Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense OpenVPN-Client Export

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

24.10.2011, aktualisiert 18.10.2012, 10090 Aufrufe, 9 Kommentare

Hallo,

ich habe auf pfSense einen OpenVPN-Server eingerichtet. Cert-Erstellung und generell alles war prinzipiell sehr einfach und intuitiv. Als ich allerdings versuchte die Clients zu exportieren, stehen sie nicht zur Auswahl zur Verfügung.

Bemerkung im WebGUI:

"NOTE: If you expect to see a certain client in the list but it is not there, it is usually due to a CA mismatch between the OpenVPN server instance and the client certificates found in the User Manager."

Ich habe sowohl die Server- wie auch die Client-Einstellungen merhmals kontrolliert. Ich finde persönlich leider nichts was nicht in Ordnung wäre. Sieht jemand was "unpassendes"?

Anbei findet ihr die Certs und die Einstellungen.

d82ae31bcca0b0d0085a430096a43150 - Klicke auf das Bild, um es zu vergrößern

6b917b6e24483a98ea6b2de114899618 - Klicke auf das Bild, um es zu vergrößern

f16eb817cb77a79987f700bdb32a68ef - Klicke auf das Bild, um es zu vergrößern

f64b6c76695f2c2c8c070739f871612a - Klicke auf das Bild, um es zu vergrößern

4a246fb022fe7e03f85d3af9caf90134 - Klicke auf das Bild, um es zu vergrößern

Danke für die Hilfe.

Gr. I.
Mitglied: aqui
24.10.2011, aktualisiert 18.10.2012
Was mainst du mit "Clients exportieren" ?? Das ist etwas kryptisch, denn damit muss man ja nix exportieren.
Halt dich doch ganz einfach an dieses Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Dann funktioniert alles wasserdicht wie von selbst....
Nun gehts erstmal an dein NAT "Problem".... ist ja recht anstrengend heute...
Bitte warten ..
Mitglied: istike2
24.10.2011 um 15:55 Uhr
Hallo Aqui,

nun. Die Ver. 2.0 bietet eine Komplettlösung für OpenVPN an. Alles kann man in der GUI machen und einfach exportieren.

Siehe entsprechendes pfSense-Package.

Ich habe die User mit den bat.-Dateien bereits erstellt. die GUI schien mir aber bequemer zu sein. Wenn es nichts anders geht mache ich halt wie beschrieben.

Blöderweise sieht die GUI jetzt schon anders aus als damals bei der Erstellung der Anleitung

Die Einstellungen sind - wie du auf den Screenshots siehst - selbsterklärend, trotzdem klappt es aus welchem Grund auch, nicht.

Gr. I.
Bitte warten ..
Mitglied: aqui
24.10.2011 um 19:07 Uhr
Ooops...recht hast du. Da muss das Tutorial mal ein Update erfahren
Es geht aber noch auf die "alte" Art. Ggf. ist das etwas sicherer... Ich mach einen Labortest und pass ggf. das Tutorial an.
Bitte warten ..
Mitglied: istike2
24.10.2011 um 23:22 Uhr
Danke sehr im Voraus.

ich versuche allerdings die in der Kommandzeile erstellte Keys in dem neuen GUI zu unterbringen.

Ich habe im Allgemeinen zwei Möglichkeiten Schlüssel einzugeben.

Tab "Server": TLS-Authentification (Hier muss der "# 2048 bit OpenVPN static key" reinkopiert werden)
Tab" Client": TLS-Authentification (dasselbe wie beim Server)

Welche der zahlreichen Dateien soll ich hier mit Copy-Paste reinkopieren. Ich habe vier User, werde also vier Clients erstellen:

7b3acf0c4b81cb4a5ff5eef6474e5319 - Klicke auf das Bild, um es zu vergrößern

Gr. I.
Bitte warten ..
Mitglied: helge000
25.10.2011 um 03:25 Uhr
Hallo I,

lustig, ich bastl mir das auch grade hin und freue mich, dass ich endlich meine alten Scripts ad Acta legen kann.
Auf den Screenshots konnte ich nichts verdächtiges sehen. Außer natürlich, was du mit dem OpenVPN Client bezwecken willst (mir scheint es ja bei dir um Remote Access zu gehen).

Wichtig ist aber die CA. Du brauchst eine eigene. ich hatte mir damals nur das Cert unserer Firmen-CA importiert. Das Upgrade auf 2.0 hat das schön ordentlich in den Cert Manager abgelegt. Aber eben eine richtige CA war ja nie vorgesehen, weshalb dir sicher der Key für die CA fehlt - und ohne den können ja keine neuen ausgestellt werden.

Entweder du machst dir eine eigene neue CA (sicher einfacher, wenn du nicht so viele existierende User hast) oder eben eine Intermediate (musste dann von deiner CA delegieren, dit war mir denn aber doch zu viel Aufwand heute Abend). Ich habe mir eine neue angelegt und werde morgen einfach neue Configs verteilen.
Also der Reihe nach:

Im Cert Manger eine eigene CA erstellen.

Dazu am Besten noch die CRL anlegen.

Ein Cert für deinen OpenVPN Server anlegen

Weitere Certifikate für deine User anlegen

Im OpenVPN Server-Tab:

Nun die eben erstellte CA, die CRL und das Cert für den Server im OpenVPN Server angeben.

Den TA Key automatisch generieren lassen.

Falls du nun noch AD am laufen hast, kannste dir auch gleich die LDAP oder Radius auth dazu einrichten. Ich mach das über Windows NPS (Radius).

Wenn du alles beisammen hast, dann tauchen beim Client - Expot alle Zertifikate der CA des Servers auf. Daneben kannst du dir dann mit einem simplen Klick die Configs generieren lassen. Wir benutzen Viscosity, den Client gibts für Mac und Win und die Configs sind austauschbar.

Einfach der Wahnsinn, und ich sage an dieser stelle noch mal ein dickes Danke an das pfsense Dev Team!

Grüße aus Berlin,
Helge
Bitte warten ..
Mitglied: istike2
25.10.2011 um 15:14 Uhr
Danke Helge,

ja der Wahniss... Wenn es funkzt. Ich denke es ist einfacher alles zu löschen und erneut anfangen... Ich kann mir vorstellen, dass ich keinen TA Schlüssel generiert habe... Mal schauen.

Gr. I.
Bitte warten ..
Mitglied: aqui
25.10.2011 um 17:18 Uhr
@Istike
Was du noch machen solltest: In den Advanced Settings kannst du den AMD Geode Crypto Chip aktivieren den das ALIX Board onboard hat
System --> Advanced --> Miscellaneous --> Crypto Accleration
Zudem sollte man das Gateway Monitoring deaktivieren wenn man einen öffentlichen Anschluss hat den sonst pingt die FW permanent den Provider Router
System --Routing --> Gateway e wie edit und Haken bei Disable Gateway Monitoring

@helge000
Dank für dein Feedback. Ich werde die Tage das Tutorial hier entsprechend auf die neue 2.0er Option anpassen.
Mit deinem Dank ans pfsense Dev Team kann man sich nur anschliessen. Es ist der Hammer was an neuen Funktionen zugekommen ist sogar Policy Based Routing auf ACL Basis ist auch dabei.
Bitte warten ..
Mitglied: aqui
27.10.2011, aktualisiert 18.10.2012
Das pfSense Open-VPN_Tutorial ist nun angepasst an die aktuelle 2.0er Firmware !

Wenns das denn nun war bitte dann auch
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: istike2
27.10.2011 um 11:48 Uhr
Danke sehr Aqui für die Änderungen.

Ich bedanke mich - auch im Allgemeinen - Aqui für deine Hilfe auch im Namen der Community. Deine Anleitungen haben wohl schon sehr vielen geholfen.

Gr. I.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

OpenVPN mit einigen hundert Clients auf pfSense, Zertifikatverwaltung

Frage von mrserious73Verschlüsselung & Zertifikate5 Kommentare

Hallo, auf einem pfSense-System sollen sich in Zukunft per openVPN einige hundert Clients (i.d.R. nicht gleichzeitig) einloggen können. Von ...

Router & Routing

OpenVPN pfsense

gelöst Frage von sebastian2608Router & Routing5 Kommentare

Hallo Leute, mal eine Frage zu OpenVPN (via pfsense) Kann man zu einem OpenVPN Server auch mit dem "normalen" ...

LAN, WAN, Wireless

OpenVPN + PfSense

Frage von TheOnlyOneLAN, WAN, Wireless2 Kommentare

Hallo zusammen, möchte gerne von unterwegs auf mein Netzwerk hinter der Firewall zugreifen. Hierfür habe ich auf der PfSense ...

Linux

PfSense Zugriff vom LAN zu den verbundenen openVPN Clients

gelöst Frage von icegetLinux10 Kommentare

Hallo liebe Community, folgendes Problem: Hier einmal die Übersicht über mein Netzwerk & Einstellungen in pfSense: Mein Netzwerk sieht ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 17 StundenVerschlüsselung & Zertifikate2 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 2 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 2 TagenHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 2 TagenSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Heiß diskutierte Inhalte
Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...

Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz14 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
Frage von Xaero1982Hardware14 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

Tipps & Tricks
Nagstamon und PRTG Monitoring
Frage von Der.ITlerTipps & Tricks13 Kommentare

Hallo Ihr, heute am Sonntag bin ich mal früh aufgestanden um mich mit dem Problem von Gestern zu beschäftigen. ...