Hi Michael, On 30/03/14 11:07, Michael Post wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA512 > > Hello, > > i have the following configuration > > ###### Serverside openvpn.conf > dev tun > > # OpenVPN laeuft als Server und verwendet 78.46.103.0/24 > # als VPN-Subnetz; IP des Servers: 78.46.103.167 > mode server > ;tls-server > ifconfig 78.46.103.167 255.255.255.0 > > # IP-Adressbereich für die Clients von 192.168.251.2-192.168.251.254 > server 192.168.249.0 255.255.255.0 > > tun-mtu 1500 > > # Welcher Port soll verwendet werden? (Standard: UDP/5000) > proto udp > port 1193 > > # Welche Schluessel/Zertifikate sollen verwendet werden? > # In welchem Verzeichnis liegen die Dateien? > cd /etc/openvpn/ > > # Wir verwenden alles in einer Datei: CA-Cert, eigenes Cert, priv. Key > ca ca_cert.pem > cert servercert.pem > key serverkey.pem > > # Diffie-Hellman-Parameter. > # Diese Datei kann wie folgt erstellt werden: > # openssl dhparam -out /etc/openvpn/dh2048.pem 2048 > dh dh1024.pem > > # Ein gemeinsamer Schluessel kann ausserdem verwendet. > # So koennen nur die Clients eine Verbindung aufbauen, > # die auch das Geheimnis kennen. > ;tls-auth preshared.key 0 > > # Welche CRL-Datei wird verwendet? > # Die CRL ist eine von der CA unterschriebene Liste > # mit den Zertifikaten, die sich nicht anmelden dürfen. > ;crl-verify crl.pem > > # Pruefe, ob noch eine Verbindung mit dem Client besteht. > # Jede 10 Sekunden einen Ping, falls nach 60 Sekunden > # keine Antwort ankommt, wird ein Verbindungsabbruch angenommen. > keepalive 10 120 > > # Erhalte Verbindung falls Client-IP-Adressen > # waehrend der Verbindung sich aendern sollten. > # (z.B. bei Dial-Up-Reconnect) > ;float > > # Standardmäßig können die VPN-Clients untereinander nicht kommunizieren. > # Um das zu bewerkstelligen ist folgender Parameter notwendig: > client-to-client > > # Kompression für den Tunnel > comp-lzo > > # Ermoeglicht mehrere gleichzeitige Verbindungen mit > # dem gleichen Zertifikat. (nicht empfohlen) > duplicate-cn > > # Abgeben der Prozess-Rechte nach dem Start: > # * user Nutzer nach Rechteabgabe (mit moeglichst wenig Rechten) > # * group Gruppe analog > # * persist-key Lese die Schluessel nicht beim Neustart durch > # SIGUSR1 bzw. --ping-restart ein > # * persist-tun Analog fuer den Zugriff auf das TUN/TAP-Device > user nobody > group nobody #bei debian nogroup > > persist-key > persist-tun > > # Log-Level: > # 0 keine Ausgabe bis auf kritische Fehler > # 4 empfohlen fuer Standardbetrieb > # 5 und 6 zum Debuggen > # 9 maximal > verb 6 > > ## Merken welcher Client welche IP hatte > ifconfig-pool-persist ipp.txt > > # Directory with client config > client-config-dir /etc/openvpn/ccd > > # Daemon-Mode: keine Ausgabe auf das Terminal (stdout) sondern ins Syslog > daemon # Sollte erst nach fertiger Konfiguration aktiviert werden > > # Unsere Authentifizierungsmethode > auth SHA1 > > # Unsere Verschlüsselungsmethode > cipher AES-256-CBC > > # Status-Datei mit den aktuell verbundenen Clients > status /var/log/openvpn-status.log > > # Separate Logdatei > log /var/log/openvpn.log > log-append /var/log/openvpn.log > > > > ###### Clientside openvpn.conf > dev tun > > client > remote vpn.test.de 1193 > > proto udp > > # Welche Schluessel/Zertifikate sollen verwendet werden? > # In welchem Verzeichnis liegen die Dateien? > cd /etc/openvpn/ > > # Wir verwenden alles in einer Datei: CA-Cert, eigenes Cert, priv. Key > ca ca_cert.pem > cert client-cert.pem > key client-key.pem > > nobind > > # Pruefe, ob noch eine Verbindung mit dem Client besteht. > # Jede 10 Sekunden einen Ping, falls nach 60 Sekunden > # keine Antwort ankommt, wird ein Verbindungsabbruch angenommen. > keepalive 10 30 > > # Kompression für den Tunnel > comp-lzo > > # Abgeben der Prozess-Rechte nach dem Start: > # * user Nutzer nach Rechteabgabe (mit moeglichst wenig Rechten) > # * group Gruppe analog > # * persist-key Lese die Schluessel nicht beim Neustart durch > # SIGUSR1 bzw. --ping-restart ein > # * persist-tun Analog fuer den Zugriff auf das TUN/TAP-Device > user nobody > group nogroup #bei debian nogroup > persist-key > persist-tun > > # Log-Level: > # 0 keine Ausgabe bis auf kritische Fehler > # 4 empfohlen fuer Standardbetrieb > # 5 und 6 zum Debuggen > # 9 maximal > verb 4 > > # Daemon-Mode: keine Ausgabe auf das Terminal (stdout) sondern ins Syslog > daemon # Sollte erst nach fertiger Konfiguration aktiviert werden > > # Unsere Authentifizierungsmethode > auth SHA1 > > # Unsere Verschlüsselungsmethode > cipher AES-256-CBC > > > > ########### > > Currently i have three clients. > > One can already connect. Two have problem during connection establishing. > > cn-duplicate is on cause the non-connecting-clients share one > certificate (later i want to resolve the certs and disable the parameter). > > All clients are connected through umts so i can not go directly via > the ip on it. > > In the server logs i can see many connection-tries with state UNDEF - > these have to be the other both clients. > Additional i see the following entries: > > Sun Mar 30 10:51:58 2014 us=24275 80.187.100.154:20163 TLS Error: TLS > key negotiation failed to occur within 60 seconds (check your network > connectivity) > Sun Mar 30 10:51:58 2014 us=24309 80.187.100.154:20163 TLS Error: TLS > handshake failed > > > Does anyone has an idea to solve this problem? > Preferred without changing anything on client-side. > in 99% of the cases this error is caused by a switch of firewall that is blocking access; cheap switches are notoriously bad at forwarding UDP traffic. You could try setting up a TCP version of the service to see if that helps. The only parameter that you could tweak is --tls-timeout N
(default N=2) but as I said, in 99% of the cases this is caused by a firewall. HTH, JJK ------------------------------------------------------------------------------ _______________________________________________ Openvpn-users mailing list Openvpn-users@lists.sourceforge.net https://lists.sourceforge.net/lists/listinfo/openvpn-users
