Problem mit OpenVPN auf Fritzbox 7240 (Kernel 2.6)

funlike

Neuer User
Mitglied seit
12 Dez 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo, ich sitze jetzt schon 3 Tage dran und hab das ganze Internet leer gelesen ;) und keine Lösung gefunden. Hoffe Ihr könnt mir helfen.

Mein Ansatz war eine Kombination aus:

http://www.ip-phone-forum.de/showthread.php?t=65863&page=10&highlight=openvpn
und
http://www.cswpro.de/Howto/FritzBox_OpenVPN.aspx

So sehen meine Configs aus:

server.conf
#
# Grundsaetzliches
#proto tcp-server
local 192.168.5.253
port 1194
proto udp
dev tap0
#dev-node /var/tmp/tun
# Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client
# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.5.0 255.255.255.0"
# Authentifizierung und Verschluesselung
ca /var/usb/vpn/ca.crt
cert /var/usb/vpn/fritzbox.crt
key /var/usb/vpn/fritzbox.key
dh /var/usb/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
push "redirect-gateway"
keepalive 10 60


Verbindung zu meiner FritzBox.ovpn (client)
#
# Grundsätzliches (Was soll der CLIENT nutzen)
port 1194
proto udp
dev tap0
dev tap
# Client-Einstellungen
tls-client
#ns-cert-type server
remote-cert-tls server
remote XXXXXXXX 1194
# Authentifizierung und Verschlüsselung
ca ca.crt
cert client01.crt
key client01.key
auth SHA1
cipher AES-256-CBC
# Sonstiges
pull


startup.sh (auf server)
#
# Start des telnet-daemons
echo Starting telnetd
/usr/sbin/telnetd -l /sbin/ar7login
# warten, bis das DSL da ist
echo Waiting for internet connection
while !(ping -c 1 www.google.de); do
sleep 5
done
# tun-Device anlegen, falls noch nicht vorhanden
echo Creating TUN device
mknod /var/tmp/tun c 10 200
# Sonstiges
ifconfig eth0:1 192.168.5.253 netmask 255.255.255.0 broadcast 192.168.5.255 up
#cp /var/usb/vpn/ar7.cfg /var/flash/ar7.cfg
#ar7cfgchanged
chmod +x /var/usb/vpn/openvpn
chmod 600 /var/usb/vpn/fritzbox.key
chmod 600 /var/usb/vpn/server.conf
# start OpenVPN (Dateinamen ggf. anpassen)
echo Starting OpenVPN
cd /var/usb/vpn
./openvpn --config server.conf --daemon


Portfreigabe in der Weboberfläche der Fritzbox:
VPN-Server UDP 1194 PC-192-168-5-253 1194


Output beim server:

# ./openvpn --config server.conf
Wed Dec 14 11:41:54 2011 OpenVPN 2.1_rc1 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jan 5 2007
Wed Dec 14 11:41:54 2011 WARNING: file '/var/usb/vpn/fritzbox.key' is group or others accessible
Wed Dec 14 11:41:54 2011 TUN/TAP device tap0 opened
Wed Dec 14 11:41:54 2011 /sbin/ifconfig tap0 10.0.0.1 netmask 255.255.255.0 mtu 1500 broadcast 10.0.0.255
Wed Dec 14 11:41:54 2011 UDPv4 link local (bound): 192.168.5.253:1194
Wed Dec 14 11:41:54 2011 UDPv4 link remote: [undef]
Wed Dec 14 11:41:54 2011 Initialization Sequence Completed


Folgende Fehlermeldung beim Windows7 client:

TLS Error: client->client or server->server connection attempted from XX.XX.XXX.XXX:1194


Ich bin mit meinem Latein am Ende. Wäre super wenn mir jemand weiterhelfen könnte.
 
Zuletzt bearbeitet:

PsychoMantis

Aktives Mitglied
Mitglied seit
18 Dez 2005
Beiträge
2,525
Punkte für Reaktionen
7
Punkte
38
Vielleicht hilft dir das weiter. Ich hatte mal OpenVPN-Server aufgesetzt und dann den Client in einer 7270er und alles funktionierte auf Anhieb.
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
1
Punkte
36
Moin,

erstmal ein paar grundsätzliche Dinge: Portforwarding auf eine "virtuelle IP" von neuren Firmwares wird nicht mehr (so richtig) unterstützt. Du solltest unbedingt eine Freigabe auf die "0.0.0.0" einrichten...
Beim Server würde ich das Binden an eine IP entfernen ("local 192.168.5.253") .

Bringt dich das schon weiter??
 

funlike

Neuer User
Mitglied seit
12 Dez 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Danke für eure Antworten!

@PsychoMantis:
Konnte ich leider nicht viel mit anfangen. Will ja n Fritzbox VPN Server und keinen Client.

@PsychoMantis:
Das war mein erster Lösungsansatz die ar7.cfg zu bearbeiten. Ging aber irgendwie nicht. Beim Neustart waren die Änderungen weg. Auf deine Antwort hin hab ich nochmal geschaut und folgende Anleitung gefunden:
http://www.wehavemorefun.de/fritzbox/OpenVPN

nvi /var/flash/ar7.cfg
"tcp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPNserverbox",
"udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPNserverbox", (hielt ich für sinnvoller)
tap0 hinzufügen
beenden
ar7cfgchanged


local 192.168.5.253 entfernt
Soweit so gut. OpenVPN Server starten.
Kommt folgendes:

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)


Und auf der Clientseite diese Fehlermeldung:

TLS Error: Unroutable control packet received from


Was will mir das sagen?
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
1
Punkte
36
"TLS Error: Unroutable control packet received from..":

Ist da vorher ein anderer Fehler?
Z.B. was in Richtung ungültiges Zertifikat, noch nicht oder nicht mehr gültiges Zertifikat (Stimmen Datum und Uhrzeit)??
 

funlike

Neuer User
Mitglied seit
12 Dez 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
"TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed"

Sollte ich die Zertifikate mal neu erstellen? Sind eigentlich ganz frisch und sauber.

PS: Hab zwischenzeitlich einen Apache zum laufen gebracht. Die Fritz ist n geiles Stück ;)
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
1
Punkte
36
Steht kurz davor noch was zu dem Zert, z.B. in der Art "not yet valid" oder so??

Auf jeden Fall die Zeiten beachten (Uhrzeit auf dem Gerät, wo die Zerts gebaut werden, die Gültigkeitsdauer der Zertifikate und Zeit auf der Box müssen passen)...
 

funlike

Neuer User
Mitglied seit
12 Dez 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Komplette Fehlermeldung vom Client:

Fri Dec 16 23:17:35 2011 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
Fri Dec 16 23:17:35 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Dec 16 23:17:35 2011 UDPv4 link local (bound): [undef]:1194
Fri Dec 16 23:17:35 2011 UDPv4 link remote: XX.XXX.XXX.XX:1194
Fri Dec 16 23:17:36 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Dec 16 23:17:36 2011 TLS Error: TLS object -> incoming plaintext read error
Fri Dec 16 23:17:36 2011 TLS Error: TLS handshake failed
Fri Dec 16 23:17:36 2011 SIGUSR1[soft,tls-error] received, process restarting
Fri Dec 16 23:17:38 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Dec 16 23:17:38 2011 UDPv4 link local (bound): [undef]:1194
Fri Dec 16 23:17:38 2011 UDPv4 link remote: XX.XXX.XXX.XX:1194
Fri Dec 16 23:17:38 2011 TLS Error: Unroutable control packet received from

Server und Client haben die selbe Zeit, Zeitzone und Datum.
Die Gültigkeitsdauer der Zertifikate habe ich nicht eingeschränkt. Wüsste jetzt aber auch nicht wie sich das prüfen lässt.
Ansonsten erstelle ich die Zertifikate für beide Seiten die nächsten Tage nochmal bzw. wohl erst im neuen Jahr. Die nächste Zeit muss ich mich um andere Sachen kümmern. Aber vielen Dank für deine Mühe vorab und schöne Feiertage und guten Rutsch. Im neuen Jahr gerne mehr Input zu dem Thema :)