openVPN - TLS key negotiation failed to occur within 60 seconds

Started by PhillU, June 22, 2019, 11:51:48 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 22, 2019, 11:51:48 AM Last Edit: June 22, 2019, 11:53:38 AM by PhillU
Hallo alle zusammen,

und zwar habe ich ein Problem mit dem Aufbauen einer openVPN Verbindung.
Ziel ist es später im Produktivbetrieb die opnSense zum Laufen zu bringen und bereite diese lokal vor.

Nun bin ich auf ein Problem gestoßen, was ich nicht so recht nachvollziehen kann und bisher keine der bekannten Lösungen
funktioniert hat.
Ich hatte auch relativ viel dazu gefunden vor allem zu beginn diesen Jahres.

Folgende Parameter vom System:
Hardware: Zotac ZBox Ci327
Netzwerk:

  • WAN -> Ist im lokalen LAN bei mir (192.168.0.20) via DHCP
  • LAN -> Hängt an einem separaten Switch (172.16.0.0/16)

Am WAN Port habe ich "Blockiere private Netze" Deaktiviert und auch das "Bogon-Netze" erstmal deaktiviert, damit das mit
den IP Adressen erstmal funktioniert. Wird dann später beim Einsatz wieder aktiviert, wenn sie dann direkt im Modem hängt.

Die Zeitzone ist auch korrekt auf Berlin eingestellt (+0200).

Nun habe ich mithilfe des Assistenten und auch direkt ohne Assistent mehrere male den openVPN Dienst konfiguriert.

  • Tunnelnetzwerk: 172.17.0.0/16
  • Lokales IPv4 Netzwerk; 172.16.0.0/16
  • DH Parameterlänge: 4096
  • Verschlüsselungsalgorithmus: AES-256-CBC
  • Authentifizierungs-Digestalgorithmus: SHA512
  • Zertifikatstiefe: 1 (Client + Server)
  • IPv6 deaktivieren: checked
  • Adresspool: checked

Bei den Zertifikaten habe ich alle selbst erstellt.

  • 1 Austeller erstellt (4096, SHA512)
  • 1 Zertifikat (4096, SHA512, Server Zeritifkat) -> Für den VPN Dienst
  • 1 Zertifikat (4096, SHA512, Client Zeritifkat) -> Für den Benutzer Dienst

Nun zu den Firewall Regeln:

  • WAN: IPv4 UDP   *   *   WAN Adresse   1194 (OpenVPN)   *
  • openVPN: IPv4 *   172.17.0.0/16   *   *   *   *   
  • LAN: IPv4 *   LAN Netzwerk   *   *   *   *      Default allow LAN to any rule

Wenn ich nun via Exporter für einen Benutzer das Format als Datei direkt exportiere und an einem anderen hinterlege,
und mich via normalen LAN auf die opnSense verbinden möchte, kommt der Fehler wie in der Überschrift.
Das komische hierbei ist, wenn ich während er versucht sich zu verbinden, in die Übersicht von dem
openVPN Dienst schaue, nach den aktiven Verbindungen, ist diese deutlich zu erkennen.
Eintrag:
Common Name   Reale Adresse                   Virtuelle Adresse   Verbunden seit   Bytes gesendet   Bytes Empfangen
UNDEF                   192.168.0.146:63445                                      2019-06-22 11:44:50   458 bytes   258 bytes

Jedoch kommt trotzdem die Meldung.

Ich hatte dies vorhin mit direkt einer PfSense Installation genauso hinterlegt, und da kann sich der selbe Computer ohne
Probleme verbinden.

So nun noch wie sieht der obere Teil der openVPN Datei aus:
Code Select

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA512
client
resolv-retry infinite
remote 192.168.0.20 1194 udp
lport 0
auth-user-pass
<ca>
...


Ich hoffe es sind soweit alle nötigen Daten, um vielleicht etwas zu erkennen wo ich mich vertan haben könnte.

Grüße
Phill
June 22, 2019, 01:48:55 PM #1
kannst du mal die einstellung bei dem export des opnevpn clienst posten
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
June 22, 2019, 02:43:58 PM #2
Hallo. Kein Problem:

  • Ferner Zugriffsserver: ** VPN:UDP:1194
  • Export type : Nur Datei
  • Hostname: 192.168.0.20
  • Port: 1194
  • Use random local port: checked
  • Validate server subject: unchecked
  • Windows Certificate System Store: unchecked
  • Disable password save: unchecked
  • Custom config: Leer

Und unten gibt es dann genau 1 Benutzer welcher Verlinkt ist auch mit dem passenden Zertifikat dahinter.
June 28, 2019, 11:26:42 AM #3
Hast du das ganze wirklich mal vom WAN der Kiste getestet oder immer nur vom LAN aus - was nicht sinnvoll ist, wenn du genau dort bist wo du dich per VPN eigentlich einwählen willst?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 07, 2019, 09:25:30 AM #4
Guten Morgen,

ich habe dies bisher nicht von dem WAN Anschluss her testen können, da ich für einen "Test" den Firmenanschluss nicht
lahm legen kann.

Gibt es eine Möglichkeit diesen sozusagen zu "simulieren"? Hatte gehofft, dass es mit dem Aufbau der Struktur, wie ich oben beschrieben habe, soweit ein Test und vorab Einrichtung funktionieren könnte.

Grüße
Phill
Print
Go Up Pages1
User actions