Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Open VPN Zertifikat wird von Sophos verfälscht

Frage Sicherheit Firewall

Mitglied: Vladislav

Vladislav (Level 1) - Jetzt verbinden

22.09.2014, aktualisiert 25.09.2014, 4070 Aufrufe, 10 Kommentare

Guten Tag an alle Adminisratoren,

ich habe folgendes Problem:

Ich habe Netz A(192.168.100.x) und Netz B(192.168.1.x) zwischen den beiden Netzen ist eine Sophos Firewall(192.168.100.241)(192.168.1.254). Im Netz B läuft ein Open VPN Server. Jetzt möchte ich mich aus Netz A eine VPN Verbindung aufbauen. Das Problem ist das die Zertifikate die bei dem Server ankommen die von der Sophos sind und daher nicht vom Server akzeptiert werden.

Es wirkt so als ob die Sophos die Zertifikate die vom Netz A abgeschickt werden abfängt und an stelle dieser eigene an das Netz B verschickt. Und die werden halt nicht akzeptiert.

Folgender Fehler kommt immer wieder:
Mon Sep 22 13:03:48 2014 Restart pause, 2 second(s)
Mon Sep 22 13:03:50 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Sep 22 13:03:50 2014 Socket Buffers: R=[8192->8192] S=[64512->64512]
Mon Sep 22 13:03:50 2014 UDPv4 link local: [undef]
Mon Sep 22 13:03:50 2014 UDPv4 link remote: [AF_INET]192.168.100.241:1194
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,WAIT,,,
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,AUTH,,,
Mon Sep 22 13:03:50 2014 TLS: Initial packet from [AF_INET]192.168.100.241:1194, sid=b5f3cd81 750395cc
Mon Sep 22 13:03:50 2014 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Dortmund, O=TestGmbH, CN=TestGmbH Client Auth CA, emailAddress=
Mon Sep 22 13:03:50 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Sep 22 13:03:50 2014 TLS Error: TLS object -> incoming plaintext read error
Mon Sep 22 13:03:50 2014 TLS Error: TLS handshake failed
Mon Sep 22 13:03:50 2014 SIGUSR1[soft,tls-error] received, process restarting
Mon Sep 22 13:03:50 2014 MANAGEMENT: >STATE:1411383830,RECONNECTING,tls-error,,
Mon Sep 22 13:03:50 2014 Restart pause, 2 second(s)

Danke im Vorraus
Mit freuendlichen Grüßen Vladislav
Mitglied: Alchimedes
22.09.2014 um 13:59 Uhr
Hallo ,

Denn openvpnserver muss Du durchschleifen zum anderen Server und entsprechend die Ports dafuer freischalten.
da Sophos die Zertifikate nicht erkennt.

Besser waere es aber den openvpnserver in die Tonne zu treten und die vpn von der UTM zu nutzen.

Gruss
Bitte warten ..
Mitglied: aqui
22.09.2014 um 14:18 Uhr
Nein, das liegt nicht an der Sophos sondern an deinen falsch signierten OVPN Zertifikaten. Alchimedes liegt da auch komplett falsch, denn wenn die OVPN Pakete die FW nicht passieren könnten würdes du das Log auch gar nicht sehen können. Vom Rest der Äußerungen jetzt mal gar nicht zu reden...die ignorieren wir lieber mal schnell !
Niemals darf eine Firewall Paket Content verfälschen. Das würde sofort einen Checksummen Error im Paket erzeugen. Vergiss diesen Unsinn also gleich wieder !
Fazit: Da ist irgendwas schief gelaufen bei dir mit der OVPN Zertifikatserstellung !!
Hast du dafür die easy-rsa Skripte benutzt die dabei sind ??

Du musst strikt danach vorgehen um die Server und Client Zertifikate zu generieren ! Wie das zu tun ist erklärt dir dieses Forums Tutorial:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Befolgst du das genau mit den easy-rsa Scripts bekommst du auch korrekte Zertifikate !
Bitte warten ..
Mitglied: Alchimedes
22.09.2014 um 14:42 Uhr
Hallo ,

@aqui
Das ist natuerlich richtig das die logs auf der Seite dann nicht zu sehen waeren.
Was die UTM angeht ist diese bei weitem flexibler als ein openvpn server.

Denn hier scheint es das Du die UTM nicht kennst.

Was die Zertifikatserstellung angeht hast Du recht ,

Mon Sep 22 13:03:50 2014 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Dortmund, O=TestGmbH,
CN=TestGmbH Client Auth CA, emailAddress=
Mon Sep 22 13:03:50 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

die Fehlermeldung sagt es ja auch.

Gruss
Bitte warten ..
Mitglied: aqui
22.09.2014 um 15:03 Uhr
Was die UTM angeht ist diese bei weitem flexibler als ein openvpn server.
Das darf man wohl ziemlich bezweifeln, es sei denn die UTM nutzt auch OVPN als VPN Protokoll. Damit wäre sie dann höchstens gleichwertig. Flexibler aber niemals falls sie IPsec nutzen sollte und kein SSL basiertes VPN wie OVPN !
Ist jetzt aber Off Topic hier !
Bitte warten ..
Mitglied: Alchimedes
22.09.2014 um 15:17 Uhr
Hallo ,

kann Sie alles und noch viel mehr.

SSL basierte VPN openvpn, IPsec e.t.c

Unter der UTM luebbt ja ein Linux Susisorglos....
Hab hier nur kleines Datenblatt gefunden.

http://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophosutmnextg ...

Gruss
Bitte warten ..
Mitglied: Vladislav
22.09.2014 um 15:18 Uhr
Hallo aqui,
ich habe eine alternative Anleitung befolgt in der aber genau dieselben schritte beschrieben wurden.
das einzige was ich nicht verstanden habe war:
......wechselt und die man dann z.B. auf USB Stick sichert oder aus diesem Verzeichnis direkt in die entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert per cut and paste.

was ist genau damit gemeint? -> entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert

Danke im Voraus!!
Bitte warten ..
Mitglied: java667
LÖSUNG 22.09.2014, aktualisiert 25.09.2014
Ich tippe mal darauf das du bei der Sophos UTM den WebProxy angeschaltet hast. Falls ja, ist das Verhalten normal. Der WebProxy tauscht jedes SSL Zertifikat gegen das Sophos UTM Zertifikat aus und gibt dieses an den Client weiter. Kann man ganz leicht nachvollziehen, in dem man z.B. die Login Seite von Amazon aufruft...schaut man sich dann das SSL Zertifikat an, wird man nicht das von Amazon sehen, sondern das der UTM.

Findet man unter Web Protection -> Filtering Options -> HTTPS CAs
<The Signing CA is used to sign all autogenerated site certificates that are transmitted to end-user browsers. End-Users should import this certificate <into their browsers to avoid SSL warning messages.
Bitte warten ..
Mitglied: Vladislav
22.09.2014 um 16:03 Uhr
Hallo und Danke an alle anwesenden,

also ich habe die Anleitung von aqui verwendet hat nichts gebracht.
Obwohl der Rat von java667 sehr sehr sehr plausibel Klang hat es auch nichts gebracht, ich habe WebProxy ausgeschaltet und mir mal unter Web Protection -> Filtering Options -> HTTPS CAs das CA angesehen jedoch unterscheidet es sich von dem welches jedes mal als Fehler auftaucht.

komischerweise verwendet er immer das Zertifikat welches bei der Installation von der Sophos erstellt wurde. Jenes kann ich aber nicht ändern.

ich hoffe jemand kann mir helfen!

MFG Vladislav
Bitte warten ..
Mitglied: aqui
22.09.2014 um 16:14 Uhr
Wie lässt du den OVPN Server laufen ?? Auf dem Default Port UDP 1194 ??
Das kann die Sophos dann unmöglich manipulieren im Content !
Bei TCP 443 sieht das natürlich anders aus. Aber auch da darf siue es niemals machen wenn die IP Adressen der OVPN Komponenten eigene sind, also NICHT die der Sophos. Auch dann darf sie per Definition den Content nicht ändern !
Bitte warten ..
Mitglied: Vladislav
22.09.2014 um 16:20 Uhr
Das ist einfach ich habe unter Site-to-site-vpn -> SSL -> Settings den Port von 443 auf 1194 gesetzt.
Weil vorher hat er alle UDP mit 1194 abgeblockt so das die VPN verbindung garnicht erst beim Server ankam.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Ubuntu
Open VPN auf Raspberry PI 2 (4)

Frage von Hector-User zum Thema Ubuntu ...

Router & Routing
OpenWRT als Open VPN Server im Heimnetz verwenden? (36)

Frage von Mr.Heisenberg zum Thema Router & Routing ...

Netzwerke
Open VPN Server am LINKSYS LRT214 korrekt einrichten (1)

Frage von Thomas866 zum Thema Netzwerke ...

Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...