SSL VPN (Zertifikat Fehler)

lami · Beitrag von **lami** » Mo 11.10.2010, 08:34

ich machs kurz:

-----------------------------------------------------------------------------------------------------------------
SSL-VPN Fehlermeldung im LIVE LOG
------------------------------------------------------------------------------------------------------------
Oct, 8 10:57:44 OpenVPN openvpn[29446]: MULTI: multi_create_instance called
Oct, 8 10:57:44 OpenVPN openvpn[29446]: 109.84.247.60:1104 Re-using SSL/TLS context
Oct, 8 10:57:44 OpenVPN openvpn[29446]: 109.84.247.60:1104 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Oct, 8 10:57:44 OpenVPN openvpn[29446]: 109.84.247.60:1104 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Oct, 8 10:57:44 OpenVPN openvpn[29446]: 109.84.247.60:1104 Local Options hash (VER=V4): '239669a8'
Oct, 8 10:57:44 OpenVPN openvpn[29446]: 109.84.247.60:1104 Expected Remote Options hash (VER=V4): '3514370b'
Oct, 8 10:57:44 OpenVPN openvpn[29446]: 109.84.247.60:1104 TLS: Initial packet from 109.84.247.60:1104, sid=89977b64 bde6c35e
Oct, 8 10:57:45 OpenVPN openvpn[29446]: 109.84.247.60:1104 VERIFY ERROR: depth=0, error=unsupported certificate purpose: /C=DE/ST=Bayern/L=Regensburg/O=Schmid_Transport_und_Spedition_GmbH___Co._KG/OU=Leitung/CN=waal/emailAddress=a.wasser@schmid-transporte.de
Oct, 8 10:57:45 OpenVPN openvpn[29446]: 109.84.247.60:1104 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Oct, 8 10:57:45 OpenVPN openvpn[29446]: 109.84.247.60:1104 TLS Error: TLS object -> incoming plaintext read error
Oct, 8 10:57:45 OpenVPN openvpn[29446]: 109.84.247.60:1104 TLS Error: TLS handshake failed
Oct, 8 10:57:45 OpenVPN openvpn[29446]: 109.84.247.60:1104 SIGUSR1[soft,tls-error] received, client-instance restarting
------------------------------------------------------------------------------------------------------------

der VPN Benutzer meldet sich an, soll nach der anzeige auf der Securepoint eine ip-Adresse bekommen..

die verbindung steht aber auf'm client noch nicht. :shock:

gruß

carsten · Beitrag von **carsten** » Mo 11.10.2010, 08:48

Hallo,

wurde das Zertifikat korrekt in der Konfig eingebunden? Ist auf der FW bei dem SSL-Zertifikat der Haken bei "Server-Auth" gesetzt worden?

TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned

lami · Beitrag von **lami** » Di 12.10.2010, 12:08

ja schon. beim erstellen des zeritifikats Server Authentifizierung wurde angehackt.
bei der anmeldung auf dem client kommt die meldung dass der Benutzer schon existiert. auf dem router in der SSL-VPN Benutzer-Anzeige werden mir die verbindungsversuche angezeigt, zugleich den benutzer mit der richtigen ip-adresse des tunnels. jedoch immer noch kein vpn. :roll:

Beitrag von **Erik** » Di 12.10.2010, 13:43

Code: Alles auswählen

Oct, 8 10:57:45 OpenVPN openvpn[29446]: 109.84.247.60:1104 VERIFY ERROR: depth=0, error=unsupported certificate purpose:

Kann es sein, dass Sie beim Erstellen des Zertifikats für den User ("waal") auch den Haken "Server-Auth" gesetzt haben?

lami · Beitrag von **lami** » Di 09.11.2010, 09:41

hallo,

das thema ist geschafft.
ist zwar schon ne kleine zeit her, jedoch es lag schon an den zertifikaten.
das heißt, die waren beim erstellen schon ungültig. grund: gültigkeitsdauer bestmöglich auf 20 Jahre und nicht auf 30 oder höher :roll:
desweiteren, die IP-Adresse der SSL-VPN-ETH hätten pro user auf 4 IP hoch gerechnet werden müssen..
user 1: 192.168.250.2
user 2: 192.168.250.6, usw. (Pro netz eine IP) danach hats bis jetzt soweit geklappt :roll:
danke

Pascalk · Beitrag von **Pascalk** » Di 09.11.2010, 11:03

lami hat geschrieben:
user 1: 192.168.250.2

Bitte fangen Sie mit der IP 192.168.250.6 an, im Manual ist uns leider ein Fehler unterlaufen.

lami · Beitrag von **lami** » Di 23.11.2010, 12:49

ok.
da ich im mom zur zeit wieder mein problem hab mit der Fehlermeldung beim erstellen eines neuen Benutzers.

Fehler:

ERROR:Received AUTH_FAILED control message
ERROR:Application Exiting!

ich hab die ssl-vpn benutzer ab der 250.6 eingerichtet.
die vpn verbindung wird zwar aufgebaut jedoch noch keine verbindung auf mein internes netz.. :?
hoff es gibt eine einfache lösung für mein problem... und danke schon mal im voraus!

Beitrag von **Erik** » Di 23.11.2010, 13:38

Es gibt drei Möglichkeiten:
1. Username falsch (Sie müssen genau das eingeben, was unter "Login" steht)
2. Passwort falsch
3. Die Berechtigung "SSL-VPN" ist nicht gesetzt

lami · Beitrag von **lami** » Di 23.11.2010, 15:06

hallo,

leider ist soweit alles richtig gesetzt. anmelde-name passt, ssl-vpn ist gesetzt passwort wird auch richtig eingegeben. wie gesagt die vpn verbindung wird aufgebaut.
bekomme, wie zugewiesen, die ip 192.168.250.14 in tun0. jedoch sobald ich ins eth1 will komm ich nicht drauf.

lami · Beitrag von **lami** » Di 23.11.2010, 17:47

problem gelöst. route.exe war nicht vorhanden. unter einstellungen der client-verbindung die route methode auf ipapi hat es funktioniert. danke