Routingproblem mit OpenVPN und Basic-Tunnel

Danke fuer die Datei!

Setzt beim client doch mal verb und mute hoch damit das log mehr plappert. Eventuell findest du dann den Fehler leichter. Wuerde mal die Zertifikate komplett neu (nach Anleitung) erstellen. An der Stelle hatte ich mich mal verrannt:)
 
so hab die zertifikate nochmal neu gemacht. leider ohne erfolg:

openvpn log:
HTML:
Thu Mar 22 20:18:53 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Mar 22 20:18:53 2007 Control Channel MTU parms [ L:1589 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 20:18:53 2007 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32 EL:0 ]
Thu Mar 22 20:18:53 2007 Local Options hash (VER=V4): '7778e742'
Thu Mar 22 20:18:53 2007 Expected Remote Options hash (VER=V4): '3c42a582'
Thu Mar 22 20:18:53 2007 UDPv4 link local (bound): [undef]:1194
Thu Mar 22 20:18:53 2007 UDPv4 link remote: 80.131.33.55:1194
Thu Mar 22 20:18:53 2007 TLS: Initial packet from 80.131.33.55:1194, sid=3718fcd6 adde9567
Thu Mar 22 20:18:54 2007 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Neuss/O=Mumm_Authority/CN=Sebastian_Mumm/[email protected]
Thu Mar 22 20:18:54 2007 VERIFY nsCertType ERROR: /C=DE/ST=NRW/L=Krefeld/O=Behrens_House/CN=fritzbox/[email protected], require nsCertType=SERVER
Thu Mar 22 20:18:54 2007 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 22 20:18:54 2007 TLS Error: TLS object -> incoming plaintext read error
Thu Mar 22 20:18:54 2007 TLS Error: TLS handshake failed
Thu Mar 22 20:18:54 2007 TCP/UDP: Closing socket
Thu Mar 22 20:18:54 2007 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 22 20:18:54 2007 Restart pause, 2 second(s)
Thu Mar 22 20:18:56 2007 Control Channel MTU parms [ L:1589 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 20:18:56 2007 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32 EL:0 ]
Thu Mar 22 20:18:56 2007 Local Options hash (VER=V4): '7778e742'
Thu Mar 22 20:18:56 2007 Expected Remote Options hash (VER=V4): '3c42a582'
Thu Mar 22 20:18:56 2007 UDPv4 link local (bound): [undef]:1194
Thu Mar 22 20:18:56 2007 UDPv4 link remote: 80.131.33.55:1194
Thu Mar 22 20:18:56 2007 TLS Error: Unroutable control packet received from 80.131.33.55:1194 (si=3 op=P_CONTROL_V1)
Thu Mar 22 20:18:56 2007 TLS Error: Unroutable control packet received from 80.131.33.55:1194 (si=3 op=P_CONTROL_V1)
Thu Mar 22 20:18:56 2007 TLS Error: Unroutable control packet received from 80.131.33.55:1194 (si=3 op=P_CONTROL_V1)
Thu Mar 22 20:18:56 2007 TLS Error: Unroutable control packet received from 80.131.33.55:1194 (si=3 op=P_CONTROL_V1)
Thu Mar 22 20:18:56 2007 TLS: Initial packet from 80.131.33.55:1194, sid=1971e1b7 78bb15d6
Thu Mar 22 20:18:57 2007 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Neuss/O=Mumm_Authority/CN=Sebastian_Mumm/[email protected]
Thu Mar 22 20:18:57 2007 VERIFY nsCertType ERROR: /C=DE/ST=NRW/L=Krefeld/O=Behrens_House/CN=fritzbox/[email protected], require nsCertType=SERVER
Thu Mar 22 20:18:57 2007 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 22 20:18:57 2007 TLS Error: TLS object -> incoming plaintext read error
Thu Mar 22 20:18:57 2007 TLS Error: TLS handshake failed
Thu Mar 22 20:18:57 2007 TCP/UDP: Closing socket
Thu Mar 22 20:18:57 2007 SIGUSR1[soft,tls-error] received, process restarting

@flunki: könntest du mir eventuell mal zertifikate zum testen erstellen? vielleicht stell ich mich ja nur zu blöd an :)
 
Das faellt mir nur noch ein:

- Stimmt die Uhrzeit auf beiden Maschinen ?
Ich hatte mal gegen eine FB getestet welche nicht am DSL hing. Die hatte dann keine Uhrzeit und das cert war somit noch nicht gueltig.

- hast du hast ./build-key und NICHT ./build-key-server bei der Erstellung der client certs verwendent. = Nochmal mit ./build-key-server machen.

Ich grab mal wo/wie ich meine certs erstellt habe und melde mich wieder

Gruss Frank
 
Zuletzt bearbeitet:
Schau mal im WIKI unter:
http://wiki.ip-phone-forum.de/gateways:avm:howtos:mods:openvpn

Falls du dort schon mal geschaut hast: Ich hab heute mal die Konfigurationsdateien geändert. Damit sollte das laufen, denk ich.

Wenn nicht, sag mal bescheid

BTW: du versuchst, 2 LANs zu verbinden? Also box2box? oder VPN-client verbindet mit "Home-LAN", wie auf der Skizze
unter "angestrebte Verbindung"?
 
Jetzt muss ich doch auch noch mal was nachfragen.

Ich habe auch openvpn auf meiner fritzbox und auf meinem Rechner. Das ganze funktioniert eigentlich auch, da ich z.B. in beide Richtungen auf die IP-Adressen 10.0.0.1 bzw. 2 am Ende pingen kann.

Was mir allerdings aufgefallen ist, ist dass die Datei secret.key auf beiden Maschinen komplett identisch ist.

Das ist doch falsch, oder?
Theoretisch müsste doch auf dem Server ein public-key sein und auf dem Client der private-key.
 
Hast Du überhaupt eine Server/Client Konfiguration?
 
Eigentlich schon, denke ich.

Also vom Client aus rufe ich folgendes auf:
Code:
daniel-laptop:/home/daniel/fritzbox# openvpn --config client.ovpn

Vom Server(fritzbox) rufe ich dann das hier auf (unter /var/tmp):
Code:
./openvpn --config server.ovpn --dev-node /dev/misc/net/tun

Ok, eventuell noch mit der Option -daemon, damit das ganze auch im Hintergrund läuft.
 
risaer schrieb:
Schau mal im WIKI unter:
http://wiki.ip-phone-forum.de/gateways:avm:howtos:mods:openvpn

Falls du dort schon mal geschaut hast: Ich hab heute mal die Konfigurationsdateien geändert. Damit sollte das laufen, denk ich.

Wenn nicht, sag mal bescheid

BTW: du versuchst, 2 LANs zu verbinden? Also box2box? oder VPN-client verbindet mit "Home-LAN", wie auf der Skizze
unter "angestrebte Verbindung"?


habs jetzt mal nach deiner anleitung gemacht.
du gibst diese seite als quelle für die Binary für die Fritz!Box an:
http://www.ip-phone-forum.de/showpost.php?p=527338&postcount=180
dort gibt es inzwischen zwei verschiedene versionen.
beide zeigen mir nachdem ich den server damit starten will folgendes an:
Code:
# /var/tmp/ovpn/openvpn --cd /var/tmp/ovpn --config server.conf
/var/tmp/ovpn/openvpn: can't resolve symbol '__uClibc_start_main'

das bedeutet ja, dass das die falsche openvpn-version für die firmware 29.4.29 ist. wenn ich aber die Binary von mir (die ist die richtige für 29.04.29) benuzte kommt folgendes:
Code:
# /var/tmp/ovpn/openvpn --cd /var/tmp/ovpn --config server.conf
Options error: Unrecognized option or missing parameter(s) in server.conf:74: comp-lzo (2.1_rc1)
Use --help for more information.

was bedeutet das? welches binary benutzt du dafür?

edit:
hab jetzt einfach mal das "comp-lzo" beim server und beim client weg gelassen. jetzt startet der server und der client kann sich auch verbinden.
wenn ich per telnet auf der fritbox bin und der client sich verbindet kommt folgende meldung:
Code:
Apr  1 17:34:32 usermand[866]: 0.0.0.0:2076: connect to 10.0.0.2:14013 failed -
No route to host (148)
welche einstellung kann jetzt noch falsch sein?
 
Zuletzt bearbeitet:
Was steht denn in Zeile 74 der server.conf?
 
na: "comp-lzo!
 
wäre nett, wenn jemand mal sein openvpn binary für die fritzbox 7170 (29.4.29) hier posten bzw. verlinken könnte. ich glaube es die fehlermeldung kommt nur weil ich das falsche binary habe:
Code:
Options error: Unrecognized option or missing parameter(s) in server.conf:74: comp-lzo (2.1_rc1)
 
hat keiner eine Lösung für mein problem oder ein geeignetes Binary?
 
Hallo !

Na, wenn dein binary kein comp-lzo mag dann würde ich das doch erst mal aus der konfig nehmen .....
 
ja hab ich. dann klappts auch. aber ich dachte das comp-lzo wird eventuell dringend gebraucht. wofür ist das eigentlich :) ?
 
Wenn die Datenuebertragung komprimiert sein soll . . .
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.