Cert Prob mit OpenVPN : Freetz1.0

[lynckmeister]

Hallo Forum ,

ich habe mir gestern in mein Freetz mal Openvpn kompiliert.
Ich benutze hier von meinem Laptop schon die ganze Zeit unter Windows OVPN um mich mit dem Büro zu verbinden.
Gestern habe ich mir also nach dem gängigen Howto den Dienst konfigurirert , meine Zertifikate von Windows übre die Freetz-oberfläche reingepastet und siehe da, es ging auf Anhieb!! Ip zugewiesen , remote Netz war pingbar.
Heute allerdings geht nichts mehr , ich hab jetzt drei Stunden rumgefummelt , ohne Erfolg. An den Zertifikaten kann es eigentlich nicht liegen. Vielleicht kann einer von euch mal von den Logs was lesen :

[Edit frank_m24: Bitte benutzt CODE Tags für Log Ausgaben.]

Sat Jan  1 01:19:56 2000 SIGUSR1[soft,tls-error] received, process restarting
Sat Jan  1 01:19:56 2000 Restart pause, 2 second(s)
Sat Jan  1 01:19:58 2000 WARNING: file '/tmp/flash/box.key' is group or others accessible
Sat Jan  1 01:19:58 2000 LZO compression initialized
Sat Jan  1 01:19:58 2000 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jan  1 01:19:58 2000 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jan  1 01:19:58 2000 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sat Jan  1 01:19:58 2000 UDPv4 link local: [undef]
Sat Jan  1 01:19:58 2000 UDPv4 link remote: 212.202.212.190:5004
Sat Jan  1 01:19:58 2000 TLS: Initial packet from 212.202.212.190:5004, sid=ade53afc 2e086062
Sat Jan  1 01:19:59 2000 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=DE/ST=DE/L=WIESBADEN/O=LYTH/CN=LYTH_CA/[email protected]
Sat Jan  1 01:19:59 2000 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
Sat Jan  1 01:19:59 2000 TLS Error: TLS object -> incoming plaintext read error
Sat Jan  1 01:19:59 2000 TLS Error: TLS handshake failed
Sat Jan  1 01:19:59 2000 TCP/UDP: Closing socket
Sat Jan  1 01:19:59 2000 SIGUSR1[soft,tls-error] received, process restarting
Sat Jan  1 01:19:59 2000 Restart pause, 2 second(s)
Sat Jan  1 01:20:01 2000 WARNING: file '/tmp/flash/box.key' is group or others accessible
Sat Jan  1 01:20:01 2000 LZO compression initialized
Sat Jan  1 01:20:01 2000 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jan  1 01:20:01 2000 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jan  1 01:20:01 2000 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sat Jan  1 01:20:01 2000 UDPv4 link local: [undef]
Sat Jan  1 01:20:01 2000 UDPv4 link remote: 212.202.212.190:5004
Sat Jan  1 01:20:01 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_ACK_V1)
Sat Jan  1 01:20:02 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:02 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:02 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:02 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:04 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:04 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:04 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:04 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:04 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_ACK_V1)
Sat Jan  1 01:20:05 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:05 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:20:05 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)

nach etlichen wiederholungen sagt er schliesslich wenn er aufgibt :

Sat Jan  1 01:19:50 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:19:50 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_ACK_V1)
Sat Jan  1 01:19:52 2000 TLS Error: Unroutable control packet received from 212.202.212.190:5004 (si=3 op=P_ACK_V1)
Sat Jan  1 01:19:56 2000 TLS: Initial packet from 212.202.212.190:5004, sid=2112b35c b5a970da
Sat Jan  1 01:19:56 2000 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=DE/ST=DE/L=WIESBADEN/O=LYTH/CN=LYTH_CA/[email protected]
Sat Jan  1 01:19:56 2000 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
Sat Jan  1 01:19:56 2000 TLS Error: TLS object -> incoming plaintext read error
Sat Jan  1 01:19:56 2000 TLS Error: TLS handshake failed
Sat Jan  1 01:19:56 2000 TCP/UDP: Closing socket

vielen Dank für eure Hilfe !

 

[MaxMuster]

Moin, das ist (vermutlich) recht einfach: Dein Problem ist die nicht gesetzte Uhr der Box ("Sat Jan 1 01:19:56 2000 "), so dass die erzeugten Zertifikate "aus der Zukunft" sind ("error=certificate is not yet valid"). Abhilfe wäre z.B. das setzen der Uhrzeit auf heute, 20:00 Uhr:

 date -s '2008-11-09 20:00:00'

Jörg

 

[lynckmeister]

hi jörg,
danke für deine antwort, genau sowas hab ich irgendwo im net gefunden , hab mich schon gefreut - gemacht getan, aber es ging immernoch nicht... jetzt wo du es auch schreibst, werd ich es nochmal checken.. das kann doch garnicht sein

anyway ...

 

[hermann72pb]

Doch, das kann sein. Die Box startet doch immer mit dem 01.01.2000. Mir ist nur nicht klar, warum noch keiner damit Probleme bekommen hat. Und warum hat deine Box keine korrekte Zeit? Normalerweise kriegt sie die Zeit kurz nach DSL-connect synchronisiert.

Interessant ist in diesem Zusammenhang, wie AVM ihre Zertifikate für https-Server erzeugt. Sie werden doch bei jedem Neustart "mal frisch eben" generiert (echt seltsam, aber egal). Als Folge sind diese Zertifikate alle mit dem 01.01.2000 datiert. Ich weiß nicht genau, was da die AVM-Entwickler als Dauer festgelegt haben, damit die Zertifikate immer noch als aktiv gelten. Ich glaube, 10 oder 15 Jahre. Aber dadurch, dass die Zertifikate selbstunterschrieben sind, werden sie ehe von Browsern als korrupt angesehen.

MfG

 

[lynckmeister]

unglaublich , es war so wie ihr schreibt, aus irgendeinem grund hab ich wohl gestern den date befehl nicht richtig eingesetzt und wohl nicht gemerkt, dass die datum und uhrzeit wohl aber das datum nicht richtig gesetzt wurde.
heute hab ich ausserdem festgestellt, dass dadruch, dass ich den date befehl einmal falsch gsetzt habe, das datum auf 2019 gesetzt wurde. von dort hab ich es nicht mehr weg bekommen.. nur ein box reset hat geholfen, danach gings auf anhieb...
vielen dank nochmal.
by the way, hat jemand ahnung wie ich das remote netz nun masquieren kann ? so , dass meine clients aus dem lokalen netz die maschinen im anderen erreichen. ich werds jetzt mit iptables probieren ( so gehts jedenfalls normalerweise ) ... aber vieleicht kann die box selber auch noch was ... thx

achja die box erkennt bei mir die zeit nicht, weil sie weder am isdn noch am dsl haengt der trend geht halt zur 2. box )))