kostenloser Webspace werbefrei: lima-city


VPN problem (self signed certificate)

lima-cityForumHeim-PCNetzwerke

  1. Autor dieses Themas

    loki-arsen

    loki-arsen hat kostenlosen Webspace.

    Hallo ich versuche mich gerad zu einem VPN zu verbinden.
    Nutze dazu den openVPN Client (mit GUI)

    aber ich erhalte immer den Fehler:
    VERIFY ERROR: depth=1, error=self signed certificate in certificate chain

    Liegt wohl daran dass die gegenseite nicht das Zertifikat von einer anderen Stelle ausstellen hat lassen ...

    nunja wie verbinde ich trotzdem ?
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Kannst bitte mal die vollständige Fehlermeldung, bzw. das ganze Log für den Verindungsaufbau posten?

    FF

    Beitrag zuletzt geändert: 1.9.2009 13:21:25 von fatfreddy
  4. Autor dieses Themas

    loki-arsen

    loki-arsen hat kostenlosen Webspace.

    Sun Aug 27 13:22:18 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
    Sun Aug 27 13:22:18 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
    Sun Aug 27 13:22:18 2009 LZO compression initialized
    Sun Aug 27 13:22:18 2009 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Sun Aug 27 13:22:18 2009 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Sun Aug 27 13:22:18 2009 Local Options hash (VER=V4): '41690919'
    Sun Aug 27 13:22:18 2009 Expected Remote Options hash (VER=V4): '530fdded'
    Sun Aug 27 13:22:18 2009 UDPv4 link local: [undef]
    Sun Aug 27 13:22:18 2009 UDPv4 link remote: IP.IP.IP.IP:1194
    Sun Aug 27 13:22:18 2009 TLS: Initial packet from IP.IP.IP.IP:1194, sid=d8747a22 ab374ea7
    Sun Aug 27 13:22:19 2009 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=AT/ST=W/L=Wien/O=ORGA/CN=DEVICE/emailAddress=admin@domain.at
    Sun Aug 27 13:22:19 2009 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Sun Aug 27 13:22:19 2009 TLS Error: TLS object -> incoming plaintext read error
    Sun Aug 27 13:22:19 2009 TLS Error: TLS handshake failed
    Sun Aug 27 13:22:19 2009 TCP/UDP: Closing socket
    Sun Aug 27 13:22:19 2009 SIGUSR1[soft,tls-error] received, process restarting


    hier
  5. Probier doch mal einen anderen VPN Clienten oder versuch über Windows eine VPN Verbindung und guck ob der gleiche Fehler kommt.

    Beitrag zuletzt geändert: 2.9.2009 10:25:39 von kelvar
  6. Autor dieses Themas

    loki-arsen

    loki-arsen hat kostenlosen Webspace.

    Also über Windows fragt er nach einem User und Passwort ...
    sollte er aber nicht, also kein Benutzer.

    Und würds gerne mit dem openVPN machen,
    wieso sollte ein andere das Problem mit dem Zertifikat nicht haben ...
  7. Hallo,

    bei Zertifikatsauthentifizierung ist es wichtig, dass die Komplette Zertifikatskette des Zertifikats-Ausstellers für dein System verfügbar ist. Bei Zertifikaten von öffentlichen Trustcentern ist das meist gewährleistet, weil die öffentlichen Schüssel der CAs (certification authorities, also die Zertifikats-Server) in den Betriebssystemen bereits enthalten sind. Wenn dein VPN-Partner ein selsbterstelltes Zertifikat verwendet, musst du dem Betriebssystem des VPN-Clienten die vollständige Zertifikatskette verfügbar machen. Wie das geht, ist vom Betriebssystem abhängig, setzt aber immer voraus, dass der Ersteller des Zertifikats dir einen Export des Zertifikats der Root-CA (oberste Instanz der Zertifikatskette) zur Verfügung stellt,das du dann in den Zertifikatsspeicher deines Systems unterhalb der Vertrauenswürdigen Herausgeber importieren musst.

    Welches Betriebssystem verwendest du? Dann kann ich dir u.U. auch eine genaue Anleitung zur Verfügung stellen.

    Gruss

    die-ulley
  8. Autor dieses Themas

    loki-arsen

    loki-arsen hat kostenlosen Webspace.

    Also ich verwende WinXP ...
    aslo hab cuh schon von der gegenstelle ein server.crt

    und auch sein config file ....

    client
    dev tap
    
    ifconfig 192.168.1.101 255.255.255.0
    
    ca server.crt
    cert meines.crt
    key meines.key
    
    proto udp
    remote home.dyndns.org 1194
    keepalive 10 60
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ns-cert-type server
    cipher BF-CBC
    comp-lzo
    verb 3
    float


    wenn ich das bei mir einsetzte

    kommt folgendes:
    Sat Sep 05 23:51:55 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
    Sat Sep 05 23:51:55 2009 WARNING: using --pull/--client and --ifconfig together is probably not what you want
    Sat Sep 05 23:51:55 2009 LZO compression initialized
    Sat Sep 05 23:51:55 2009 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Sat Sep 05 23:51:55 2009 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Sat Sep 05 23:51:55 2009 Local Options hash (VER=V4): 'd79ca330'
    Sat Sep 05 23:51:55 2009 Expected Remote Options hash (VER=V4): 'f7df56b8'
    Sat Sep 05 23:51:55 2009 UDPv4 link local: [undef]
    Sat Sep 05 23:51:55 2009 UDPv4 link remote: IP.IP.IP.IP:1194
    Sat Sep 05 23:51:55 2009 TLS: Initial packet from IP.IP.IP.IP:1194, sid=306b19d7 c4dfbf54
    Sat Sep 05 23:51:55 2009 VERIFY OK: depth=1, /C=AT/ST=W/L=Wien/O=orga/CN=router/emailAddress=admin@domain.at
    Sat Sep 05 23:51:55 2009 VERIFY OK: nsCertType=SERVER
    Sat Sep 05 23:51:55 2009 VERIFY OK: depth=0, /C=AT/ST=W/O=orga/CN=router/emailAddress=admin@domain.at

    Das symbol vom OpenVPN GUI wird so gelblich,
    und bei 'current state' steht connecting

    mehr passiert dann auch nicht (also er versuchts nach n paar Sekunden nochmal)
    aber die TAP Verbindung bleibt "tod" also sagt das kein Kabel angschlossen ist ...

    und jetzt weiß ich nicht wo das Problem liegt.

    ich hab das CA vom server
    selber key + cert
    und eine COnfig die bei jemand anderem eigentlich auch funktioniert ...
    ist mir unverständlich ...
  9. Hallo,

    sehe gerade, dass ihr versucht, über eine DynDNS-Adresse zu verbinden.


    remote home.dyndns.org 1194


    Die wird bei mir aber im DNS gar nicht aufgelöst. Seit ihr sicher, dass ihr den VPN-Server überhaupt erreicht? Könnt ihr mit seiner temporären IP-Adresse in der "remote" Zeile testen?

    gruss

    Die-Ulley
  10. Autor dieses Themas

    loki-arsen

    loki-arsen hat kostenlosen Webspace.

    dyndns-adresse ist abgeändert und die Mail adresse auch.

    im richtigen file sind es natürlich die Richtigen.

    ja wie gesagt Log steht in mienm letzten Post ...

    VERIFY OK:

    "current Status: connecting"
  11. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!