1
OpenVPN ns-cert-type server
man-in-the-middle Schutz (ns-cert-type server) funktioniert nicht
Hallo!
ich habe ein etwas seltsames Problem:
ein entferntes Netz (192.168.0.l)
auf einem der beiden Rechner läuft OpenVpn-Server
hier die Scripte:
vpnserver.ovpn
server-bridge 192.168.1.1 255.255.255.0 192.168.1.8 192.168.1.10
port 26123
proto udp
dev tap
client-to-client
cipher AES-256-CBC
ca C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnserver.key
cert C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnserver.crt
dh C:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem
float
ping-timer-rem
keepalive 20 180
verb 6
mute 50
client.ovpn
client
remote xxx.dyndns.org
port 26123
proto udp
dev tap
cipher AES-256-CBC
ca D:\\installed_programms\\OpenVPN\\easy-rsa\\keys\\vpn-lev\\ca.crt
cert D:\\installed_programms\\OpenVPN\\easy-rsa\\keys\\vpn-lev\\client.crt
key D:\\installed_programms\\OpenVPN\\easy-rsa\\keys\\vpn-lev\\client.key
#ns-cert-type server
verb 6
mute 3
Die Zertifikate habe ich unter easy-rsa erstellt.
Für den Server: build-key-server [name]
Für den/die Client(s): build-key [name]
Von meinenem Netz zu Hause (172.13.66.1) kann ich mich problemlos verbinden.
Alles läuft wie es soll. Ich kann vom Client aus alle angeschlossenen Rechner und Netzwerkdrucker im entfernten Lan sehen.
Auch andere am Vpn-Server angemeldete Clients können sich untereinander sehen.
Will ich aber in den Client-Scripten die Option "ns-cert-type server" aktivieren dann kann ich mich nicht mehr verbinden.
Das Client.log meldet einen TLS-Error.
Ich kann natürlich alles so lassen denn die Verbindung ist stabil. Aber das kann es ja nicht sein. Der man-in-the-middle Schutz soll auf jeden Fall implementiert sein.
Ich bitte euch um einen Denkanstoss damit ich das Problem abhaken kann.
zambax
ich habe ein etwas seltsames Problem:
ein entferntes Netz (192.168.0.l)
auf einem der beiden Rechner läuft OpenVpn-Server
hier die Scripte:
vpnserver.ovpn
server-bridge 192.168.1.1 255.255.255.0 192.168.1.8 192.168.1.10
port 26123
proto udp
dev tap
client-to-client
cipher AES-256-CBC
ca C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnserver.key
cert C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnserver.crt
dh C:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem
float
ping-timer-rem
keepalive 20 180
verb 6
mute 50
client.ovpn
client
remote xxx.dyndns.org
port 26123
proto udp
dev tap
cipher AES-256-CBC
ca D:\\installed_programms\\OpenVPN\\easy-rsa\\keys\\vpn-lev\\ca.crt
cert D:\\installed_programms\\OpenVPN\\easy-rsa\\keys\\vpn-lev\\client.crt
key D:\\installed_programms\\OpenVPN\\easy-rsa\\keys\\vpn-lev\\client.key
#ns-cert-type server
verb 6
mute 3
Die Zertifikate habe ich unter easy-rsa erstellt.
Für den Server: build-key-server [name]
Für den/die Client(s): build-key [name]
Von meinenem Netz zu Hause (172.13.66.1) kann ich mich problemlos verbinden.
Alles läuft wie es soll. Ich kann vom Client aus alle angeschlossenen Rechner und Netzwerkdrucker im entfernten Lan sehen.
Auch andere am Vpn-Server angemeldete Clients können sich untereinander sehen.
Will ich aber in den Client-Scripten die Option "ns-cert-type server" aktivieren dann kann ich mich nicht mehr verbinden.
Das Client.log meldet einen TLS-Error.
Ich kann natürlich alles so lassen denn die Verbindung ist stabil. Aber das kann es ja nicht sein. Der man-in-the-middle Schutz soll auf jeden Fall implementiert sein.
Ich bitte euch um einen Denkanstoss damit ich das Problem abhaken kann.
zambax
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 98426
Url: https://administrator.de/contentid/98426
Printed on: April 23, 2024 at 23:04 o'clock
1 Comment
also, OpenVPN hat ein paar Eigenheiten. Obwohl augenscheinlich alles korrekt auf Client- und Serverseite konfiguriert wurde, sind bestimmte Funktionalitäten nicht verfügbar oder es treten Verbindungsprobleme bzw. Fehlermeldungen beim Verbinden auf. Es kann passieren das bei der Zertifikatserstellung etwas nicht ganz sauber läuft. In diesem Falle, wenn alles richtig konfiguriert wurde, einfach die Zertifikate neu erstellen und nicht stundenlang nach Fehlern suchen. Man lernt OpenVPN und seine Eigenheiten mit der Zeit kennen. Ich habe jetzt alle Kundennetze mit OpenVPN-Server ausgestattet und verbinde mich als Client dann per VPN um dann z.B. mit Remote-Software Wartungsarbeiten auszuführen. OpenVPN eignet sich auch ganz gut um Home-Office-Lösungen zu generieren. Ein sehr sinnvolles Future: OpenVPN-Server ist schon vor der Anmeldung am System verfügbar, wenn OpenVPN-Server als Dienst automatisch startet.
Eine gute Seite um den Umgang mit OpenVPN zu lernen ist http://www.vpnforum.de/.
Eine gute Seite um den Umgang mit OpenVPN zu lernen ist http://www.vpnforum.de/.
