OpenVPN - TLS handshake failed

[Hoerli]

Hallo Forum!

Ich habe für einen Bekannten einen OpenVPN-Server auf einem vServer installiert, damit dieser unbeschwert ins Netz über ein HotSpot kommt.
Leider funktioniert der Verbindungsaufbau nicht.
Das hier ist der Log des OpenVPN-Clients:

Wed Aug 29 19:37:31 2018 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Wed Aug 29 19:37:31 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Aug 29 19:37:31 2018 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Wed Aug 29 19:37:31 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25341
Wed Aug 29 19:37:31 2018 Need hold release from management interface, waiting...
Wed Aug 29 19:37:31 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25341
Wed Aug 29 19:37:31 2018 MANAGEMENT: CMD 'state on'
Wed Aug 29 19:37:31 2018 MANAGEMENT: CMD 'log all on'
Wed Aug 29 19:37:31 2018 MANAGEMENT: CMD 'echo all on'
Wed Aug 29 19:37:31 2018 MANAGEMENT: CMD 'bytecount 5'
Wed Aug 29 19:37:31 2018 MANAGEMENT: CMD 'hold off'
Wed Aug 29 19:37:31 2018 MANAGEMENT: CMD 'hold release'
Wed Aug 29 19:37:31 2018 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Wed Aug 29 19:37:31 2018 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Wed Aug 29 19:37:31 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]54.37.90.222:1194
Wed Aug 29 19:37:31 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Aug 29 19:37:31 2018 UDP link local: (not bound)
Wed Aug 29 19:37:31 2018 UDP link remote: [AF_INET]IP-Des-vServers:1194
Wed Aug 29 19:37:31 2018 MANAGEMENT: >STATE:1535564251,WAIT,,,,,,
Wed Aug 29 19:38:31 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Aug 29 19:38:31 2018 TLS Error: TLS handshake failed
Wed Aug 29 19:38:31 2018 SIGUSR1[soft,tls-error] received, process restarting
Wed Aug 29 19:38:31 2018 MANAGEMENT: >STATE:1535564311,RECONNECTING,tls-error,,,,,

Was wurde bisher versucht:
- DNS-Server des Clients auf z.B. Google oder CloudFlare geändert
- Port des OpenVPN-Servers geändert
- Protokoll der Netzwerkverbindung geändert (TCP und UDP)
- Das ganze auf einem Android-Smartphone per OpenVPN-App

Welche Hürde muss überwunden werden?
- Eine Sophos-Firewall und vermutlich DNS-Server

Mit z.B. ProtonVPN kann er eine Verbindung aufbauen und ist damit auch online, aber die Geschwindigkeit mit einem gratis Account ist halt dürftig.

In einer VM-Maschine mit OpenVPN funktioniert bei mir der Verbindungsaufbau tadellos und ich kann über den vServer ins Netz.
Daher kann ich ausschließen, das der OpenVPN-Server nicht funktioniert.
Dieser wurde mit diesem Installationsscript (https://git.io/vpn) installiert und ein Zertifikat erstellt.
Die Config wurde mit hilfe des Scripts erstellt und von mir nicht verändert.

Meine Vermutung liegt nahe, das die anderen VPN-Dienste ein SSL-Zertifikat mitbringen, welches den gesammten Traffic an der Sophos-Firewall vorbei schleusen kann.
Lieg ich damit richtig?

Hoffe jemand kennt eine Lösung dafür

 

[FranzvonAssisi]

Ist leider keine konkrete Lösung für dein problem, aber lohnt sich ja vllt für dich:
Wenn dus länger brauchst Nord VPN - 99$ für 3 Jahre. Alle Server.

Bin gestern erst gewechselt von Proton VPN zu Nord VPN weil mir die neue Tarifstruktur zu teuer ist.

https://nordvpn.com/de/special/deal/

 

[Ikebana]

Poste mal die client und die server conf Datei

 

[Hoerli]

@FranzvonAssisi Wie lange er das braucht ist gerade nicht bekannt. Daher fliegt ein kostenpflichtiger Dienst vorerst mal raus. Wenn wirklich nichts geht, dann kann man darüber nachdenken.

@Ikebana
Server-Config:

port 1193
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 127.0.0.1"
push "dhcp-option DNS 213.186.33.99"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

Was du mit Client-Config meinst, ist mir aktuell nicht ganz schlüssig.
Es wurde der OpenVPN-Client installiert und das vom Server generierte Zertifikat importiert.

Das hat in den ersten Zeilen das hier drin:

client
dev tun
proto tcp
sndbuf 0
rcvbuf 0
remote IP-vom-vServer 1193
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
setenv opt block-outside-dns
key-direction 1
verb 3

... ab hier folgen Hashwerte & Co.

 

[Ikebana]

Die config finde ich ein wenig eigen, bei mir stehen noch ein paar mehr Zeilen in der Server config wie z.B.

tls-server
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
tls-auth tls-auth.key 0

Du kannst jetzt 2 Stunden debuggen oder dieses Skript hier benutzen: OpenVPN Install
Nutze ich selber und funktioniert hervorragend.

Davor aber alte config und keys aus /etc/openvpn löschen

 

[Hoerli]

Hmm okay.
Ich werde das andere Script mal testen und mich ggf. melden

 

[Nase765]

moin,
da passt was nicht ..., oben im log.
proto = UDP
port = 1194

unten in der config.
proto = TCP
port = 1193

und

remote IP-vom-vServer 1193

da fehlt doch eine ip-adresse oder ein dyndns-adresse, oder ist das alles soll gewollt?

gruss nase765