It is currently 22.08.2017 16:58


All times are UTC




Post new topic Reply to topic  [ 5 posts ] 
Author Message
 Post subject: TLS Handshake schlägt fehl
PostPosted: 21.07.2016 18:30 
DES
DES

Joined: 21.07.2016 17:53
Posts: 3
Hallo zusammen,

ich bin seit heute neu hier im Board und komme direkt mit meiner ersten Frage um die Ecke :)
Habe einen vserver bei Strato und darauf einen OpenVPN Server installiert und versuche nun mit meinem Client (Mac OSX mit Tunnelblick) auf den Server zu verbinden, allerdings schlägt der TLS Handshake fehl und ich kann mir nicht erklären warum. Habe am Router schon Ports freigegeben, dies hat aber nicht geholfen. Habe nun den TCP 80 verwandt, da ich davon ausgehe, dass dieser im Router frei ist. Aber auch dies hat nichts geholfen... Andere VPN Dienste mit eigenen Apps haben immer funktioniert :(

Server.conf
Code:
port 80
proto tcp
dev tun
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/server-ip.crt
key easy-rsa/keys/server-ip.key  # This file should be kept secret
dh easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
push "topology subnet"
topology subnet
route 10.8.0.0 255.255.255.0
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 4


client.conf
Code:
client
remote server-ip 80
ca /users/mein-name/Downloads/Zertifikate/ca.crt
cert /users/mein-name/Downloads/Zertifikate/server-ip.crt
key /users/mein-name/Downloads/Zertifikate/server-ip.key
comp-lzo
dev tun
proto tcp
nobind
auth-nocache
script-security 2
persist-key
persist-tun
user nobody
group nogroup


Die Log des Clients zeigt folgendes an:
Code:
2016-07-21 20:09:22 *Tunnelblick: Established communication with OpenVPN
2016-07-21 20:09:22 OpenVPN 2.3.11 x86_64-apple-darwin [SSL (OpenSSL)] [LZO] [PKCS11] [MH] [IPv6] built on Jul 18 2016
2016-07-21 20:09:22 library versions: OpenSSL 1.0.2h  3 May 2016, LZO 2.09
2016-07-21 20:09:22 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1337
2016-07-21 20:09:22 Need hold release from management interface, waiting...
2016-07-21 20:09:22 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:1337
2016-07-21 20:09:22 MANAGEMENT: CMD 'pid'
2016-07-21 20:09:22 MANAGEMENT: CMD 'state on'
2016-07-21 20:09:22 MANAGEMENT: CMD 'state'
2016-07-21 20:09:22 MANAGEMENT: CMD 'bytecount 1'
2016-07-21 20:09:22 MANAGEMENT: CMD 'hold release'
2016-07-21 20:09:22 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2016-07-21 20:09:22 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2016-07-21 20:09:22 Socket Buffers: R=[131072->131072] S=[131072->131072]
2016-07-21 20:09:22 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
2016-07-21 20:09:22 Attempting to establish TCP connection with [AF_INET]server-ip:80 [nonblock]
2016-07-21 20:09:22 MANAGEMENT: >STATE:1469124562,TCP_CONNECT,,,
2016-07-21 20:09:23 TCP connection established with [AF_INET]server-ip:80
2016-07-21 20:09:23 TCPv4_CLIENT link local: [undef]
2016-07-21 20:09:23 TCPv4_CLIENT link remote: [AF_INET]server-ip:80
2016-07-21 20:09:23 MANAGEMENT: >STATE:1469124563,WAIT,,,
2016-07-21 20:10:23 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2016-07-21 20:10:23 TLS Error: TLS handshake failed
2016-07-21 20:10:23 Fatal TLS error (check_tls_errors_co), restarting
2016-07-21 20:10:23 SIGUSR1[soft,tls-error] received, process restarting


Auf dem Server habe ich im Verzeichnis "/etc/openvpn/" leider keine Log-File gefunden. Wie kann ich dies denn aktivieren?

Schon einmal vielen Dank und einen schönen Abend,
Daniel


Top
Offline Profile  
Reply with quote  
 Post subject: Re: TLS Handshake schlägt fehl
PostPosted: 22.07.2016 14:08 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
D4niel87 wrote:
Hallo zusammen,

ich bin seit heute neu hier im Board und komme direkt mit meiner ersten Frage um die Ecke :)
Habe einen vserver bei Strato und darauf einen OpenVPN Server installiert und versuche nun mit meinem Client (Mac OSX mit Tunnelblick) auf den Server zu verbinden, allerdings schlägt der TLS Handshake fehl und ich kann mir nicht erklären warum.

es gibt dazu paar Vermutungen

Quote:
Habe am Router schon Ports freigegeben, dies hat aber nicht geholfen. Habe nun den TCP 80 verwandt, da ich davon ausgehe, dass dieser im Router frei ist.
wie jetzt ? DU hast am Strato-Router (!) umkonfiguriert ?
Quote:
Aber auch dies hat nichts geholfen... Andere VPN Dienste mit eigenen Apps haben immer funktioniert :(
Daniel

Nimms mir nicht Übel .. irgendwo gelesen und nix verstanden.. ;-)

Ports freigeben musst du nur, wenn da was geblockt wird ! Steht in den RouterLogs...
Normalerweise lassen die ProviderPlastikSchachteln immer alles raus und auf etablierten Verbindungen auch die Antworten rein (und oft leider noch viel mehr)
Port 80/TCP zu benutzen... kann man machen, muss aber ein wenig aufpassen um mit Webtraffic nicht durcheinander zu kommen. darf kein Webserver laufen...

TLS Handshake...
1. die (Strato)Server ist erreichbar ? (Test: indem du z.B. ssh auf den Wunschport "umlegst" bzw. dort einen zweite Instanz laufen lässt)
2. die Zertifikate sind korrekt ausgestellt ?
3. die Zeitstempel dazu passen (falsche Zeitstempel haben uns mal fast 2 Stunden suchen lassen)
4. das Serverlog kann man konfigurieren und einschalten ...-> doku steht z.B. auf openvpn.net sowohl als Parameter oder Konfigurationseintrag. ggfs. (Linux) syslog-konfiguration beachten...

Alternativ kann man sich (bei Linux) auch durch die syslogs wühlen....

Tippe auf 2 -> 3 -> 1 Suchreihenfolge, solange du die "typischen Fehler" gemacht hast
evtl auch in der Server.conf korrekte + vollständige Pfade versuchen ?

F.
ps: dass man clientseitig Ports öffnen muss, kommt eigentlich nur in einer abgesichten Firmenstruktur vor -und da würde ich es wieder (mal) nicht tun! Warum soll alle Welt per port xx ( = 80?) Zugang auf mein Netz haben ?


Top
Offline Profile  
Reply with quote  
 Post subject: Re: TLS Handshake schlägt fehl
PostPosted: 22.07.2016 14:24 
DES
DES

Joined: 21.07.2016 17:53
Posts: 3
Hallo dl5ym,

vielen Dank fuer deine Antwort. Bin momentan nicht zu Hause, werde es aber spaeter direkt ueberprufen.

dl5ym wrote:
Nimms mir nicht Übel .. irgendwo gelesen und nix verstanden.. ;-)


Das glaube ich auch, deswegen bin ich hier :)

Mit Router habe ich meinen Router zu Hause gemeint und natuerlich nicht den von Strato :D Da habe ich mich wohl etwas unverstaendlich ausgedrueckt...

Ich melde mich zurueck, sobald ich deine Schritte alle ueberprueft habe

Danke und Gruss,
Daniel


Top
Offline Profile  
Reply with quote  
 Post subject: Re: TLS Handshake schlägt fehl
PostPosted: 22.07.2016 16:40 
DES
DES

Joined: 21.07.2016 17:53
Posts: 3
Aaalso,

habe die Zertifikate noch einmal komplett neu ausgestellt und nun klappt es :) Dafür schon einmal vielen Dank!!

Jetzt habe ich nur das Problem, dass ich mich zwar zum Server verbinden kann, dann aber von dort nicht ins Internet komme. Ich habe für das setzen der iptables schon alles mögliche ausprobiert, bekomme es aber irgendwie nicht hin.

Die ifconfig des servers sieht wie folgt aus:
Code:
lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.1  P-t-P:10.8.0.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          inet6 addr: ::2/128 Scope:Compat
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:155 errors:0 dropped:0 overruns:0 frame:0
          TX packets:125 errors:0 dropped:36 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:14113 (14.1 KB)  TX bytes:12086 (12.0 KB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:externe-ip  P-t-P:externe-ip  Bcast:externe-ip  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1


Das Problem ist, dass die Schnittstelle m.E. venet0:0 ist. Wenn ich aber bei den folgenden beiden Befehlen eth0 durch venet0:0 ersetze, tut sich nichts:
Code:
sysctl -w net.ipv4.ip_forward=1
iptables -A FORWARD -o venet0:0 -i tun0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o venet0:0 -j MASQUERADE


Die iptables sehen so aus:
Code:
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Noch einmal vielen Dank, ich bin schon ein ganzes Stück weiter. Jetzt fehlen nur noch die letzten Meter :)


Top
Offline Profile  
Reply with quote  
 Post subject: Re: TLS Handshake schlägt fehl
PostPosted: 23.07.2016 06:42 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
Hallo,
hier war einer ganz klug ??

wenn du schon eine öffentliche IP "versteckst" (vor wem?), dann lass wenigstens 2 Stellen drin, so das man sehen kann, dass es eine public-IP ist

179.28.x.x wäre so in dem Sinne
Ansonsten ... bin ich bei deinem FORWARD etwas irritiert!
eigentlich müsstest du NAT ..10.x.x.x wird im Internet nicht geroutet, du müsstest irgendwo einmal NAT

tun auf public-device

Das Problem bei vielen Internettexte ist eben, dass ganz spezielle Beispiele abgehandlet werden, aber auch dass jeder schreiben kann was er will ;-)

Dein Code-Beispiel zu "forward" erschliesst sich mit auch nicht, zumal Zeile1 mit den anderen Zeile nix zu tun hat!
Auch die folgenden Zeilen sind unklar -> Firewall (iptables): FORWARD ... von wo ?
Zumal in der Gesamtübersicht von iptables davon nix vorkommt !

Denk dran, dass Bespiel von Konfiguration A nicht auf der (andern) Konfiguration B laufen müssen bzw. dort etwas ganz anders bewirken können...

F.


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 5 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 5 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net