OpenVPN Problem

[hex]

Hallo zusammen,

hab ein Problem mit OpenVPN. Hab an meiner Hochschule einen Account bekommen und versuche gerade zu verbinden und bekomme folgenden Output.

Wed May  7 11:02:57 2008 OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Feb 20 2008
Enter Private Key Password:
Wed May  7 11:03:00 2008 LZO compression initialized
Wed May  7 11:03:00 2008 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed May  7 11:03:00 2008 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed May  7 11:03:00 2008 Local Options hash (VER=V4): '69109d17'
Wed May  7 11:03:00 2008 Expected Remote Options hash (VER=V4): 'c0103fa8'
Wed May  7 11:03:00 2008 Attempting to establish TCP connection with x.x.x.x:443 [nonblock]
Wed May  7 11:03:01 2008 TCP connection established with x.x.x.x:443
Wed May  7 11:03:01 2008 Socket Buffers: R=[87380->131072] S=[16384->131072]
Wed May  7 11:03:01 2008 TCPv4_CLIENT link local: [undef]
Wed May  7 11:03:01 2008 TCPv4_CLIENT link remote: x.x.x.x:443
Wed May  7 11:03:01 2008 TLS: Initial packet from x.x.x.x:443, sid=...
Wed May  7 11:03:02 2008 VERIFY ERROR: depth=3, error=self signed certificate in certificate chain: /C=DE/O=Deutsche_Telekom_AG/OU=T-TeleSec_Trust_Center/CN=Deutsche_Telekom_Root_CA_2
Wed May  7 11:03:02 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed May  7 11:03:02 2008 TLS Error: TLS object -> incoming plaintext read error
Wed May  7 11:03:02 2008 TLS Error: TLS handshake failed
Wed May  7 11:03:02 2008 Fatal TLS error (check_tls_errors_co), restarting
Wed May  7 11:03:02 2008 TCP/UDP: Closing socket
Wed May  7 11:03:02 2008 SIGUSR1[soft,tls-error] received, process restarting
Wed May  7 11:03:02 2008 Restart pause, 5 second(s)
Wed May  7 11:03:04 2008 SIGINT[hard,init_instance] received, process exiting

Kann jemand was mit dem self-signed Problem anfangen?

Hier die Config. Vorlage von der Hochschule

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote x.x.x.x 443

# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Try to preserve some state across restarts.
persist-key
persist-tun

# SSL/TLS parms.
pkcs12 secret_key.p12

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

Distribution ist Ubuntu Hardy. OpenVPN Version steht oben im Output.
Vielen Dank!

mfg

 

[hoernchen]

Kann jemand was mit dem self-signed Problem anfangen?

Grundsaetzlich ja, es sieht so aus als wuerde er das benoetigte Zertifikat auf dem Client nicht finden. Mit welcher Befehlszeile startest denn OpenVPN ?

Siehe auch hier :

http://marc.info/?l=stunnel-users&m=95979041627182&w=2
http://www.onsight.com/faq/stunnel/

 

[Cyber]

Mir scheint also ob die Zeile

tls-client

fehlt.
Hast Du Dein Zertifikat (secret_key.p12) im gleichen Verzeichnis wie die conf?
Falls nicht, fehlt da nämlich auch die Pfadangabe.

 

[hex]

Danke für eure schnellen Anworten!

Ich starte mit

openvpn --config vpn.conf

Zertifikate müssten eigentlich alle installiert sein. Aber ich schau sicherheitshalber nochmal nach.

Mein Zertifikat ist im gleichen Verzeichnis wie die Config Datei.

tls-client hat leider auch keine Veränderung gebracht.

Irgendwie will mich das Ding glaub verarschen! Ich bin weiter dran!


mfg

 

[saeckereier]

Frag deine Hochschule nach einer Beispielconfig. Wenns mit der nicht läuft dann lass die es lösen.

 

[hex]

Frag deine Hochschule nach einer Beispielconfig. Wenns mit der nicht läuft dann lass die es lösen.

Genau das hab ich gemacht. Hab die Config von dem Systemadministrator bekommen und geändert.

client
dev tun
proto tcp
remote x.x.x.x 443
remote-random
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca xxx.pem
cert xxx.pem
key xxx.pem
comp-lzo
verb 3

Auch die Zertifikate sind jetzt anders. Dann war noch die Datei Windows-formatiert. Aber danach hat es geklappt!

Vielen Dank für die Hilfe!


mfg

 

[Ticha]

hmm... sei froh, dass du den OpenVPN Client benutzen aknnst. Bei uns auf der Hochschule funktioiniert nur der Cisco-VPN client, aber der ist halt nicht so der kracher.