openVPN funktioniert nicht mehr

Hallo,

seit einiger Zeit funktioniert die openVPN-Verbindung nicht mehr.

Beim Verbinden eines openVPN-Clients erscheint folgende Meldung:

Fri Sep 14 21:27:25 2018 OpenVPN 2.4.6 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Fri Sep 14 21:27:25 2018 Windows version 6.1 (Windows 7) 32bit
Fri Sep 14 21:27:25 2018 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
Fri Sep 14 21:27:25 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Sep 14 21:27:25 2018 Need hold release from management interface, waiting…
Fri Sep 14 21:27:26 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Sep 14 21:27:26 2018 MANAGEMENT: CMD ‚state on‘
Fri Sep 14 21:27:26 2018 MANAGEMENT: CMD ‚log all on‘
Fri Sep 14 21:27:26 2018 MANAGEMENT: CMD ‚echo all on‘
Fri Sep 14 21:27:26 2018 MANAGEMENT: CMD ‚bytecount 5‘
Fri Sep 14 21:27:26 2018 MANAGEMENT: CMD ‚hold off‘
Fri Sep 14 21:27:26 2018 MANAGEMENT: CMD ‚hold release‘
Fri Sep 14 21:27:26 2018 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Fri Sep 14 21:27:26 2018 MANAGEMENT: CMD ‚password […]‘
Fri Sep 14 21:27:26 2018 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Fri Sep 14 21:27:26 2018 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1300)
Fri Sep 14 21:27:26 2018 MANAGEMENT: >STATE:1536953246,RESOLVE,
Fri Sep 14 21:27:26 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]141.10.78.106:1194
Fri Sep 14 21:27:26 2018 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Sep 14 21:27:26 2018 UDP link local (bound): [AF_INET][undef]:1194
Fri Sep 14 21:27:26 2018 UDP link remote: [AF_INET]141.10.78.106:1194
Fri Sep 14 21:27:26 2018 MANAGEMENT: >STATE:1536953246,WAIT,

Kann das am Update von IPFire (auf Core 120) liegen?

Jürgen


Unser System:

  • virtualisiert mit VMWare
  • linuxmuster.net 6.2.9-0ubuntu0
  • linbo 2.3.37-0
  • schulkonsole 0.36.0-27
  • IPFire 2.19 (i586) - Core Update 120
  • Ubuntu 16.04-Clients

Hallo Jürgen,

vielleicht sind die Zertifikate abgelaufen. Schülerzertifikat ein Jahr; Lehrerzertifikat zehn Jahre.

Gruß

Alois

Hallo Jürgen,

bei uns lag es an zu kurzen Schlüsseln. Nach irgendeinem Update verlangt der IPFire Keys mit mindestens 2048 bit. Siehe z.B: https://wiki.ipfire.org/configuration/services/openvpn/config/cert

Nachdem ich neue, nun größere, Schlüssel erstellt hatte (Root und Diffie-Hellman!) lief alles wieder problemfrei. Allerdings müssen sich die User natürlich neue Zertifikate erstellen.

Gruß
Christian

Hallo Christian,

  danke für den Tipp - das war EIN Grund, dass die Verbindung nicht zustande kam.

Nach Erhöhung auf 2048 bit ist die Fehlermeldung jetzt „nur noch“

    Wed Sep 19 21:50:29 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

    Wed Sep 19 21:50:29 2018 TLS Error: TLS handshake failed

Gibt es dafür auch einen so einfachen Weg :-)?
Viele Grüße

  Jürgen

Hallo Jürgen,

hier

https://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:openvpn:zertifikatsproblem

ist eine Lösung beschrieben.

Es gibt noch mehr Treffer bei der Suche die darauf hin deuten, dass die Zertifikate erneuert werden müssen.

Gruß

Alois

Hallo Alois,

das hatten wir zunächst auch vermutet. Aber nach dem Erhöhen der Schlüssellänge auf 2048 Bit haben wir auch die Zertifikate nochmals gelöscht und neu erstellt - trotzdem kommt die angegebene Fehlermeldung…

Viele Grüße

Jürgen