Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Open VPN Zertifikat wird von Sophos verfälscht

Mitglied: Vladislav

Vladislav (Level 1) - Jetzt verbinden

22.09.2014, aktualisiert 25.09.2014, 5154 Aufrufe, 10 Kommentare

Guten Tag an alle Adminisratoren,

ich habe folgendes Problem:

Ich habe Netz A(192.168.100.x) und Netz B(192.168.1.x) zwischen den beiden Netzen ist eine Sophos Firewall(192.168.100.241)(192.168.1.254). Im Netz B läuft ein Open VPN Server. Jetzt möchte ich mich aus Netz A eine VPN Verbindung aufbauen. Das Problem ist das die Zertifikate die bei dem Server ankommen die von der Sophos sind und daher nicht vom Server akzeptiert werden.

Es wirkt so als ob die Sophos die Zertifikate die vom Netz A abgeschickt werden abfängt und an stelle dieser eigene an das Netz B verschickt. Und die werden halt nicht akzeptiert.

Folgender Fehler kommt immer wieder:
Mon Sep 22 13:03:48 2014 Restart pause, 2 second(s)
Mon Sep 22 13:03:50 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Sep 22 13:03:50 2014 Socket Buffers: R=[8192->8192] S=[64512->64512]
Mon Sep 22 13:03:50 2014 UDPv4 link local: [undef]
Mon Sep 22 13:03:50 2014 UDPv4 link remote: [AF_INET]192.168.100.241:1194
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,WAIT,,,
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,AUTH,,,
Mon Sep 22 13:03:50 2014 TLS: Initial packet from [AF_INET]192.168.100.241:1194, sid=b5f3cd81 750395cc
Mon Sep 22 13:03:50 2014 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Dortmund, O=TestGmbH, CN=TestGmbH Client Auth CA, emailAddress=
Mon Sep 22 13:03:50 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Sep 22 13:03:50 2014 TLS Error: TLS object -> incoming plaintext read error
Mon Sep 22 13:03:50 2014 TLS Error: TLS handshake failed
Mon Sep 22 13:03:50 2014 SIGUSR1[soft,tls-error] received, process restarting
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,RECONNECTING,tls-error,,
Mon Sep 22 13:03:50 2014 Restart pause, 2 second(s)

Danke im Vorraus
Mit freuendlichen Grüßen Vladislav
Mitglied: Alchimedes
22.09.2014 um 13:59 Uhr
Hallo ,

Denn openvpnserver muss Du durchschleifen zum anderen Server und entsprechend die Ports dafuer freischalten.
da Sophos die Zertifikate nicht erkennt.

Besser waere es aber den openvpnserver in die Tonne zu treten und die vpn von der UTM zu nutzen.

Gruss
Bitte warten ..
Mitglied: aqui
22.09.2014 um 14:18 Uhr
Nein, das liegt nicht an der Sophos sondern an deinen falsch signierten OVPN Zertifikaten. Alchimedes liegt da auch komplett falsch, denn wenn die OVPN Pakete die FW nicht passieren könnten würdes du das Log auch gar nicht sehen können. Vom Rest der Äußerungen jetzt mal gar nicht zu reden...die ignorieren wir lieber mal schnell !
Niemals darf eine Firewall Paket Content verfälschen. Das würde sofort einen Checksummen Error im Paket erzeugen. Vergiss diesen Unsinn also gleich wieder !
Fazit: Da ist irgendwas schief gelaufen bei dir mit der OVPN Zertifikatserstellung !!
Hast du dafür die easy-rsa Skripte benutzt die dabei sind ??

Du musst strikt danach vorgehen um die Server und Client Zertifikate zu generieren ! Wie das zu tun ist erklärt dir dieses Forums Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Befolgst du das genau mit den easy-rsa Scripts bekommst du auch korrekte Zertifikate !
Bitte warten ..
Mitglied: Alchimedes
22.09.2014 um 14:42 Uhr
Hallo ,

@aqui
Das ist natuerlich richtig das die logs auf der Seite dann nicht zu sehen waeren.
Was die UTM angeht ist diese bei weitem flexibler als ein openvpn server.

Denn hier scheint es das Du die UTM nicht kennst.

Was die Zertifikatserstellung angeht hast Du recht ,

Mon Sep 22 13:03:50 2014 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Dortmund, O=TestGmbH,
CN=TestGmbH Client Auth CA, emailAddress=
Mon Sep 22 13:03:50 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

die Fehlermeldung sagt es ja auch.

Gruss
Bitte warten ..
Mitglied: aqui
22.09.2014 um 15:03 Uhr
Was die UTM angeht ist diese bei weitem flexibler als ein openvpn server.
Das darf man wohl ziemlich bezweifeln, es sei denn die UTM nutzt auch OVPN als VPN Protokoll. Damit wäre sie dann höchstens gleichwertig. Flexibler aber niemals falls sie IPsec nutzen sollte und kein SSL basiertes VPN wie OVPN !
Ist jetzt aber Off Topic hier !
Bitte warten ..
Mitglied: Alchimedes
22.09.2014 um 15:17 Uhr
Hallo ,

kann Sie alles und noch viel mehr.

SSL basierte VPN openvpn, IPsec e.t.c

Unter der UTM luebbt ja ein Linux Susisorglos....
Hab hier nur kleines Datenblatt gefunden.

http://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophosutmnextg ...

Gruss
Bitte warten ..
Mitglied: Vladislav
22.09.2014 um 15:18 Uhr
Hallo aqui,
ich habe eine alternative Anleitung befolgt in der aber genau dieselben schritte beschrieben wurden.
das einzige was ich nicht verstanden habe war:
......wechselt und die man dann z.B. auf USB Stick sichert oder aus diesem Verzeichnis direkt in die entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert per cut and paste.

was ist genau damit gemeint? -> entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert

Danke im Voraus!!
Bitte warten ..
Mitglied: java667
LÖSUNG 22.09.2014, aktualisiert 25.09.2014
Ich tippe mal darauf das du bei der Sophos UTM den WebProxy angeschaltet hast. Falls ja, ist das Verhalten normal. Der WebProxy tauscht jedes SSL Zertifikat gegen das Sophos UTM Zertifikat aus und gibt dieses an den Client weiter. Kann man ganz leicht nachvollziehen, in dem man z.B. die Login Seite von Amazon aufruft...schaut man sich dann das SSL Zertifikat an, wird man nicht das von Amazon sehen, sondern das der UTM.

Findet man unter Web Protection -> Filtering Options -> HTTPS CAs
<The Signing CA is used to sign all autogenerated site certificates that are transmitted to end-user browsers. End-Users should import this certificate <into their browsers to avoid SSL warning messages.
Bitte warten ..
Mitglied: Vladislav
22.09.2014 um 16:03 Uhr
Hallo und Danke an alle anwesenden,

also ich habe die Anleitung von aqui verwendet hat nichts gebracht.
Obwohl der Rat von java667 sehr sehr sehr plausibel Klang hat es auch nichts gebracht, ich habe WebProxy ausgeschaltet und mir mal unter Web Protection -> Filtering Options -> HTTPS CAs das CA angesehen jedoch unterscheidet es sich von dem welches jedes mal als Fehler auftaucht.

komischerweise verwendet er immer das Zertifikat welches bei der Installation von der Sophos erstellt wurde. Jenes kann ich aber nicht ändern.

ich hoffe jemand kann mir helfen!

MFG Vladislav
Bitte warten ..
Mitglied: aqui
22.09.2014 um 16:14 Uhr
Wie lässt du den OVPN Server laufen ?? Auf dem Default Port UDP 1194 ??
Das kann die Sophos dann unmöglich manipulieren im Content !
Bei TCP 443 sieht das natürlich anders aus. Aber auch da darf siue es niemals machen wenn die IP Adressen der OVPN Komponenten eigene sind, also NICHT die der Sophos. Auch dann darf sie per Definition den Content nicht ändern !
Bitte warten ..
Mitglied: Vladislav
22.09.2014 um 16:20 Uhr
Das ist einfach ich habe unter Site-to-site-vpn -> SSL -> Settings den Port von 443 auf 1194 gesetzt.
Weil vorher hat er alle UDP mit 1194 abgeblockt so das die VPN verbindung garnicht erst beim Server ankam.
Bitte warten ..
Ähnliche Inhalte
Windows Tools
Suche Sophos Open VPN SSL Client
Frage von 131455Windows Tools7 Kommentare

Hallo , suche wie verrückt den Sophos VPN SSL Client. Ueberall ur Anleitung , In die Sophos Firewall anmelden ...

Netzwerke

Open-VPN und Remotedesktop auf den Open-VPN-Server

Frage von SysaneoNetzwerke2 Kommentare

Hallo liebe Freunde, Ich habe mal wieder ein kleines Problemchen. Diesmal geht es um einen Open-VPN Server. Vorab: Open-VPN ...

LAN, WAN, Wireless

VPN - FritzBox zu Sophos UTM

Frage von Jannis92LAN, WAN, Wireless5 Kommentare

Hallo Zusammen, ich möchte gerne eine Site-To-Site Verbindung von einer FritzBox zu unserer Sophos UTM aufbauen. Mit der entsprechenden ...

Linux Netzwerk

Sophos UTM als VPN-Client

gelöst Frage von DexthaLinux Netzwerk6 Kommentare

Hallo, ich habe das Problem, dass ich bei meinem Internetanschluss zuhause keine fixe IP bekomme. Ich weiß, die meisten ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 3 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 4 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux22 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...