Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense OpenVPN-Client Export

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

24.10.2011, aktualisiert 18.10.2012, 9624 Aufrufe, 9 Kommentare

Hallo,

ich habe auf pfSense einen OpenVPN-Server eingerichtet. Cert-Erstellung und generell alles war prinzipiell sehr einfach und intuitiv. Als ich allerdings versuchte die Clients zu exportieren, stehen sie nicht zur Auswahl zur Verfügung.

Bemerkung im WebGUI:

"NOTE: If you expect to see a certain client in the list but it is not there, it is usually due to a CA mismatch between the OpenVPN server instance and the client certificates found in the User Manager."

Ich habe sowohl die Server- wie auch die Client-Einstellungen merhmals kontrolliert. Ich finde persönlich leider nichts was nicht in Ordnung wäre. Sieht jemand was "unpassendes"?

Anbei findet ihr die Certs und die Einstellungen.

d82ae31bcca0b0d0085a430096a43150 - Klicke auf das Bild, um es zu vergrößern

6b917b6e24483a98ea6b2de114899618 - Klicke auf das Bild, um es zu vergrößern

f16eb817cb77a79987f700bdb32a68ef - Klicke auf das Bild, um es zu vergrößern

f64b6c76695f2c2c8c070739f871612a - Klicke auf das Bild, um es zu vergrößern

4a246fb022fe7e03f85d3af9caf90134 - Klicke auf das Bild, um es zu vergrößern

Danke für die Hilfe.

Gr. I.
Mitglied: aqui
24.10.2011, aktualisiert 18.10.2012
Was mainst du mit "Clients exportieren" ?? Das ist etwas kryptisch, denn damit muss man ja nix exportieren.
Halt dich doch ganz einfach an dieses Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Dann funktioniert alles wasserdicht wie von selbst....
Nun gehts erstmal an dein NAT "Problem".... ist ja recht anstrengend heute...
Bitte warten ..
Mitglied: istike2
24.10.2011 um 15:55 Uhr
Hallo Aqui,

nun. Die Ver. 2.0 bietet eine Komplettlösung für OpenVPN an. Alles kann man in der GUI machen und einfach exportieren.

Siehe entsprechendes pfSense-Package.

Ich habe die User mit den bat.-Dateien bereits erstellt. die GUI schien mir aber bequemer zu sein. Wenn es nichts anders geht mache ich halt wie beschrieben.

Blöderweise sieht die GUI jetzt schon anders aus als damals bei der Erstellung der Anleitung

Die Einstellungen sind - wie du auf den Screenshots siehst - selbsterklärend, trotzdem klappt es aus welchem Grund auch, nicht.

Gr. I.
Bitte warten ..
Mitglied: aqui
24.10.2011 um 19:07 Uhr
Ooops...recht hast du. Da muss das Tutorial mal ein Update erfahren
Es geht aber noch auf die "alte" Art. Ggf. ist das etwas sicherer... Ich mach einen Labortest und pass ggf. das Tutorial an.
Bitte warten ..
Mitglied: istike2
24.10.2011 um 23:22 Uhr
Danke sehr im Voraus.

ich versuche allerdings die in der Kommandzeile erstellte Keys in dem neuen GUI zu unterbringen.

Ich habe im Allgemeinen zwei Möglichkeiten Schlüssel einzugeben.

Tab "Server": TLS-Authentification (Hier muss der "# 2048 bit OpenVPN static key" reinkopiert werden)
Tab" Client": TLS-Authentification (dasselbe wie beim Server)

Welche der zahlreichen Dateien soll ich hier mit Copy-Paste reinkopieren. Ich habe vier User, werde also vier Clients erstellen:

7b3acf0c4b81cb4a5ff5eef6474e5319 - Klicke auf das Bild, um es zu vergrößern

Gr. I.
Bitte warten ..
Mitglied: helge000
25.10.2011 um 03:25 Uhr
Hallo I,

lustig, ich bastl mir das auch grade hin und freue mich, dass ich endlich meine alten Scripts ad Acta legen kann.
Auf den Screenshots konnte ich nichts verdächtiges sehen. Außer natürlich, was du mit dem OpenVPN Client bezwecken willst (mir scheint es ja bei dir um Remote Access zu gehen).

Wichtig ist aber die CA. Du brauchst eine eigene. ich hatte mir damals nur das Cert unserer Firmen-CA importiert. Das Upgrade auf 2.0 hat das schön ordentlich in den Cert Manager abgelegt. Aber eben eine richtige CA war ja nie vorgesehen, weshalb dir sicher der Key für die CA fehlt - und ohne den können ja keine neuen ausgestellt werden.

Entweder du machst dir eine eigene neue CA (sicher einfacher, wenn du nicht so viele existierende User hast) oder eben eine Intermediate (musste dann von deiner CA delegieren, dit war mir denn aber doch zu viel Aufwand heute Abend). Ich habe mir eine neue angelegt und werde morgen einfach neue Configs verteilen.
Also der Reihe nach:

Im Cert Manger eine eigene CA erstellen.

Dazu am Besten noch die CRL anlegen.

Ein Cert für deinen OpenVPN Server anlegen

Weitere Certifikate für deine User anlegen

Im OpenVPN Server-Tab:

Nun die eben erstellte CA, die CRL und das Cert für den Server im OpenVPN Server angeben.

Den TA Key automatisch generieren lassen.

Falls du nun noch AD am laufen hast, kannste dir auch gleich die LDAP oder Radius auth dazu einrichten. Ich mach das über Windows NPS (Radius).

Wenn du alles beisammen hast, dann tauchen beim Client - Expot alle Zertifikate der CA des Servers auf. Daneben kannst du dir dann mit einem simplen Klick die Configs generieren lassen. Wir benutzen Viscosity, den Client gibts für Mac und Win und die Configs sind austauschbar.

Einfach der Wahnsinn, und ich sage an dieser stelle noch mal ein dickes Danke an das pfsense Dev Team!

Grüße aus Berlin,
Helge
Bitte warten ..
Mitglied: istike2
25.10.2011 um 15:14 Uhr
Danke Helge,

ja der Wahniss... Wenn es funkzt. Ich denke es ist einfacher alles zu löschen und erneut anfangen... Ich kann mir vorstellen, dass ich keinen TA Schlüssel generiert habe... Mal schauen.

Gr. I.
Bitte warten ..
Mitglied: aqui
25.10.2011 um 17:18 Uhr
@Istike
Was du noch machen solltest: In den Advanced Settings kannst du den AMD Geode Crypto Chip aktivieren den das ALIX Board onboard hat
System --> Advanced --> Miscellaneous --> Crypto Accleration
Zudem sollte man das Gateway Monitoring deaktivieren wenn man einen öffentlichen Anschluss hat den sonst pingt die FW permanent den Provider Router
System --Routing --> Gateway e wie edit und Haken bei Disable Gateway Monitoring

@helge000
Dank für dein Feedback. Ich werde die Tage das Tutorial hier entsprechend auf die neue 2.0er Option anpassen.
Mit deinem Dank ans pfsense Dev Team kann man sich nur anschliessen. Es ist der Hammer was an neuen Funktionen zugekommen ist sogar Policy Based Routing auf ACL Basis ist auch dabei.
Bitte warten ..
Mitglied: aqui
27.10.2011, aktualisiert 18.10.2012
Das pfSense Open-VPN_Tutorial ist nun angepasst an die aktuelle 2.0er Firmware !

Wenns das denn nun war bitte dann auch
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: istike2
27.10.2011 um 11:48 Uhr
Danke sehr Aqui für die Änderungen.

Ich bedanke mich - auch im Allgemeinen - Aqui für deine Hilfe auch im Namen der Community. Deine Anleitungen haben wohl schon sehr vielen geholfen.

Gr. I.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

OpenVPN mit einigen hundert Clients auf pfSense, Zertifikatverwaltung

Frage von mrserious73Verschlüsselung & Zertifikate5 Kommentare

Hallo, auf einem pfSense-System sollen sich in Zukunft per openVPN einige hundert Clients (i.d.R. nicht gleichzeitig) einloggen können. Von ...

Router & Routing

OpenVPN pfsense

gelöst Frage von sebastian2608Router & Routing5 Kommentare

Hallo Leute, mal eine Frage zu OpenVPN (via pfsense) Kann man zu einem OpenVPN Server auch mit dem "normalen" ...

LAN, WAN, Wireless

OpenVPN + PfSense

Frage von TheOnlyOneLAN, WAN, Wireless2 Kommentare

Hallo zusammen, möchte gerne von unterwegs auf mein Netzwerk hinter der Firewall zugreifen. Hierfür habe ich auf der PfSense ...

Linux

PfSense Zugriff vom LAN zu den verbundenen openVPN Clients

gelöst Frage von icegetLinux10 Kommentare

Hallo liebe Community, folgendes Problem: Hier einmal die Übersicht über mein Netzwerk & Einstellungen in pfSense: Mein Netzwerk sieht ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 5 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 10 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server23 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...