Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense OpenVPN-Client Export

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

24.10.2011, aktualisiert 18.10.2012, 10243 Aufrufe, 9 Kommentare

Hallo,

ich habe auf pfSense einen OpenVPN-Server eingerichtet. Cert-Erstellung und generell alles war prinzipiell sehr einfach und intuitiv. Als ich allerdings versuchte die Clients zu exportieren, stehen sie nicht zur Auswahl zur Verfügung.

Bemerkung im WebGUI:

"NOTE: If you expect to see a certain client in the list but it is not there, it is usually due to a CA mismatch between the OpenVPN server instance and the client certificates found in the User Manager."

Ich habe sowohl die Server- wie auch die Client-Einstellungen merhmals kontrolliert. Ich finde persönlich leider nichts was nicht in Ordnung wäre. Sieht jemand was "unpassendes"?

Anbei findet ihr die Certs und die Einstellungen.

d82ae31bcca0b0d0085a430096a43150 - Klicke auf das Bild, um es zu vergrößern

6b917b6e24483a98ea6b2de114899618 - Klicke auf das Bild, um es zu vergrößern

f16eb817cb77a79987f700bdb32a68ef - Klicke auf das Bild, um es zu vergrößern

f64b6c76695f2c2c8c070739f871612a - Klicke auf das Bild, um es zu vergrößern

4a246fb022fe7e03f85d3af9caf90134 - Klicke auf das Bild, um es zu vergrößern

Danke für die Hilfe.

Gr. I.
Mitglied: aqui
24.10.2011, aktualisiert 18.10.2012
Was mainst du mit "Clients exportieren" ?? Das ist etwas kryptisch, denn damit muss man ja nix exportieren.
Halt dich doch ganz einfach an dieses Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Dann funktioniert alles wasserdicht wie von selbst....
Nun gehts erstmal an dein NAT "Problem".... ist ja recht anstrengend heute...
Bitte warten ..
Mitglied: istike2
24.10.2011 um 15:55 Uhr
Hallo Aqui,

nun. Die Ver. 2.0 bietet eine Komplettlösung für OpenVPN an. Alles kann man in der GUI machen und einfach exportieren.

Siehe entsprechendes pfSense-Package.

Ich habe die User mit den bat.-Dateien bereits erstellt. die GUI schien mir aber bequemer zu sein. Wenn es nichts anders geht mache ich halt wie beschrieben.

Blöderweise sieht die GUI jetzt schon anders aus als damals bei der Erstellung der Anleitung

Die Einstellungen sind - wie du auf den Screenshots siehst - selbsterklärend, trotzdem klappt es aus welchem Grund auch, nicht.

Gr. I.
Bitte warten ..
Mitglied: aqui
24.10.2011 um 19:07 Uhr
Ooops...recht hast du. Da muss das Tutorial mal ein Update erfahren
Es geht aber noch auf die "alte" Art. Ggf. ist das etwas sicherer... Ich mach einen Labortest und pass ggf. das Tutorial an.
Bitte warten ..
Mitglied: istike2
24.10.2011 um 23:22 Uhr
Danke sehr im Voraus.

ich versuche allerdings die in der Kommandzeile erstellte Keys in dem neuen GUI zu unterbringen.

Ich habe im Allgemeinen zwei Möglichkeiten Schlüssel einzugeben.

Tab "Server": TLS-Authentification (Hier muss der "# 2048 bit OpenVPN static key" reinkopiert werden)
Tab" Client": TLS-Authentification (dasselbe wie beim Server)

Welche der zahlreichen Dateien soll ich hier mit Copy-Paste reinkopieren. Ich habe vier User, werde also vier Clients erstellen:

7b3acf0c4b81cb4a5ff5eef6474e5319 - Klicke auf das Bild, um es zu vergrößern

Gr. I.
Bitte warten ..
Mitglied: helge000
25.10.2011 um 03:25 Uhr
Hallo I,

lustig, ich bastl mir das auch grade hin und freue mich, dass ich endlich meine alten Scripts ad Acta legen kann.
Auf den Screenshots konnte ich nichts verdächtiges sehen. Außer natürlich, was du mit dem OpenVPN Client bezwecken willst (mir scheint es ja bei dir um Remote Access zu gehen).

Wichtig ist aber die CA. Du brauchst eine eigene. ich hatte mir damals nur das Cert unserer Firmen-CA importiert. Das Upgrade auf 2.0 hat das schön ordentlich in den Cert Manager abgelegt. Aber eben eine richtige CA war ja nie vorgesehen, weshalb dir sicher der Key für die CA fehlt - und ohne den können ja keine neuen ausgestellt werden.

Entweder du machst dir eine eigene neue CA (sicher einfacher, wenn du nicht so viele existierende User hast) oder eben eine Intermediate (musste dann von deiner CA delegieren, dit war mir denn aber doch zu viel Aufwand heute Abend). Ich habe mir eine neue angelegt und werde morgen einfach neue Configs verteilen.
Also der Reihe nach:

Im Cert Manger eine eigene CA erstellen.

Dazu am Besten noch die CRL anlegen.

Ein Cert für deinen OpenVPN Server anlegen

Weitere Certifikate für deine User anlegen

Im OpenVPN Server-Tab:

Nun die eben erstellte CA, die CRL und das Cert für den Server im OpenVPN Server angeben.

Den TA Key automatisch generieren lassen.

Falls du nun noch AD am laufen hast, kannste dir auch gleich die LDAP oder Radius auth dazu einrichten. Ich mach das über Windows NPS (Radius).

Wenn du alles beisammen hast, dann tauchen beim Client - Expot alle Zertifikate der CA des Servers auf. Daneben kannst du dir dann mit einem simplen Klick die Configs generieren lassen. Wir benutzen Viscosity, den Client gibts für Mac und Win und die Configs sind austauschbar.

Einfach der Wahnsinn, und ich sage an dieser stelle noch mal ein dickes Danke an das pfsense Dev Team!

Grüße aus Berlin,
Helge
Bitte warten ..
Mitglied: istike2
25.10.2011 um 15:14 Uhr
Danke Helge,

ja der Wahniss... Wenn es funkzt. Ich denke es ist einfacher alles zu löschen und erneut anfangen... Ich kann mir vorstellen, dass ich keinen TA Schlüssel generiert habe... Mal schauen.

Gr. I.
Bitte warten ..
Mitglied: aqui
25.10.2011 um 17:18 Uhr
@Istike
Was du noch machen solltest: In den Advanced Settings kannst du den AMD Geode Crypto Chip aktivieren den das ALIX Board onboard hat
System --> Advanced --> Miscellaneous --> Crypto Accleration
Zudem sollte man das Gateway Monitoring deaktivieren wenn man einen öffentlichen Anschluss hat den sonst pingt die FW permanent den Provider Router
System --Routing --> Gateway e wie edit und Haken bei Disable Gateway Monitoring

@helge000
Dank für dein Feedback. Ich werde die Tage das Tutorial hier entsprechend auf die neue 2.0er Option anpassen.
Mit deinem Dank ans pfsense Dev Team kann man sich nur anschliessen. Es ist der Hammer was an neuen Funktionen zugekommen ist sogar Policy Based Routing auf ACL Basis ist auch dabei.
Bitte warten ..
Mitglied: aqui
27.10.2011, aktualisiert 18.10.2012
Das pfSense Open-VPN_Tutorial ist nun angepasst an die aktuelle 2.0er Firmware !

Wenns das denn nun war bitte dann auch
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: istike2
27.10.2011 um 11:48 Uhr
Danke sehr Aqui für die Änderungen.

Ich bedanke mich - auch im Allgemeinen - Aqui für deine Hilfe auch im Namen der Community. Deine Anleitungen haben wohl schon sehr vielen geholfen.

Gr. I.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

OpenVPN mit einigen hundert Clients auf pfSense, Zertifikatverwaltung

Frage von mrserious73Verschlüsselung & Zertifikate5 Kommentare

Hallo, auf einem pfSense-System sollen sich in Zukunft per openVPN einige hundert Clients (i.d.R. nicht gleichzeitig) einloggen können. Von ...

Router & Routing

OpenVPN pfsense

gelöst Frage von sebastian2608Router & Routing5 Kommentare

Hallo Leute, mal eine Frage zu OpenVPN (via pfsense) Kann man zu einem OpenVPN Server auch mit dem "normalen" ...

LAN, WAN, Wireless

OpenVPN + PfSense

Frage von TheOnlyOneLAN, WAN, Wireless2 Kommentare

Hallo zusammen, möchte gerne von unterwegs auf mein Netzwerk hinter der Firewall zugreifen. Hierfür habe ich auf der PfSense ...

Netzwerke

PFSENSE OpenVPN . Bitte um erklärung ( Client Specific Override )

Frage von TommyITNetzwerke8 Kommentare

Moin Ihr Kolleginen und Kollegen, ich habe eine bestehende Infrastruktur übernommen und komme in dem Tema "PF-Sense" Open-VPN nicht ...

Neue Wissensbeiträge
Windows 10

Blackscreen nach dem Update von 1809 auf 1809 wenn der Rechner aus dem Standby gestartet wird

Tipp von FSX2010 vor 1 TagWindows 108 Kommentare

Habt ihr den Samsung Treiber "Samsung_NVM_Express_Driver_3.0" installiert sollte dieser für 1809 deinstalliert werden da dieser nicht kompatibel ist. Der ...

Utilities
Teamviewer 14 Verbindungsprobleme mit Proxy
Tipp von PeterleB vor 2 TagenUtilities

Nach dem Umstieg von Version 13 auf 14 wollte sich TV nicht mehr mit dem Netz verbinden, ignorierte offenbar ...

Administrator.de Feedback
Unsere Datenbank wurde umgestellt
Information von Frank vor 2 TagenAdministrator.de Feedback5 Kommentare

Hallo User, ich habe in der Nacht unsere Datenbank umgestellt. D.h. neue Version (MySQL 8) und andere Örtlichkeit. Sollte ...

Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 5 TagenSonstige Systeme8 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Heiß diskutierte Inhalte
Router & Routing
Dediziertes ISP -Routing
gelöst Frage von niLuxxRouter & Routing13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei ...

Monitoring
WMI Problem bei PRTG
Frage von justInsaneMonitoring12 Kommentare

Hallo zusammen, ich bin zur Zeit dabei, das PRTG Monitoring Tool auszutesten. Ich habe das ganze nun grob konfiguriert ...

Webbrowser
Proxy-Zugangsdaten in Firefox hinterlegen
Frage von SebastianGSWebbrowser12 Kommentare

Hallo zusammen, kennt jemand von Euch aktuell eine Möglichkeit die Proxy-Zugangsdaten im Firefox (Vers. 63.0.3 - 64-Bit) zu hinterlegen, ...

Samba
Linux Server und Windows Linux Client
gelöst Frage von 137898Samba12 Kommentare

Hallo, ich bräuchte dringend bei der Aufgabe etwas Hilfe. Die Firma XYZ besteht auf zwei Abteilungen Logistik und Technik ...