Verzweifel gerade mit OpenVPN...

Wollte meine Config und meine Scripts von scratch weg neu machen, bin auch auf einer neuen Version (2.1.3 am Server, 2.2.1 am Client) - und scheitere... *heul*.

Situation: 2 Debian-Rechner.

Zuerst habe ich mal *Stunden* verloren, weil ich so dämlich war, der Doku zu vertrauen:
http://openvpn.net/index.php/open-source/documentation/howto.html#mitm

Laut der Doku braucht das Server-Cert auch "keyEncipherment" - wenn ihr das macht, kommt am Client eine Fehlermeldung bezüglich der KU und das wars...

Derzeit scheint alles zu funktionieren - aber mit Einschränkungen: Der Client bekommt tun0 nicht hoch und keine IP. Wenn man nachher am Client ein

ifconfig tun0 10.9.0.2 netmask 255.255.255.0 up

absetzt, klappt aber alles fein. Ich tippe mal drauf, dass ich den Wald vor lauter Bäumen nicht sehe und ersuche um mitschauen.

Meine Server-Config (ich vermute, dass hier was fehlt):

#cat i5.conf|grep -v "#" | grep -v ";"
port 1194
proto udp
dev tun

ca /etc/openvpn/i5/cacert.pem
cert /etc/openvpn/i5/srv.pem
key /etc/openvpn/i5/key.pem

dh /etc/openvpn/i5/dh3072.pem

server 10.9.0.0 255.255.255.0
#push "route 10.9.0.0" - bringt auch nix

ifconfig-pool-persist /etc/openvpn/i5/ipp.txt
keepalive 10 120

comp-lzo

persist-key
persist-tun

status /etc/openvpn/i5/openvpn-status.log
log-append  /var/log/openvpn.log

verb 6
tls-server

topology subnet

gestartet wird der Server wie folgt:

/usr/sbin/openvpn --script-security 2 --writepid /var/run/openvpn.i5.pid --daemon ovpn-i5 --cd /etc/openvpn --config /etc/openvpn/i5.conf

Der Client wird wie folgt gestartet:

/usr/sbin/openvpn --script-security 2 --writepid /var/run/openvpn.bla.dyndns.org.pid --daemon ovpn-bla.dyndns.org --cd /etc/openvpn --config /etc/openvpn/bla.dyndns.org.conf

Die Client-Config (muss man hier nun was erlauben?):

tls-client
dev tun

proto udp
port 1194

remote 192.168.0.254 ; WLAN

ca  /etc/openvpn/bla.dyndns.org/ca+srvca.pem
cert /etc/openvpn/bla.dyndns.org/dell-lappy.pem
key /etc/openvpn/bla.dyndns.org/key.pem

log-append /var/log/openvpn.log
status /etc/openvpn/bla.dyndns.org/openvpn-status.log
comp-lzo
remote-cert-tls server
;ns-cert-type server
verb 4
cipher AES-128-CBC 
nobind

In der /var/log/daemon.log findet sich nichts zu openvpn - die /var/log/openvpn.log am Client ist aber verdächtig:

Sun Aug 19 20:42:19 2012 us=957883 Current Parameter Settings:
Sun Aug 19 20:42:19 2012 us=958105   config = '/etc/openvpn/bla.dyndns.org.conf'
Sun Aug 19 20:42:19 2012 us=958145   mode = 0
Sun Aug 19 20:42:19 2012 us=958177   persist_config = DISABLED
Sun Aug 19 20:42:19 2012 us=958207   persist_mode = 1
Sun Aug 19 20:42:19 2012 us=958225   show_ciphers = DISABLED
Sun Aug 19 20:42:19 2012 us=958255   show_digests = DISABLED
Sun Aug 19 20:42:19 2012 us=958285   show_engines = DISABLED
Sun Aug 19 20:42:19 2012 us=958303   genkey = DISABLED
Sun Aug 19 20:42:19 2012 us=958334   key_pass_file = '[UNDEF]'
....
Sun Aug 19 20:42:19 2012 us=970366 LZO compression initialized
Sun Aug 19 20:42:19 2012 us=970640 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Aug 19 20:42:19 2012 us=970746 Socket Buffers: R=[212992->131072] S=[212992->131072]
<b>
Sun Aug 19 20:42:19 2012 us=972012 TUN/TAP device tun0 opened
Sun Aug 19 20:42:19 2012 us=972086 TUN/TAP TX queue length set to 100
Sun Aug 19 20:42:19 2012 us=972180 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Aug 19 20:42:19 2012 us=972251 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
</b>
Sun Aug 19 20:42:19 2012 us=972268 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sun Aug 19 20:42:19 2012 us=972339 Local Options hash (VER=V4): '66096c33'
Sun Aug 19 20:42:19 2012 us=972381 Expected Remote Options hash (VER=V4): '691e95c7'
Sun Aug 19 20:42:20 2012 us=96348 VERIFY OK: depth=2, /C=AT/ST=Austria/O=...
Sun Aug 19 20:42:20 2012 us=98291 VERIFY OK: depth=1, /C=AT/ST=Austria/O=...
Sun Aug 19 20:42:20 2012 us=99018 Validating certificate key usage
Sun Aug 19 20:42:20 2012 us=99059 ++ Certificate has key usage  00a0, expects 00a0
Sun Aug 19 20:42:20 2012 us=99089 VERIFY KU OK
Sun Aug 19 20:42:20 2012 us=99122 Validating certificate extended key usage
Sun Aug 19 20:42:20 2012 us=99160 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Aug 19 20:42:20 2012 us=99178 VERIFY EKU OK
Sun Aug 19 20:42:20 2012 us=99205 VERIFY OK: depth=0, /C=AT/ST=Austria/O=...
Sun Aug 19 20:42:20 2012 us=387906 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sun Aug 19 20:42:20 2012 us=388036 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
....

Wenn man dies mit http://openvpn.net/index.php/open-source/documentation/howto.html#start vergleicht (JA, von der Site, wo Fehler drin sind):

Sun Feb  6 20:46:38 2005 OpenVPN 2.0_rc12 i686-suse-linux [SSL] [LZO] [EPOLL] built on Feb  5 2005
Sun Feb  6 20:46:38 2005 Diffie-Hellman initialized with 1024 bit key
<b>Sun Feb  6 20:46:38 2005 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Feb  6 20:46:38 2005 TUN/TAP device tun1 opened
Sun Feb  6 20:46:38 2005 /sbin/ifconfig tun1 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sun Feb  6 20:46:38 2005 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sun Feb  6 20:46:38 2005 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:23 ET:0 EL:0 AF:3/1 ]
</b>
Sun Feb  6 20:46:38 2005 UDPv4 link local (bound): [undef]:1194
Sun Feb  6 20:46:38 2005 UDPv4 link remote: [undef]
Sun Feb  6 20:46:38 2005 MULTI: multi_init called, r=256 v=256
Sun Feb  6 20:46:38 2005 IFCONFIG POOL: base=10.8.0.4 size=62
Sun Feb  6 20:46:38 2005 IFCONFIG POOL LIST
Sun Feb  6 20:46:38 2005 Initialization Sequence Completed

In dem Beispiel sieht man, dass nach dem TUN/TAP-Öffnen ifconfig anrennt. Am Server ist das bei mir auch (aber ohne "route add"), am Client aber nicht.

Hat jemand eine Idee, was ich falsch mache (ausser dem Versuchen, in <code> ein <b> zu verwenden?

19.08.2012, 21:03 Uhr - Editiert von kombipaket, alte Version: hier