermeldung.

d. h. ping debrouter oder ping http://www.google.de geht nicht.

Woran kann das liegen?

Auf dem Rechner làuft shorewall als firewall. Daran wurde aber im Rahmen
des Upgrades nichts geàndert. Darüber hinaus gibt es keine Hinweise auf
abgewiesene Pakete im log.

Nachdem ich nun schon seit Stunden herumsuche bin ich ratlos.

Hat hier jemand einen Tipp für mich?

Vielen Dank!


Tony


Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/557D95FB.6050001@gmx.de
 

Lesen sie die antworten

#1 Anton Blau
14/06/2015 - 22:10 | Warnen spam
Am 14.06.2015 um 16:55 schrieb Anton Blau:

Hier noch mehr zur Konfirguration:

OpenVPN

server.conf
*Code:*
port 1194
proto udp
dev tun
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/micky.crt
key ./easy-rsa2/keys/micky.key # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh1024.pem # Diffie-Hellman-Parameter
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 192.168.10.1"
push "dhcp-option WINS 192.168.1.200"
client-to-client
keepalive 10 120
cipher AES-128-CBC # AES
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
verb 6


client.conf
*Code:*
client
dev tun
proto udp
# für Zugriff aus dem Internet
remote star.dynvpn.de 1194
# für Zugriff aus dem WLAN
remote 192.168.4.254 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
cipher AES-128-CBC
comp-lzo
verb 3


shorewall

interfaces
*Code:*
#ZONE INTERFACE BROADCAST OPTIONS
net ppp0 detect
tcpflags,dhcp,routefilter,norfc1918,nosmurfs,logmartians
loc eth0 detect tcpflags,detectnets,nosmurfs
dmz eth2 detect tcpflags,detectnets,nosmurfs
ovpn tun0 detect tcpflags,detectnets,nosmurfs
wlan eth3 detect tcpflags,detectnets,nosmurfs
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE


policy
*Code:*
loc net ACCEPT info
loc vmn ACCEPT info
loc ovpn ACCEPT info
loc dmz REJECT info
loc $FW REJECT info
loc wlan ACCEPT info
loc all REJECT info


$FW net ACCEPT info
$FW dmz ACCEPT info
$FW loc ACCEPT info
$FW vmn ACCEPT info
$FW wlan ACCEPT info
$FW all ACCEPT info

snip
net dmz DROP info
net $FW DROP info
net loc DROP info
net vmn DROP info
net wlan DROP info
net all DROP info

ovpn net ACCEPT info
ovpn loc ACCEPT info
ovpn vmn ACCEPT info
ovpn wlan ACCEPT info
ovpn dmz REJECT info
ovpn $FW REJECT info
ovpn all REJECT info

wlan net ACCEPT info
wlan loc ACCEPT info
wlan vmn ACCEPT info
wlan dmz REJECT info
wlan $FW ACCEPT info
wlan ovpn REJECT info
wlan all REJECT info

# THE FOLLOWING POLICY MUST BE LAST
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE


rules
*Code:*
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
RATE USER/
#
# Accept DNS connections from the firewall to the Internet
DNS/ACCEPT $FW net
DNS/ACCEPT dmz net
DNS/ACCEPT loc net
DNS/ACCEPT loc $FW
DNS/ACCEPT vmn net
DNS/ACCEPT vmn $FW
DNS/ACCEPT ovpn net
DNS/ACCEPT ovpn $FW
DNS/ACCEPT wlan net
DNS/ACCEPT wlan $FW
DNS/ACCEPT dmz $FW
#
Ping/ACCEPT loc $FW
Ping/ACCEPT loc ovpn
Ping/ACCEPT loc net
Ping/ACCEPT loc dmz
Ping/ACCEPT vmn $FW
Ping/ACCEPT vmn loc
Ping/ACCEPT vmn ovpn
Ping/ACCEPT vmn net
Ping/ACCEPT vmn dmz
Ping/ACCEPT dmz $FW
Ping/ACCEPT dmz loc
Ping/ACCEPT dmz vmn
Ping/ACCEPT dmz net
Ping/ACCEPT ovpn $FW
Ping/ACCEPT ovpn loc
Ping/ACCEPT ovpn vmn
Ping/ACCEPT ovpn dmz
Ping/ACCEPT $FW ovpn
Ping/ACCEPT $FW wlan

snip
#
Web/ACCEPT loc $FW
Web/ACCEPT loc wlan
Web/ACCEPT vmn $FW
Web/ACCEPT vmn wlan
Web/ACCEPT ovpn $FW
#
snip

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE


tunnels
*Code:*
#TYPE ZONE GATEWAY GATEWAY
# ZONE
openvpnserver:1194 net 0.0.0.0/0
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen