10
Open VPN Zertifikat wird von Sophos verfälscht
Guten Tag an alle Adminisratoren,
ich habe folgendes Problem:
Ich habe Netz A(192.168.100.x) und Netz B(192.168.1.x) zwischen den beiden Netzen ist eine Sophos Firewall(192.168.100.241)(192.168.1.254). Im Netz B läuft ein Open VPN Server. Jetzt möchte ich mich aus Netz A eine VPN Verbindung aufbauen. Das Problem ist das die Zertifikate die bei dem Server ankommen die von der Sophos sind und daher nicht vom Server akzeptiert werden.
Es wirkt so als ob die Sophos die Zertifikate die vom Netz A abgeschickt werden abfängt und an stelle dieser eigene an das Netz B verschickt. Und die werden halt nicht akzeptiert.
Folgender Fehler kommt immer wieder:
Mon Sep 22 13:03:48 2014 Restart pause, 2 second(s)
Mon Sep 22 13:03:50 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Sep 22 13:03:50 2014 Socket Buffers: R=[8192->8192] S=[64512->64512]
Mon Sep 22 13:03:50 2014 UDPv4 link local: [undef]
Mon Sep 22 13:03:50 2014 UDPv4 link remote: [AF_INET]192.168.100.241:1194
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,WAIT,,,
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,AUTH,,,
Mon Sep 22 13:03:50 2014 TLS: Initial packet from [AF_INET]192.168.100.241:1194, sid=b5f3cd81 750395cc
Mon Sep 22 13:03:50 2014 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Dortmund, O=TestGmbH, CN=TestGmbH Client Auth CA, emailAddress=
Mon Sep 22 13:03:50 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Sep 22 13:03:50 2014 TLS Error: TLS object -> incoming plaintext read error
Mon Sep 22 13:03:50 2014 TLS Error: TLS handshake failed
Mon Sep 22 13:03:50 2014 SIGUSR1[soft,tls-error] received, process restarting
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,RECONNECTING,tls-error,,
Mon Sep 22 13:03:50 2014 Restart pause, 2 second(s)
Danke im Vorraus
Mit freuendlichen Grüßen Vladislav
ich habe folgendes Problem:
Ich habe Netz A(192.168.100.x) und Netz B(192.168.1.x) zwischen den beiden Netzen ist eine Sophos Firewall(192.168.100.241)(192.168.1.254). Im Netz B läuft ein Open VPN Server. Jetzt möchte ich mich aus Netz A eine VPN Verbindung aufbauen. Das Problem ist das die Zertifikate die bei dem Server ankommen die von der Sophos sind und daher nicht vom Server akzeptiert werden.
Es wirkt so als ob die Sophos die Zertifikate die vom Netz A abgeschickt werden abfängt und an stelle dieser eigene an das Netz B verschickt. Und die werden halt nicht akzeptiert.
Folgender Fehler kommt immer wieder:
Mon Sep 22 13:03:48 2014 Restart pause, 2 second(s)
Mon Sep 22 13:03:50 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Sep 22 13:03:50 2014 Socket Buffers: R=[8192->8192] S=[64512->64512]
Mon Sep 22 13:03:50 2014 UDPv4 link local: [undef]
Mon Sep 22 13:03:50 2014 UDPv4 link remote: [AF_INET]192.168.100.241:1194
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,WAIT,,,
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,AUTH,,,
Mon Sep 22 13:03:50 2014 TLS: Initial packet from [AF_INET]192.168.100.241:1194, sid=b5f3cd81 750395cc
Mon Sep 22 13:03:50 2014 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Dortmund, O=TestGmbH, CN=TestGmbH Client Auth CA, emailAddress=
Mon Sep 22 13:03:50 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Sep 22 13:03:50 2014 TLS Error: TLS object -> incoming plaintext read error
Mon Sep 22 13:03:50 2014 TLS Error: TLS handshake failed
Mon Sep 22 13:03:50 2014 SIGUSR1[soft,tls-error] received, process restarting
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,RECONNECTING,tls-error,,
Mon Sep 22 13:03:50 2014 Restart pause, 2 second(s)
Danke im Vorraus
Mit freuendlichen Grüßen Vladislav
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 249822
Url: https://administrator.de/contentid/249822
Printed on: April 16, 2024 at 23:04 o'clock
10 Comments
Latest comment
Hallo ,
Denn openvpnserver muss Du durchschleifen zum anderen Server und entsprechend die Ports dafuer freischalten.
da Sophos die Zertifikate nicht erkennt.
Besser waere es aber den openvpnserver in die Tonne zu treten und die vpn von der UTM zu nutzen.
Gruss
Denn openvpnserver muss Du durchschleifen zum anderen Server und entsprechend die Ports dafuer freischalten.
da Sophos die Zertifikate nicht erkennt.
Besser waere es aber den openvpnserver in die Tonne zu treten und die vpn von der UTM zu nutzen.
Gruss
Nein, das liegt nicht an der Sophos sondern an deinen falsch signierten OVPN Zertifikaten. Alchimedes liegt da auch komplett falsch, denn wenn die OVPN Pakete die FW nicht passieren könnten würdes du das Log auch gar nicht sehen können. Vom Rest der Äußerungen jetzt mal gar nicht zu reden...die ignorieren wir lieber mal schnell !
Niemals darf eine Firewall Paket Content verfälschen. Das würde sofort einen Checksummen Error im Paket erzeugen. Vergiss diesen Unsinn also gleich wieder !
Fazit: Da ist irgendwas schief gelaufen bei dir mit der OVPN Zertifikatserstellung !!
Hast du dafür die easy-rsa Skripte benutzt die dabei sind ??
Du musst strikt danach vorgehen um die Server und Client Zertifikate zu generieren ! Wie das zu tun ist erklärt dir dieses Forums Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Befolgst du das genau mit den easy-rsa Scripts bekommst du auch korrekte Zertifikate !
Niemals darf eine Firewall Paket Content verfälschen. Das würde sofort einen Checksummen Error im Paket erzeugen. Vergiss diesen Unsinn also gleich wieder !
Fazit: Da ist irgendwas schief gelaufen bei dir mit der OVPN Zertifikatserstellung !!
Hast du dafür die easy-rsa Skripte benutzt die dabei sind ??
Du musst strikt danach vorgehen um die Server und Client Zertifikate zu generieren ! Wie das zu tun ist erklärt dir dieses Forums Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Befolgst du das genau mit den easy-rsa Scripts bekommst du auch korrekte Zertifikate !
Hallo ,
@aqui
Das ist natuerlich richtig das die logs auf der Seite dann nicht zu sehen waeren.
Was die UTM angeht ist diese bei weitem flexibler als ein openvpn server.
Denn hier scheint es das Du die UTM nicht kennst.
Was die Zertifikatserstellung angeht hast Du recht ,
die Fehlermeldung sagt es ja auch.
Gruss
@aqui
Das ist natuerlich richtig das die logs auf der Seite dann nicht zu sehen waeren.
Was die UTM angeht ist diese bei weitem flexibler als ein openvpn server.
Denn hier scheint es das Du die UTM nicht kennst.
Was die Zertifikatserstellung angeht hast Du recht ,
Mon Sep 22 13:03:50 2014 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Dortmund, O=TestGmbH,
CN=TestGmbH Client Auth CA, emailAddress=
Mon Sep 22 13:03:50 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
CN=TestGmbH Client Auth CA, emailAddress=
Mon Sep 22 13:03:50 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
die Fehlermeldung sagt es ja auch.
Gruss
Was die UTM angeht ist diese bei weitem flexibler als ein openvpn server.
Das darf man wohl ziemlich bezweifeln, es sei denn die UTM nutzt auch OVPN als VPN Protokoll. Damit wäre sie dann höchstens gleichwertig. Flexibler aber niemals falls sie IPsec nutzen sollte und kein SSL basiertes VPN wie OVPN !Ist jetzt aber Off Topic hier !
Hallo ,
kann Sie alles und noch viel mehr.
SSL basierte VPN openvpn, IPsec e.t.c
Unter der UTM luebbt ja ein Linux Susisorglos....
Hab hier nur kleines Datenblatt gefunden.
http://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophosutmnextg ...
Gruss
kann Sie alles und noch viel mehr.
SSL basierte VPN openvpn, IPsec e.t.c
Unter der UTM luebbt ja ein Linux Susisorglos....
Hab hier nur kleines Datenblatt gefunden.
http://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophosutmnextg ...
Gruss
Hallo aqui,
ich habe eine alternative Anleitung befolgt in der aber genau dieselben schritte beschrieben wurden.
das einzige was ich nicht verstanden habe war:
wechselt und die man dann z.B. auf USB Stick sichert oder aus diesem Verzeichnis direkt in die entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert per cut and paste.
was ist genau damit gemeint? -> entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert
Danke im Voraus!!
ich habe eine alternative Anleitung befolgt in der aber genau dieselben schritte beschrieben wurden.
das einzige was ich nicht verstanden habe war:
wechselt und die man dann z.B. auf USB Stick sichert oder aus diesem Verzeichnis direkt in die entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert per cut and paste.
was ist genau damit gemeint? -> entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert
Danke im Voraus!!
Ich tippe mal darauf das du bei der Sophos UTM den WebProxy angeschaltet hast. Falls ja, ist das Verhalten normal. Der WebProxy tauscht jedes SSL Zertifikat gegen das Sophos UTM Zertifikat aus und gibt dieses an den Client weiter. Kann man ganz leicht nachvollziehen, in dem man z.B. die Login Seite von Amazon aufruft...schaut man sich dann das SSL Zertifikat an, wird man nicht das von Amazon sehen, sondern das der UTM.
Findet man unter Web Protection -> Filtering Options -> HTTPS CAs
<The Signing CA is used to sign all autogenerated site certificates that are transmitted to end-user browsers. End-Users should import this certificate <into their browsers to avoid SSL warning messages.
Findet man unter Web Protection -> Filtering Options -> HTTPS CAs
<The Signing CA is used to sign all autogenerated site certificates that are transmitted to end-user browsers. End-Users should import this certificate <into their browsers to avoid SSL warning messages.
Hallo und Danke an alle anwesenden,
also ich habe die Anleitung von aqui verwendet hat nichts gebracht.
Obwohl der Rat von java667 sehr sehr sehr plausibel Klang hat es auch nichts gebracht, ich habe WebProxy ausgeschaltet und mir mal unter Web Protection -> Filtering Options -> HTTPS CAs das CA angesehen jedoch unterscheidet es sich von dem welches jedes mal als Fehler auftaucht.
komischerweise verwendet er immer das Zertifikat welches bei der Installation von der Sophos erstellt wurde. Jenes kann ich aber nicht ändern.
ich hoffe jemand kann mir helfen!
MFG Vladislav
also ich habe die Anleitung von aqui verwendet hat nichts gebracht.
Obwohl der Rat von java667 sehr sehr sehr plausibel Klang hat es auch nichts gebracht, ich habe WebProxy ausgeschaltet und mir mal unter Web Protection -> Filtering Options -> HTTPS CAs das CA angesehen jedoch unterscheidet es sich von dem welches jedes mal als Fehler auftaucht.
komischerweise verwendet er immer das Zertifikat welches bei der Installation von der Sophos erstellt wurde. Jenes kann ich aber nicht ändern.
ich hoffe jemand kann mir helfen!
MFG Vladislav
Wie lässt du den OVPN Server laufen ?? Auf dem Default Port UDP 1194 ??
Das kann die Sophos dann unmöglich manipulieren im Content !
Bei TCP 443 sieht das natürlich anders aus. Aber auch da darf siue es niemals machen wenn die IP Adressen der OVPN Komponenten eigene sind, also NICHT die der Sophos. Auch dann darf sie per Definition den Content nicht ändern !
Das kann die Sophos dann unmöglich manipulieren im Content !
Bei TCP 443 sieht das natürlich anders aus. Aber auch da darf siue es niemals machen wenn die IP Adressen der OVPN Komponenten eigene sind, also NICHT die der Sophos. Auch dann darf sie per Definition den Content nicht ändern !
Das ist einfach ich habe unter Site-to-site-vpn -> SSL -> Settings den Port von 443 auf 1194 gesetzt.
Weil vorher hat er alle UDP mit 1194 abgeblockt so das die VPN verbindung garnicht erst beim Server ankam.
Weil vorher hat er alle UDP mit 1194 abgeblockt so das die VPN verbindung garnicht erst beim Server ankam.
