Hallo,
Ich möchte eine VPN Verbindung einrichten (das war ja schon was, die Verbindung am Server einzurichten), jedenfalls bekomme ich jetzt die Meldung: "TLS handshake failed", am Server genauer mit "The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.". Ich hab da 2 Ideen warum das vl. nicht hinhaut und hoffe da auf Hilfe:
Angegeben habe ich soweit folgendes - das ist aber ok. Bei haben OpenVPN 2.4.3 und die cipher sind vorhanden. (geprüft per openvpn --show-tls / show-ciphers)
cipher AES-256-GCM
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
Die Config ist eine Mischung aus:
https://www.lisenet.com/2014/openvpn-server-and-client-setup-on-windows/
und https://forums.openvpn.net/viewtopic.php?t=23227
dabei habe ich in meinem var file "set KEY_ALGO=ec" und "set KEY_CURVE=secp521r1" angegeben aber die beiden wurden scheinbar ignoriert. Stattdessen wollte er unbeding Key_size - weil das so in der openssl-1.0.0.cnf steht. Was mache ich nun aber, wenn ich kein RSA will?
EDIT: Ich sollte wohl eher ECDSA sagen. Ändere ich die tls-cipher auf ein paar mit RSA, geht z.B die Verbindung über:
TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Ein neuer Blick in die cfg meinte, dass es auch an remote-cert-tls server liegen könnte. Ich hatte zuvor:
keyUsage = digitalSignature
extendedKeyUsage=clientAuth
http://pubs.vmware.com/vidm/index.j...UID-21A20382-D92F-4555-8902-07A04580F972.html
Ich brauche aber wohl eher:
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth (wobei ich bei clientAuth unsicher bin)
Ich möchte eine VPN Verbindung einrichten (das war ja schon was, die Verbindung am Server einzurichten), jedenfalls bekomme ich jetzt die Meldung: "TLS handshake failed", am Server genauer mit "The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.". Ich hab da 2 Ideen warum das vl. nicht hinhaut und hoffe da auf Hilfe:
Angegeben habe ich soweit folgendes - das ist aber ok. Bei haben OpenVPN 2.4.3 und die cipher sind vorhanden. (geprüft per openvpn --show-tls / show-ciphers)
cipher AES-256-GCM
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
Die Config ist eine Mischung aus:
https://www.lisenet.com/2014/openvpn-server-and-client-setup-on-windows/
und https://forums.openvpn.net/viewtopic.php?t=23227
dabei habe ich in meinem var file "set KEY_ALGO=ec" und "set KEY_CURVE=secp521r1" angegeben aber die beiden wurden scheinbar ignoriert. Stattdessen wollte er unbeding Key_size - weil das so in der openssl-1.0.0.cnf steht. Was mache ich nun aber, wenn ich kein RSA will?
EDIT: Ich sollte wohl eher ECDSA sagen. Ändere ich die tls-cipher auf ein paar mit RSA, geht z.B die Verbindung über:
TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Komplette TLS-Fehlermeldung schrieb:
Ein neuer Blick in die cfg meinte, dass es auch an remote-cert-tls server liegen könnte. Ich hatte zuvor:
keyUsage = digitalSignature
extendedKeyUsage=clientAuth
http://pubs.vmware.com/vidm/index.j...UID-21A20382-D92F-4555-8902-07A04580F972.html
Ich brauche aber wohl eher:
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth (wobei ich bei clientAuth unsicher bin)
Zuletzt bearbeitet:
