verbindung zw EFW 2.5.1 und OpenVPN nicht möglich

    Hallo zusammen,

    ich habe mir letzte Woche auf Anraten eines Freundes mir die EFW 2.5.1 heruntergeladen und installiert.
    nun möchte ich gerne OpenVPN konfigurieren und das versuche ich seit Tagen.
    vlt könnt ihr mir helfen?

    Folgende Konstellation:

    GRÜN (Vertrauenswürdiges, internes Netzwerk - LAN): 192.168.99.253/24 eth0
    ROT PPPoE (eth1): erreichbar per DynDNS

    name der efw: endian
    hängt bei mir in der domäne drin - der AD beitritt funktionierte wunderbar...

    client.ovpn:

    ich habe die Zertifikate erstellt, das CA importiert, so dass es von meinem Client auch als vertrauenswürdig eingestuft wird.
    das CA Zertifikat also rein in root - endian zerti zeigt mir an, dass die kette valid ist. das client1 zerti ebenso.
    kette ist also da.
    die p12 datei habe ich importiert, die efw sagt also auch folgendes:

    Host Zertifikat:
    C=DE/ST=NRW/L=Essen/O=Firma/OU=IT/CN=endian/name=Client/emailAddress=test@domain.com

    CA Zertifikat:
    C=DE/ST=NRW/L=Essen/O=Firma/OU=IT/CN=CA/name=Client/emailAddress=test@domain.com

    also alles wunderbar.
    die Client Zertifikate

    ca.crt
    client1.crt
    client1.key

    liegen zum einen unter c:\progam files\openvpn\config
    und auch unter c:\program files(x86)\openvpn\config

    beide verzeichnisse haben den selben Inhalt.

    Verbinde ich mich mit OpenVPN kommt folgende Mitteilung:

    das Serverprotokoll sagt:

    aus div. Meldungen habe ich entnommen, dass es ein Zertifikatsfehler sein soll - verstehe ich nicht, weil ich die Zertifikate komplett hintereinander erstellt habe, jede einzelne Fehlermeldung bei der erstellung beinhaltete ein löschen des keys verzeichnisses. und damit ein erneutes aufbauen der CA Zertifikate - bis ich alles komplett hatte und auf die jeweiligen Maschinen kopiert habe.

    ich habe keine Idee mehr...

    MFG CK

    Hm, ich glaube, Du machst Dir die Sache unnötig kompliziert. Was mir an Deiner Konfig spontan auffällt ist die Zeile mit dev tun. Dort sollte eigentlich dev tap stehen.
    Aber der Reihe nach: Es reicht vollkommen aus, das von der efw erzeugte CA-Zertifikat herunterzuladen und unter ..\OpenVPN\config zu speichern. Die ebenfalls dort abgelegte Konfiguration (xxx.ovpn) sollte ungefähr so aussehen:

    client
    dev tap
    proto udp
    port 1194
    remote <IP oder DYNDNS> 1194
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca <efw-zertifikat>.cer
    auth-user-pass
    comp-lzo
    verb 3

    Jetzt muss beim OpenVPN-Server auf der efw nur noch ein dynamischer IP-Adresspool angelegt sein und schon wuppt die Verbindung mit Benutzername und Kennwort. Wenn Du soweit bist kannst Du das Ganze natürlich auch mit Client-Zertifikaten ausbauen.

    Deine Fehlermeldung

    Sun Feb 12 16:55:02 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Sun Feb 12 16:55:02 2012 TLS Error: TLS handshake failed

    Tröste dich, den Fehler habe ich auch bei IPSEC VPN Verbindung.

    Irgendwas stimmt beim TLS handshake nett in dieser Version

    und keiner kann mir sagen, was den TLS handshake failed auslöst bzw wo ich da ansetzen muss um das zu beheben.

    Achja, VPN Verbindung von EFW zum Client mache ich auch wie der Kollege vor mir geschrieben hat.

    Du musst nur den DNS Pushen über /etc/openvpn/clients, hier ein file anlegen wie der user heist und dann die pushbefehle reinschreiben.
    Leider wird irgendwie der DNS nicht durchgereicht.
    Die Verbindung steht aber findet nix deswegen.