[gelöst] V11/SSL VPN/Verbindungsfehler - SSL3 verify failed

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Tobias U.
Beiträge: 70
Registriert: Di 28.01.2014, 11:51

[gelöst] V11/SSL VPN/Verbindungsfehler - SSL3 verify failed

Beitrag von Tobias U. »

Hallo,

wie auch Andre Wandschneider in diesem Thread berichtet habe auch ich dieses Problem.
http://support.securepoint.de/viewtopic.php?f=5&t=832

Seit gestern berichtet der Kunde, das es bereits seit einiger Zeit zu Problemen beim Verbindungsaufbau bei einem SSL-VPN
kommt. Im Einsatz ist eine RC400 - V11.5.1. Das SSL-VPN Setup ist seit längerer Zeit produktiv. Die letzten Änderungen waren das aufspielen der Software Version 11.5.1 kurz nach deren Verfügbarkeit und das Einstellen der DH-Parameter gemäss dieser Information: http://support.securepoint.de/viewtopic.php?f=3&t=6216

Die Fehlermeldung, die ich an den Clients bekomme ist diese:

Code: Alles auswählen

Wed Aug 12 12:20:29 2015 UDPv4 link remote: [AF_INET]1.1.1.1:1200
Wed Aug 12 12:20:29 2015 TLS: Initial packet from [AF_INET]1.1.1.1:1200, sid=1dbb5f3c c8da48c2
Wed Aug 12 12:20:29 2015 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=DE, ST=BW, L=...., O=..., OU=IT, CN=..., emailAddress=....
Wed Aug 12 12:20:29 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Aug 12 12:20:29 2015 TLS Error: TLS object -> incoming plaintext read error
Wed Aug 12 12:20:29 2015 TLS Error: TLS handshake failed
Wed Aug 12 12:20:29 2015 SIGUSR1[soft,tls-error] received, process restarting
Wed Aug 12 12:20:29 2015 Restart pause, 2 second(s)
Der Verbindungsversuch und die Fehlermeldung wiederholt sich ständig bis die Anzahl der maximalen Verbindungsversuche erreicht ist. Die verwendeten Clients sind er MAC-Client Tunnelblick und OpenVPN 2.3.4-5 unter Linux. Der Securepoint SSL-VPN-Client wurde noch nicht getestet.

Auf der Serverseite zeigt sich im Log folgendes:

Code: Alles auswählen

Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: MULTI: multi_create_instance called
Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: 2.2.2.2:33212 Re-using SSL/TLS context
Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: 2.2.2.2:33212 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: 2.2.2.2:33212 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: 2.2.2.2:33212 Local Options String: 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: 2.2.2.2:33212 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: 2.2.2.2:33212 Local Options hash (VER=V4): '239669a8'
Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: 2.2.2.2:33212 Expected Remote Options hash (VER=V4): '3514370b'
Aug 12 12:56:43 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: 2.2.2.2:33212 TLS: Initial packet from [AF_INET]2.2.2.2:33212 (via [AF_INET]1.1.1.1%eth4), sid=d7789c0c 670a7031
Aug 12 12:56:45 openvpn-VPN-Server-Aussendienst-Homeoffice[6409]: MULTI: multi_create_instance called
Hier auch nochmal die Client-Konfiguration:

Code: Alles auswählen

client
dev tun
tun-mtu 1500
mssfix
proto udp
float
remote 1.1.1.1 1200
nobind
persist-key
persist-tun
ca /etc/openvpn/x/ca.crt
cert /etc/openvpn/x/client.crt
key /etc/openvpn/kast/client.key
verb 3
mute 20
auth-user-pass
route-method exe
route-delay 2
Das Problem ist gelöst. Die Client-Zertifikate waren falsch.
Nach oben
Antworten

Zurück zu „Allgemeines“