-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 Hello,
i have the following configuration ###### Serverside openvpn.conf dev tun # OpenVPN laeuft als Server und verwendet 78.46.103.0/24 # als VPN-Subnetz; IP des Servers: 78.46.103.167 mode server ;tls-server ifconfig 78.46.103.167 255.255.255.0 # IP-Adressbereich für die Clients von 192.168.251.2-192.168.251.254 server 192.168.249.0 255.255.255.0 tun-mtu 1500 # Welcher Port soll verwendet werden? (Standard: UDP/5000) proto udp port 1193 # Welche Schluessel/Zertifikate sollen verwendet werden? # In welchem Verzeichnis liegen die Dateien? cd /etc/openvpn/ # Wir verwenden alles in einer Datei: CA-Cert, eigenes Cert, priv. Key ca ca_cert.pem cert servercert.pem key serverkey.pem # Diffie-Hellman-Parameter. # Diese Datei kann wie folgt erstellt werden: # openssl dhparam -out /etc/openvpn/dh2048.pem 2048 dh dh1024.pem # Ein gemeinsamer Schluessel kann ausserdem verwendet. # So koennen nur die Clients eine Verbindung aufbauen, # die auch das Geheimnis kennen. ;tls-auth preshared.key 0 # Welche CRL-Datei wird verwendet? # Die CRL ist eine von der CA unterschriebene Liste # mit den Zertifikaten, die sich nicht anmelden dürfen. ;crl-verify crl.pem # Pruefe, ob noch eine Verbindung mit dem Client besteht. # Jede 10 Sekunden einen Ping, falls nach 60 Sekunden # keine Antwort ankommt, wird ein Verbindungsabbruch angenommen. keepalive 10 120 # Erhalte Verbindung falls Client-IP-Adressen # waehrend der Verbindung sich aendern sollten. # (z.B. bei Dial-Up-Reconnect) ;float # Standardmäßig können die VPN-Clients untereinander nicht kommunizieren. # Um das zu bewerkstelligen ist folgender Parameter notwendig: client-to-client # Kompression für den Tunnel comp-lzo # Ermoeglicht mehrere gleichzeitige Verbindungen mit # dem gleichen Zertifikat. (nicht empfohlen) duplicate-cn # Abgeben der Prozess-Rechte nach dem Start: # * user Nutzer nach Rechteabgabe (mit moeglichst wenig Rechten) # * group Gruppe analog # * persist-key Lese die Schluessel nicht beim Neustart durch # SIGUSR1 bzw. --ping-restart ein # * persist-tun Analog fuer den Zugriff auf das TUN/TAP-Device user nobody group nobody #bei debian nogroup persist-key persist-tun # Log-Level: # 0 keine Ausgabe bis auf kritische Fehler # 4 empfohlen fuer Standardbetrieb # 5 und 6 zum Debuggen # 9 maximal verb 6 ## Merken welcher Client welche IP hatte ifconfig-pool-persist ipp.txt # Directory with client config client-config-dir /etc/openvpn/ccd # Daemon-Mode: keine Ausgabe auf das Terminal (stdout) sondern ins Syslog daemon # Sollte erst nach fertiger Konfiguration aktiviert werden # Unsere Authentifizierungsmethode auth SHA1 # Unsere Verschlüsselungsmethode cipher AES-256-CBC # Status-Datei mit den aktuell verbundenen Clients status /var/log/openvpn-status.log # Separate Logdatei log /var/log/openvpn.log log-append /var/log/openvpn.log ###### Clientside openvpn.conf dev tun client remote vpn.test.de 1193 proto udp # Welche Schluessel/Zertifikate sollen verwendet werden? # In welchem Verzeichnis liegen die Dateien? cd /etc/openvpn/ # Wir verwenden alles in einer Datei: CA-Cert, eigenes Cert, priv. Key ca ca_cert.pem cert client-cert.pem key client-key.pem nobind # Pruefe, ob noch eine Verbindung mit dem Client besteht. # Jede 10 Sekunden einen Ping, falls nach 60 Sekunden # keine Antwort ankommt, wird ein Verbindungsabbruch angenommen. keepalive 10 30 # Kompression für den Tunnel comp-lzo # Abgeben der Prozess-Rechte nach dem Start: # * user Nutzer nach Rechteabgabe (mit moeglichst wenig Rechten) # * group Gruppe analog # * persist-key Lese die Schluessel nicht beim Neustart durch # SIGUSR1 bzw. --ping-restart ein # * persist-tun Analog fuer den Zugriff auf das TUN/TAP-Device user nobody group nogroup #bei debian nogroup persist-key persist-tun # Log-Level: # 0 keine Ausgabe bis auf kritische Fehler # 4 empfohlen fuer Standardbetrieb # 5 und 6 zum Debuggen # 9 maximal verb 4 # Daemon-Mode: keine Ausgabe auf das Terminal (stdout) sondern ins Syslog daemon # Sollte erst nach fertiger Konfiguration aktiviert werden # Unsere Authentifizierungsmethode auth SHA1 # Unsere Verschlüsselungsmethode cipher AES-256-CBC ########### Currently i have three clients. One can already connect. Two have problem during connection establishing. cn-duplicate is on cause the non-connecting-clients share one certificate (later i want to resolve the certs and disable the parameter). All clients are connected through umts so i can not go directly via the ip on it. In the server logs i can see many connection-tries with state UNDEF - these have to be the other both clients. Additional i see the following entries: Sun Mar 30 10:51:58 2014 us=24275 80.187.100.154:20163 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Sun Mar 30 10:51:58 2014 us=24309 80.187.100.154:20163 TLS Error: TLS handshake failed Does anyone has an idea to solve this problem? Preferred without changing anything on client-side. Thanks a lot for your help, Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG/MacGPG2 v2.0.22 (Darwin) Comment: GPGTools - http://gpgtools.org Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBCgAGBQJTN967AAoJEFF6fE6T32A8u1wH/0KTXghwCEgyC4xWNwIwIXyV 0I6/eLBrNg1sqWAEEUms/gPmEVqkZRUGfm6Qg1oYDK5hMAWfkVP0+FnfCP31Bxun vzdwdCAM1JycdqwDAFQzee/Lsoq7ZH9NUbU1uiZeVNbQP3GU+l0G70h16JsxKCCN tlg6K7C/vogB9j0D3zKRt0UnxaqjntIypu35LLqUmCXTJ9rzoxfr9cQtu32cbjxZ 6lwcvgdipMXUj6/nH7Y8YNIxZr5idsluN3V35xKAKkf+hl3BRv/9UBUBpB+0aL1Y v/hWbUWCShpuyQXD1gqFsJlkTf2TeJdOhIcZJM5HGdnzMxcJniMihOD/Ule5Qig= =e2Lf -----END PGP SIGNATURE----- ------------------------------------------------------------------------------ _______________________________________________ Openvpn-users mailing list Openvpn-users@lists.sourceforge.net https://lists.sourceforge.net/lists/listinfo/openvpn-users
