Discussion:
Frage zum CaCert OpenVPN Server...
Michael Weiller
2011-11-22 18:17:51 UTC
Permalink
Hallo zusammen,

ich hätte mal eine Frage zum CaCert OpenVPN Server (
https://wiki.cacert.org/openVPN/CommunityTunnel) der
Dominik George (
https://wiki.cacert.org/Community/HomePagesMembers/DominikGeorge?action=show&redirect=DominikGeorge
<https://wiki.cacert.org/Community/HomePagesMembers/DominikGeorge?action=show&redirect=DominikGeorge>)
für uns eingerichtet hat.

Ich hab als Betriebssystem Linux und hab nach der Wiki Anleitung
versucht den OpenVPN Server zu nutzen.
Leider bekomme ich immer einen TLS CERTIFICATE Fehler beim Verifizieren
des Zertifikats.

*# openvpn --config /home/weillerm/CAcertOpenVPN.ovpn
Sun Nov 13 10:57:46 2011 OpenVPN 2.2.1 x86_64-unknown-linux-gnu [SSL]
[LZO2] [EPOLL] [eurephia] built on Aug 13 2011
Sun Nov 13 10:57:46 2011 WARNING: Make sure you understand the semantics
of --tls-remote before using it (see the man page).
Sun Nov 13 10:57:46 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Enter Private Key Password:
Sun Nov 13 10:57:51 2011 WARNING: this configuration may cache passwords
in memory -- use the auth-nocache option to prevent this
Sun Nov 13 10:57:51 2011 WARNING: file
'/home/weillerm/Downloads/cacertweillereu-Cert.p12' is group or others
accessible
Sun Nov 13 10:57:51 2011 LZO compression initialized
Sun Nov 13 10:57:51 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:57:52 2011 TCP connection established with 78.47.142.76:443
Sun Nov 13 10:57:52 2011 TCPv4_CLIENT link local: [undef]
Sun Nov 13 10:57:52 2011 TCPv4_CLIENT link remote: 78.47.142.76:443
Sun Nov 13 10:57:55 2011 TLS_ERROR: BIO read tls_read_plaintext error:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
verify failed
Sun Nov 13 10:57:55 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:57:55 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:57:55 2011 Fatal TLS error (check_tls_errors_co), restarting
Sun Nov 13 10:57:55 2011 SIGUSR1[soft,tls-error] received, process
restarting
Sun Nov 13 10:58:00 2011 WARNING: Make sure you understand the semantics
of --tls-remote before using it (see the man page).
Sun Nov 13 10:58:00 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:58:00 2011 Re-using SSL/TLS context
Sun Nov 13 10:58:00 2011 LZO compression initialized
Sun Nov 13 10:58:00 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:58:01 2011 TCP connection established with 78.47.142.76:443
Sun Nov 13 10:58:01 2011 TCPv4_CLIENT link local: [undef]
Sun Nov 13 10:58:01 2011 TCPv4_CLIENT link remote: 78.47.142.76:443
Sun Nov 13 10:58:04 2011 TLS_ERROR: BIO read tls_read_plaintext error:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
verify failed
Sun Nov 13 10:58:04 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:58:04 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:58:04 2011 Fatal TLS error (check_tls_errors_co), restarting
Sun Nov 13 10:58:04 2011 SIGUSR1[soft,tls-error] received, process
restarting
Sun Nov 13 10:58:09 2011 WARNING: Make sure you understand the semantics
of --tls-remote before using it (see the man page).
Sun Nov 13 10:58:09 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:58:09 2011 Re-using SSL/TLS context
Sun Nov 13 10:58:09 2011 LZO compression initialized
Sun Nov 13 10:58:09 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:58:10 2011 TCP connection established with 78.47.142.76:443
Sun Nov 13 10:58:10 2011 TCPv4_CLIENT link local: [undef]
Sun Nov 13 10:58:10 2011 TCPv4_CLIENT link remote: 78.47.142.76:443
Sun Nov 13 10:58:13 2011 TLS_ERROR: BIO read tls_read_plaintext error:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
verify failed
Sun Nov 13 10:58:13 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:58:13 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:58:13 2011 Fatal TLS error (check_tls_errors_co), restarting
Sun Nov 13 10:58:13 2011 SIGUSR1[soft,tls-error] received, process
restarting
Sun Nov 13 10:58:18 2011 WARNING: Make sure you understand the semantics
of --tls-remote before using it (see the man page).
Sun Nov 13 10:58:18 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:58:18 2011 Re-using SSL/TLS context
Sun Nov 13 10:58:18 2011 LZO compression initialized
Sun Nov 13 10:58:18 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:58:19 2011 TCP connection established with 78.47.142.76:443
Sun Nov 13 10:58:19 2011 TCPv4_CLIENT link local: [undef]
Sun Nov 13 10:58:19 2011 TCPv4_CLIENT link remote: 78.47.142.76:443
Sun Nov 13 10:58:21 2011 TLS_ERROR: BIO read tls_read_plaintext error:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
verify failed
Sun Nov 13 10:58:21 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:58:21 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:58:21 2011 Fatal TLS error (check_tls_errors_co), restarting
Sun Nov 13 10:58:21 2011 SIGUSR1[soft,tls-error] received, process
restarting
Sun Nov 13 10:58:26 2011 WARNING: Make sure you understand the semantics
of --tls-remote before using it (see the man page).
Sun Nov 13 10:58:26 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:58:26 2011 Re-using SSL/TLS context
Sun Nov 13 10:58:26 2011 LZO compression initialized
Sun Nov 13 10:58:26 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:58:27 2011 TCP connection established with 78.47.142.76:443
Sun Nov 13 10:58:27 2011 TCPv4_CLIENT link local: [undef]
Sun Nov 13 10:58:27 2011 TCPv4_CLIENT link remote: 78.47.142.76:443
Sun Nov 13 10:58:30 2011 TLS_ERROR: BIO read tls_read_plaintext error:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
verify failed
Sun Nov 13 10:58:30 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:58:30 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:58:30 2011 Fatal TLS error (check_tls_errors_co), restarting
Sun Nov 13 10:58:30 2011 SIGUSR1[soft,tls-error] received, process
restarting
Sun Nov 13 10:58:31 2011 SIGINT[hard,init_instance] received, process
exiting*


Meine verwendete Konfig:
*$ cat CAcertOpenVPN.ovpn
dev tap
client
remote community-vpn.cacert.org 443
resolv-retry infinite
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /home/weillerm/Downloads/cacertweillereu-Cert.p12 # This is the
file exported from Firefox after generating your client certificate
tls-remote "/CN=community-vpn.cacert.org"*


Wäre super, wenn mir jemand einen Tip dazu geben könnte.

Gruß
Michael
h***@public.gmane.org
2011-11-22 19:40:06 UTC
Permalink
Am Tue, 22 Nov 2011 19:17:51 +0100
Post by Michael Weiller
Hallo zusammen,
ich hÀtte mal eine Frage zum CaCert OpenVPN Server (
https://wiki.cacert.org/openVPN/CommunityTunnel) der
Dominik George (
https://wiki.cacert.org/Community/HomePagesMembers/DominikGeorge?action=show&redirect=DominikGeorge
<https://wiki.cacert.org/Community/HomePagesMembers/DominikGeorge?action=show&redirect=DominikGeorge>)
fÃŒr uns eingerichtet hat.
Ich hab als Betriebssystem Linux und hab nach der Wiki Anleitung
versucht den OpenVPN Server zu nutzen.
Leider bekomme ich immer einen TLS CERTIFICATE Fehler beim
Verifizieren des Zertifikats.
*# openvpn --config /home/weillerm/CAcertOpenVPN.ovpn
Sun Nov 13 10:57:46 2011 OpenVPN 2.2.1 x86_64-unknown-linux-gnu [SSL]
[LZO2] [EPOLL] [eurephia] built on Aug 13 2011
Sun Nov 13 10:57:46 2011 WARNING: Make sure you understand the
semantics of --tls-remote before using it (see the man page).
Sun Nov 13 10:57:46 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:57:51 2011 WARNING: this configuration may cache
passwords in memory -- use the auth-nocache option to prevent this
Sun Nov 13 10:57:51 2011 WARNING: file
'/home/weillerm/Downloads/cacertweillereu-Cert.p12' is group or others
accessible
Sun Nov 13 10:57:51 2011 LZO compression initialized
Sun Nov 13 10:57:51 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:57:52 2011 TCP connection established with
78.47.142.76:443 Sun Nov 13 10:57:55 2011 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Nov 13 10:57:55 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:57:55 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:57:55 2011 Fatal TLS error (check_tls_errors_co),
restarting Sun Nov 13 10:57:55 2011 SIGUSR1[soft,tls-error] received,
process restarting
Sun Nov 13 10:58:00 2011 WARNING: Make sure you understand the
semantics of --tls-remote before using it (see the man page).
Sun Nov 13 10:58:00 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:58:00 2011 Re-using SSL/TLS context
Sun Nov 13 10:58:00 2011 LZO compression initialized
Sun Nov 13 10:58:00 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:58:01 2011 TCP connection established with
78.47.142.76:443 Sun Nov 13 10:58:04 2011 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Nov 13 10:58:04 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:58:04 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:58:04 2011 Fatal TLS error (check_tls_errors_co),
restarting Sun Nov 13 10:58:04 2011 SIGUSR1[soft,tls-error] received,
process restarting
Sun Nov 13 10:58:09 2011 WARNING: Make sure you understand the
semantics of --tls-remote before using it (see the man page).
Sun Nov 13 10:58:09 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:58:09 2011 Re-using SSL/TLS context
Sun Nov 13 10:58:09 2011 LZO compression initialized
Sun Nov 13 10:58:09 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:58:10 2011 TCP connection established with
78.47.142.76:443 Sun Nov 13 10:58:13 2011 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Nov 13 10:58:13 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:58:13 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:58:13 2011 Fatal TLS error (check_tls_errors_co),
restarting Sun Nov 13 10:58:13 2011 SIGUSR1[soft,tls-error] received,
process restarting
Sun Nov 13 10:58:18 2011 WARNING: Make sure you understand the
semantics of --tls-remote before using it (see the man page).
Sun Nov 13 10:58:18 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:58:18 2011 Re-using SSL/TLS context
Sun Nov 13 10:58:18 2011 LZO compression initialized
Sun Nov 13 10:58:18 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:58:19 2011 TCP connection established with
78.47.142.76:443 Sun Nov 13 10:58:21 2011 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Nov 13 10:58:21 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:58:21 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:58:21 2011 Fatal TLS error (check_tls_errors_co),
restarting Sun Nov 13 10:58:21 2011 SIGUSR1[soft,tls-error] received,
process restarting
Sun Nov 13 10:58:26 2011 WARNING: Make sure you understand the
semantics of --tls-remote before using it (see the man page).
Sun Nov 13 10:58:26 2011 NOTE: OpenVPN 2.1 requires '--script-security
2' or higher to call user-defined scripts or executables
Sun Nov 13 10:58:26 2011 Re-using SSL/TLS context
Sun Nov 13 10:58:26 2011 LZO compression initialized
Sun Nov 13 10:58:26 2011 Attempting to establish TCP connection with
78.47.142.76:443 [nonblock]
Sun Nov 13 10:58:27 2011 TCP connection established with
78.47.142.76:443 Sun Nov 13 10:58:30 2011 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Nov 13 10:58:30 2011 TLS Error: TLS object -> incoming plaintext
read error
Sun Nov 13 10:58:30 2011 TLS Error: TLS handshake failed
Sun Nov 13 10:58:30 2011 Fatal TLS error (check_tls_errors_co),
restarting Sun Nov 13 10:58:30 2011 SIGUSR1[soft,tls-error] received,
process restarting
Sun Nov 13 10:58:31 2011 SIGINT[hard,init_instance] received, process
exiting*
*$ cat CAcertOpenVPN.ovpn
dev tap
client
remote community-vpn.cacert.org 443
resolv-retry infinite
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /home/weillerm/Downloads/cacertweillereu-Cert.p12 # This is
the file exported from Firefox after generating your client
certificate tls-remote "/CN=community-vpn.cacert.org"*
WÀre super, wenn mir jemand einen Tip dazu geben könnte.
Gruß
Michael
hallo Michael

Versuch mal folgende config
##########################################
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry 1
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
askpass
auth-nocache
############################################

gruß hendrik
Michael Weiller
2011-11-22 20:13:00 UTC
Permalink
Post by h***@public.gmane.org
hallo Michael
Versuch mal folgende config
##########################################
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry 1
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
askpass
auth-nocache
############################################
gruß hendrik
Hallo Hendrik,

vielen Dank. Damit gehts.
Aber das bedeutet jetzt doch, das die Verbindung nicht mehr in ein TLS
Paket verpackt ist, oder?
Weiß Du den auch, wie man es mit funktionierendem TLS hinbekommt?

Vielen Dank schon mal.

Gruß
Michael
h***@public.gmane.org
2011-11-22 20:36:55 UTC
Permalink
Am Tue, 22 Nov 2011 21:13:00 +0100
Post by Michael Weiller
Post by h***@public.gmane.org
hallo Michael
Versuch mal folgende config
##########################################
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry 1
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
askpass
auth-nocache
############################################
gruß hendrik
Hallo Hendrik,
vielen Dank. Damit gehts.
Aber das bedeutet jetzt doch, das die Verbindung nicht mehr in ein TLS
Paket verpackt ist, oder?
Weiß Du den auch, wie man es mit funktionierendem TLS hinbekommt?
Vielen Dank schon mal.
Gruß
Michael
hallo Michael

da hast du wohl recht.
Ich habe ein wenig gespielt, aber weiß nicht ob das richtig ist
hÀnge unten mal
---------
tls-remote community-vpn.cacert.org
---------
dran.

dann funzt dat auch.
Ob das aber richtig ist weiß ich nicht.

gruß Hendrik
h***@public.gmane.org
2011-11-23 06:43:46 UTC
Permalink
Am Tue, 22 Nov 2011 21:36:55 +0100
Post by h***@public.gmane.org
Am Tue, 22 Nov 2011 21:13:00 +0100
Post by Michael Weiller
Post by h***@public.gmane.org
hallo Michael
Versuch mal folgende config
##########################################
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry 1
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
askpass
auth-nocache
############################################
gruß hendrik
Hallo Hendrik,
vielen Dank. Damit gehts.
Aber das bedeutet jetzt doch, das die Verbindung nicht mehr in ein
TLS Paket verpackt ist, oder?
Weiß Du den auch, wie man es mit funktionierendem TLS hinbekommt?
Vielen Dank schon mal.
Gruß
Michael
hallo Michael
da hast du wohl recht.
Ich habe ein wenig gespielt, aber weiß nicht ob das richtig ist
hÀnge unten mal
---------
tls-remote community-vpn.cacert.org
---------
dran.
dann funzt dat auch.
Ob das aber richtig ist weiß ich nicht.
gruß Hendrik
Hallo habe folgendes gefunden, ich weiß nicht ob dies relevant ist,
aber wenn dies der Fall ist, mÃŒsste die Zeile tls-remote entsprechend
angepasst werden.
Nur wie kann ich dir nicht sagen, aber dieser bug scheint noch nicht
gelöst.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=483472

Gruß Hendrik
Michael Weiller
2011-11-23 07:12:50 UTC
Permalink
Post by h***@public.gmane.org
Am Tue, 22 Nov 2011 21:36:55 +0100
Post by h***@public.gmane.org
Am Tue, 22 Nov 2011 21:13:00 +0100
Post by Michael Weiller
Post by h***@public.gmane.org
hallo Michael
Versuch mal folgende config
##########################################
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry 1
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
askpass
auth-nocache
############################################
gruß hendrik
Hallo Hendrik,
vielen Dank. Damit gehts.
Aber das bedeutet jetzt doch, das die Verbindung nicht mehr in ein
TLS Paket verpackt ist, oder?
Weiß Du den auch, wie man es mit funktionierendem TLS hinbekommt?
Vielen Dank schon mal.
Gruß
Michael
hallo Michael
da hast du wohl recht.
Ich habe ein wenig gespielt, aber weiß nicht ob das richtig ist
hänge unten mal
---------
tls-remote community-vpn.cacert.org
---------
dran.
dann funzt dat auch.
Ob das aber richtig ist weiß ich nicht.
gruß Hendrik
Hallo habe folgendes gefunden, ich weiß nicht ob dies relevant ist,
aber wenn dies der Fall ist, müsste die Zeile tls-remote entsprechend
angepasst werden.
Nur wie kann ich dir nicht sagen, aber dieser bug scheint noch nicht
gelöst.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=483472
Gruß Hendrik
Hallo Hendrik,

das mit dem Bug hab ich auch mal gefunden gehabt aber nachdem ich schon
OpenVPN in Version 2.2.1 habe, hab ich einfach mal unterstellt, das der
Bug schon gefixt ist.
Zumal Du mit dem einfachen Eintrag des

---------
tls-remote community-vpn.cacert.org
---------
Michael Weiller
2011-11-23 07:18:18 UTC
Permalink
Post by h***@public.gmane.org
Am Tue, 22 Nov 2011 21:36:55 +0100
Post by h***@public.gmane.org
Am Tue, 22 Nov 2011 21:13:00 +0100
Post by Michael Weiller
Post by h***@public.gmane.org
hallo Michael
Versuch mal folgende config
##########################################
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry 1
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
askpass
auth-nocache
############################################
gruß hendrik
Hallo Hendrik,
vielen Dank. Damit gehts.
Aber das bedeutet jetzt doch, das die Verbindung nicht mehr in ein
TLS Paket verpackt ist, oder?
Weiß Du den auch, wie man es mit funktionierendem TLS hinbekommt?
Vielen Dank schon mal.
Gruß
Michael
hallo Michael
da hast du wohl recht.
Ich habe ein wenig gespielt, aber weiß nicht ob das richtig ist
hänge unten mal
---------
tls-remote community-vpn.cacert.org
---------
dran.
dann funzt dat auch.
Ob das aber richtig ist weiß ich nicht.
gruß Hendrik
Hallo habe folgendes gefunden, ich weiß nicht ob dies relevant ist,
aber wenn dies der Fall ist, müsste die Zeile tls-remote entsprechend
angepasst werden.
Nur wie kann ich dir nicht sagen, aber dieser bug scheint noch nicht
gelöst.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=483472
Gruß Hendrik
Hallo Hendrik,

das mit dem Bug hab ich auch mal gefunden gehabt aber nachdem ich schon
OpenVPN in Version 2.2.1 habe, hab ich einfach mal unterstellt, das der
Bug schon gefixt ist.
Zumal Du mit dem einfachen Eintrag des
---------
tls-remote community-vpn.cacert.org
---------
Recht hast!
Dieser Eintrag funktioniert einwandfrei.

Vielen Dank für Deine Unterstützung.

Hier nochmal die zusammenfassung, für alle die eventuell auch Problem
damit haben.
Bei mir funktioniert jetzt nachfolgendes Setup und Linux einwandfrei mit
OpenVPN 2.2.1:
---------
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry infinite
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
tls-remote community-vpn.cacert.org
askpass
auth-nocache
---------

Gruß
Michael
h***@public.gmane.org
2011-11-23 07:56:19 UTC
Permalink
Am Wed, 23 Nov 2011 08:18:18 +0100
Post by Michael Weiller
Post by h***@public.gmane.org
Am Tue, 22 Nov 2011 21:36:55 +0100
Post by h***@public.gmane.org
Am Tue, 22 Nov 2011 21:13:00 +0100
Post by Michael Weiller
Post by h***@public.gmane.org
hallo Michael
Versuch mal folgende config
##########################################
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry 1
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
askpass
auth-nocache
############################################
gruß hendrik
Hallo Hendrik,
vielen Dank. Damit gehts.
Aber das bedeutet jetzt doch, das die Verbindung nicht mehr in ein
TLS Paket verpackt ist, oder?
Weiß Du den auch, wie man es mit funktionierendem TLS hinbekommt?
Vielen Dank schon mal.
Gruß
Michael
hallo Michael
da hast du wohl recht.
Ich habe ein wenig gespielt, aber weiß nicht ob das richtig ist
hÀnge unten mal
---------
tls-remote community-vpn.cacert.org
---------
dran.
dann funzt dat auch.
Ob das aber richtig ist weiß ich nicht.
gruß Hendrik
Hallo habe folgendes gefunden, ich weiß nicht ob dies relevant ist,
aber wenn dies der Fall ist, mÃŒsste die Zeile tls-remote
entsprechend angepasst werden.
Nur wie kann ich dir nicht sagen, aber dieser bug scheint noch nicht
gelöst.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=483472
Gruß Hendrik
Hallo Hendrik,
das mit dem Bug hab ich auch mal gefunden gehabt aber nachdem ich
schon OpenVPN in Version 2.2.1 habe, hab ich einfach mal unterstellt,
das der Bug schon gefixt ist.
Zumal Du mit dem einfachen Eintrag des
---------
tls-remote community-vpn.cacert.org
---------
Recht hast!
Dieser Eintrag funktioniert einwandfrei.
Vielen Dank fÃŒr Deine UnterstÃŒtzung.
Hier nochmal die zusammenfassung, fÃŒr alle die eventuell auch Problem
damit haben.
Bei mir funktioniert jetzt nachfolgendes Setup und Linux einwandfrei
---------
dev tap0
client
remote community-vpn.cacert.org 443
resolv-retry infinite
nobind
proto tcp-client
persist-key
persist-tun
comp-lzo
pkcs12 /weg/zu/deinem/xy.p12
tls-remote community-vpn.cacert.org
askpass
auth-nocache
---------
Gruß
Michael
hallo Michael,

das ist leider nicht das gelbe vom Ei!

ich habe noch zusÀtzlich
------
ca /etc/ssl/certs/cacert.org.pem
------
eingebaut. (debian sid)
Wo das bei anderen Linux-Systemen liegt kann ich nicht sagen.

Aber eigentlich sollte sollte es "/CN=..." heißen, um mit einem x509
only host zu verbinden, vor allem mit dem den du willst, um sicher zu
sein, daß dies auch der richtige ist.
Ich hoffe ich habe da alles verstanden.

btw. mein sys: Debian GNU/Linux wheezy/sid
openvpn:OpenVPN 2.2.0 x86_64-linux-gnu

Gruß Hendrik

Loading...