Re: openVPN und selfsigned certificates

[Dirk Linnerkamp <dirk.linnerkamp@online.de>]

Am 31.10.2013 00:12, schrieb Dirk:
> Hi Leute!
>
> Ich habe bisher via openVPN nur einen einzigen Client mit meinem Server
> verbunden. Das hat mit static key ganz wunderbar funktioniert. Jetzt
> würde ich gerne einen zweiten Client, ein Android-Tablet, per openVPN
> zu meinem Server verbinden. Es ist nun aber so, dass ich dann a) für
> jeden zusätzlichen Client eine neue openVPN-Instanz starten müsste und
> somit auch b) für jede Instanz neue Ports öffnen müsste. Außerdem kann
> Android kein static key.

.. vorweg kurz, wie meine Infrastruktur aussieht:

Ich nutze einen Openvpn Server mit drei verschiedenen Clients (Android, 
Windows, Linux), es läuft jeweils auch nur eine Instanz. Für das 
allerdings gerootete, (keine Ahnung, wie das bei Android Tablets ist) 
Android Smartphone nutze ich "OpenVPN für Android". Dies untestützt auch 
Static Key Files. Allerdings nutze ich diese Option nicht. Ich  habe 
sämtliche Keys und Zertifikate mittels Easy-RSA auf dem Server erzeugt 
und das ganze Netz zusätzlich mit einem ta.key abgesichert. (openvpn 
--genkey --secret ta.key) Anleitung nach:

http://openvpn.net/index.php/open-source/documentation/howto.html#mitm

Das ganze hat eigentlich so ziemlich "out-of-the-box" funktioniert und 
wenn der Server nicht gerade eine "wanderndes" Notebook ist, kann man 
auch bei dem Default Port 1194 bleiben.


> Also gemäß der diversen Howtos im Netz konfiguriert und mittels openssl
> die certificates erstellt. Vorwiegend nach
> http://www.pronix.de/pronix-938.html
> und
> http://wiki.openvpn.eu/index.php/OVPN-Linux
> Das klappt auch soweit alles wunderbar, nur will openVPN damit keine
> Verbindung aufbauen. Das log auf dem Server ist nichtssagend, dass auf
> dem Client sieht wie folgt aus:

[...]
> Die beiden "WARNING" am Anfang kann man ignorieren, das hat was mit
> meinen settings zu tun; a) weil ich openvpn funktionierend über ssh
> tunnele,

??

b) (ns-cert-type server), welches ich absichtlich
> herausgenommen habe.
>
> Mein Problem ist der TLS Error, für den ich im Web bisher weder auf
> deutsch noch auf englisch eine Lösung gefunden habe. Scheinbar mag
> openvpn keine per openssl erstellte self-signed certificates, nur habe
> ich keinen blassen Schimmer, wie ich das umgehen kann.

Dieser TLS Handshake Fehler kann auf viele Ursachen hindeuten. Die 
message kommt auch, wenn er der Server das Interface nicht erreichen kann..


 Man kann die certs wohl auch mit easyrsa erstellen, aber da scheitere
> ich schon am sourcen von vars, das funktioniert um's Verrecken nicht.

Warum denn nicht?  Ich bin da wie folgt vorgegangen:

1. Den vollständigen Easy-RSA Ordner von /usr/share/openvpn nach 
/etc/openvpn kopiert, 2. die darin enthaltene vars Datei editiert 
(wichtig: für jeden Client einen eindeutigen Namen!), dann in das 
/etc/openvpn/eassy-rsa - Verzeichnis gewechselt, die editierte vars 
Datei gesourced und anschließend , wie in dem obigen Link beschrieben, 
die einzelnen Keys und Certs erzeugt.

Welche Fehlermeldung erzeugt das denn..??

Gruß Dirk