VPN problem (self signed certificate)
lima-city → Forum → Heim-PC → Netzwerke
adresse
ausstellen
betriebssystem
code
domain
export
gesagt log
herausgeber
initial
port
problem
router
server
symbol
system
verb
verbinden
verbindung
windows
zertifikat
-
Hallo ich versuche mich gerad zu einem VPN zu verbinden.
Nutze dazu den openVPN Client (mit GUI)
aber ich erhalte immer den Fehler:VERIFY ERROR: depth=1, error=self signed certificate in certificate chain
Liegt wohl daran dass die gegenseite nicht das Zertifikat von einer anderen Stelle ausstellen hat lassen ...
nunja wie verbinde ich trotzdem ? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Kannst bitte mal die vollständige Fehlermeldung, bzw. das ganze Log für den Verindungsaufbau posten?
FF
Beitrag zuletzt geändert: 1.9.2009 13:21:25 von fatfreddy -
Sun Aug 27 13:22:18 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Sun Aug 27 13:22:18 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Sun Aug 27 13:22:18 2009 LZO compression initialized Sun Aug 27 13:22:18 2009 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Sun Aug 27 13:22:18 2009 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Sun Aug 27 13:22:18 2009 Local Options hash (VER=V4): '41690919' Sun Aug 27 13:22:18 2009 Expected Remote Options hash (VER=V4): '530fdded' Sun Aug 27 13:22:18 2009 UDPv4 link local: [undef] Sun Aug 27 13:22:18 2009 UDPv4 link remote: IP.IP.IP.IP:1194 Sun Aug 27 13:22:18 2009 TLS: Initial packet from IP.IP.IP.IP:1194, sid=d8747a22 ab374ea7 Sun Aug 27 13:22:19 2009 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=AT/ST=W/L=Wien/O=ORGA/CN=DEVICE/emailAddress=admin@domain.at Sun Aug 27 13:22:19 2009 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Sun Aug 27 13:22:19 2009 TLS Error: TLS object -> incoming plaintext read error Sun Aug 27 13:22:19 2009 TLS Error: TLS handshake failed Sun Aug 27 13:22:19 2009 TCP/UDP: Closing socket Sun Aug 27 13:22:19 2009 SIGUSR1[soft,tls-error] received, process restarting
hier -
Probier doch mal einen anderen VPN Clienten oder versuch über Windows eine VPN Verbindung und guck ob der gleiche Fehler kommt.
Beitrag zuletzt geändert: 2.9.2009 10:25:39 von kelvar -
Also über Windows fragt er nach einem User und Passwort ...
sollte er aber nicht, also kein Benutzer.
Und würds gerne mit dem openVPN machen,
wieso sollte ein andere das Problem mit dem Zertifikat nicht haben ... -
Hallo,
bei Zertifikatsauthentifizierung ist es wichtig, dass die Komplette Zertifikatskette des Zertifikats-Ausstellers für dein System verfügbar ist. Bei Zertifikaten von öffentlichen Trustcentern ist das meist gewährleistet, weil die öffentlichen Schüssel der CAs (certification authorities, also die Zertifikats-Server) in den Betriebssystemen bereits enthalten sind. Wenn dein VPN-Partner ein selsbterstelltes Zertifikat verwendet, musst du dem Betriebssystem des VPN-Clienten die vollständige Zertifikatskette verfügbar machen. Wie das geht, ist vom Betriebssystem abhängig, setzt aber immer voraus, dass der Ersteller des Zertifikats dir einen Export des Zertifikats der Root-CA (oberste Instanz der Zertifikatskette) zur Verfügung stellt,das du dann in den Zertifikatsspeicher deines Systems unterhalb der Vertrauenswürdigen Herausgeber importieren musst.
Welches Betriebssystem verwendest du? Dann kann ich dir u.U. auch eine genaue Anleitung zur Verfügung stellen.
Gruss
die-ulley -
Also ich verwende WinXP ...
aslo hab cuh schon von der gegenstelle ein server.crt
und auch sein config file ....
client dev tap ifconfig 192.168.1.101 255.255.255.0 ca server.crt cert meines.crt key meines.key proto udp remote home.dyndns.org 1194 keepalive 10 60 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server cipher BF-CBC comp-lzo verb 3 float
wenn ich das bei mir einsetzte
kommt folgendes:
Sat Sep 05 23:51:55 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Sat Sep 05 23:51:55 2009 WARNING: using --pull/--client and --ifconfig together is probably not what you want Sat Sep 05 23:51:55 2009 LZO compression initialized Sat Sep 05 23:51:55 2009 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ] Sat Sep 05 23:51:55 2009 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Sat Sep 05 23:51:55 2009 Local Options hash (VER=V4): 'd79ca330' Sat Sep 05 23:51:55 2009 Expected Remote Options hash (VER=V4): 'f7df56b8' Sat Sep 05 23:51:55 2009 UDPv4 link local: [undef] Sat Sep 05 23:51:55 2009 UDPv4 link remote: IP.IP.IP.IP:1194 Sat Sep 05 23:51:55 2009 TLS: Initial packet from IP.IP.IP.IP:1194, sid=306b19d7 c4dfbf54 Sat Sep 05 23:51:55 2009 VERIFY OK: depth=1, /C=AT/ST=W/L=Wien/O=orga/CN=router/emailAddress=admin@domain.at Sat Sep 05 23:51:55 2009 VERIFY OK: nsCertType=SERVER Sat Sep 05 23:51:55 2009 VERIFY OK: depth=0, /C=AT/ST=W/O=orga/CN=router/emailAddress=admin@domain.at
Das symbol vom OpenVPN GUI wird so gelblich,
und bei 'current state' steht connecting
mehr passiert dann auch nicht (also er versuchts nach n paar Sekunden nochmal)
aber die TAP Verbindung bleibt "tod" also sagt das kein Kabel angschlossen ist ...
und jetzt weiß ich nicht wo das Problem liegt.
ich hab das CA vom server
selber key + cert
und eine COnfig die bei jemand anderem eigentlich auch funktioniert ...
ist mir unverständlich ...
-
Hallo,
sehe gerade, dass ihr versucht, über eine DynDNS-Adresse zu verbinden.
remote home.dyndns.org 1194
Die wird bei mir aber im DNS gar nicht aufgelöst. Seit ihr sicher, dass ihr den VPN-Server überhaupt erreicht? Könnt ihr mit seiner temporären IP-Adresse in der "remote" Zeile testen?
gruss
Die-Ulley -
dyndns-adresse ist abgeändert und die Mail adresse auch.
im richtigen file sind es natürlich die Richtigen.
ja wie gesagt Log steht in mienm letzten Post ...
VERIFY OK:
"current Status: connecting" -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage