istike2
Oct 30, 2011
view4651
view4
0
Goto Top

OpenVPN-Sessions sind in pfSense nicht sichtbar

GermansolvedQuestionWindows NetworkMicrosoft
Hallo,

ich habe mehrere User aus der OVPN-Client-Verwaltung von pfSense exportiert.

der OVPN-Exporter hat diese Config-Datei erstellt:

pfsense-udp-1194.p12
pfsense-udp-1194.key

Config-Datei:

dev tun
persist-tun
persist-key
proto udp
cipher AES-128-CBC
tls-client
client
resolv-retry infinite
remote xxxxxxxxxxxxxxxxxxxxxxxxx 1194
tls-remote internal-ca
pkcs12 pfsense-udp-1194.p12
tls-auth pfsense-udp-1194-tls.key 1
comp-lzo
verb 3

So hat die Verbindung geklappt. Auf dem pfSense-GUI waren die Verbindungen der einzelnen User aber nicht sichtbar:

3d697a9e534e4d9b811ebe2847954f0a

Ich habe versucht die Config-Datei sp umzubauen, wie Aqui in seiner Anleitung vorgeschlagen:

client
dev tun
proto udp
remote 192.168.100.162 1194 <-- ändern auf reale OpenVPN Server IP oder DynDNS !
;remote mein-vpn-server.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca C:/Programme/OpenVPN/easy-rsa/keys/ca.crt (--> es wurde aus dem Cert-Verwaltung von pfSense exportiert)
cert C:/Programme/OpenVPN/easy-rsa/keys/client1.crt (--> es wurde aus dem Cert-Verwaltung von pfSense exportiert)
key C:/Programme/OpenVPN/easy-rsa/keys/client1.key (--> es wurde aus dem Cert-Verwaltung von pfSense exportiert)
client1.key gespeichert)
ns-cert-type server
comp-lzo
verb 3


Hier ist die Log des Clients:

Sun Oct 30 10:35:10 2011 OpenVPN 2.2.0 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] [IPv6 payload 20110521-1 (2.2.0)] built on May 21 2011
Sun Oct 30 10:35:10 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Oct 30 10:35:10 2011 LZO compression initialized
Sun Oct 30 10:35:10 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Oct 30 10:35:10 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Oct 30 10:35:11 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Oct 30 10:35:11 2011 Local Options hash (VER=V4): '41690919'
Sun Oct 30 10:35:11 2011 Expected Remote Options hash (VER=V4): '530fdded'
Sun Oct 30 10:35:11 2011 UDPv4 link local: [undef]
Sun Oct 30 10:35:11 2011 UDPv4 link remote: XXXXXXXXXXXX:1194
Sun Oct 30 10:36:11 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Oct 30 10:36:11 2011 TLS Error: TLS handshake failed
Sun Oct 30 10:36:11 2011 TCP/UDP: Closing socket
Sun Oct 30 10:36:11 2011 SIGUSR1[soft,tls-error] received, process restarting


Was kann der Fehler sein?

Frage ist noch, ob der ursprünglicher Weg mit dem p12-Datei auch OK wäre.

Danke sehr.

Gr. I.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 175514

Url: https://administrator.de/contentid/175514

Printed on: April 19, 2024 at 03:04 o'clock

4 Comments
Latest comment
Goto Top
Member: aqui
aqui Oct 30, 2011 at 10:30:57 (UTC)
Goto Top
Der pfSense OVPN Server wird im default nicht mit dem ns-cert-Type Attribut gestartet. DAS muss du also in der Konfig Datei oben zwingend auskommentieren ! (mit einem vorangestellten Semikolon !) Das ist auch so im Tutorial erklärt !!
Ausserdem musst du den dynamisch erzeugten TA Key aus dem OpenVPN Setup per cut and paste ins Client Key verzeichnis kopieren.
Die 2 geänderten Zeilen im Client sehen dann so aus:

;ns-cert-type server ( --> Mit Semikolon ; auskommentieren ! )
tls-auth C:/Programme/OpenVPN/easy-rsa/clientkeys/ta.key 1 ( --> Verweist auf den oben kopierten TA Key ! )

So wird ein Schuh draus. Du kannst aber genausogut die pkcs12 Variante benutzen, das ist völlig Latte !!
Member: istike2
istike2 Oct 30, 2011 at 13:19:58 (UTC)
Goto Top
Danke Aqui,

es klappte wie gesagt gut mit meiner Config-Version.

Ich habe bloß nicht verstanden, warum die einzelnen Clients in der Übersichtfunktion des VPNServers nicht zu sehen sind. Wie du auf dem SC siehst, sind alle Clients "Down", obwohl die Verbindung steht.

Deswegen suchte ich nach Gründe.

(Kann es sein, dass es an dem CommonName liegt, der bei allen Clients "internal-ca" ist....)

Gr. i.
Member: aqui
aqui Oct 30, 2011 at 14:54:27 (UTC)
Goto Top
Nein, daran liegt es nicht. Der "common name" muss aber im Server Zertifikat und den Client Zertifikaten immer identisch sein !!
Siehst du etwas im Open VPN Log ?
Member: istike2
istike2 Oct 31, 2011 at 14:59:33 (UTC)
Goto Top
Nicht wirklich, den Log siehst du hier:

Fri Oct 28 18:49:10 2011 OpenVPN 2.2.0 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] [IPv6 payload 20110521-1 (2.2.0)] built on May 21 2011
Fri Oct 28 18:49:10 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Oct 28 18:49:10 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Fri Oct 28 18:49:10 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Oct 28 18:49:10 2011 Control Channel Authentication: using 'pfsense-udp-1194-tls.key' as a OpenVPN static key file
Fri Oct 28 18:49:10 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:10 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:10 2011 LZO compression initialized
Fri Oct 28 18:49:10 2011 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Oct 28 18:49:10 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Oct 28 18:49:10 2011 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Oct 28 18:49:10 2011 Local Options hash (VER=V4): '272f1b58'
Fri Oct 28 18:49:10 2011 Expected Remote Options hash (VER=V4): 'a2e63101'
Fri Oct 28 18:49:10 2011 UDPv4 link local (bound): [undef]:1194
Fri Oct 28 18:49:10 2011 UDPv4 link remote: xxxxxxxxxxxxxx:1194
Fri Oct 28 18:49:10 2011 TLS: Initial packet from xxxxxxxxxxxxxx:1194, sid=xxxxxxxxxxxxx
Fri Oct 28 18:49:10 2011 VERIFY OK: depth=1, /C=DE/ST=Deutschland/L=xxxxxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:10 2011 VERIFY X509NAME OK: /C=DE/ST=Deutschland/L=xxxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:10 2011 VERIFY OK: depth=0, /C=DE/ST=Deutschland/L=xxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:11 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Oct 28 18:49:11 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:11 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Oct 28 18:49:11 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:11 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Oct 28 18:49:11 2011 [internal-ca] Peer Connection Initiated with xxxxxxxxxxxxxxxxx:1194
Fri Oct 28 18:49:13 2011 SENT CONTROL [internal-ca]: 'PUSH_REQUEST' (status=1)
Fri Oct 28 18:49:13 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.1.1.0 255.255.255.0,route 172.16.0.1,topology net30,ping 10,ping-restart 60,ifconfig 172.16.0.6 172.16.0.5'
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: route options modified
Fri Oct 28 18:49:13 2011 ROUTE default_gateway=xxxxxxxxxxxxxxxx --> hier stand meine externe IP-Adresse!
Fri Oct 28 18:49:13 2011 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Oct 28 18:49:13 2011 open_tun, tt->ipv6=0
Fri Oct 28 18:49:13 2011 TAP-WIN32 device [LAN-Verbindung 9] opened: \\.\Global\{F14C7A5C-2979-4FC2-9C28-DC21F003B2DC}.tap
Fri Oct 28 18:49:13 2011 TAP-Win32 Driver Version 9.8
Fri Oct 28 18:49:13 2011 TAP-Win32 MTU=1500
Fri Oct 28 18:49:13 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.16.0.6/255.255.255.252 on interface {F14C7A5C-2979-4FC2-9C28-DC21F003B2DC} [DHCP-serv: 172.16.0.5, lease-time: 31536000]
Fri Oct 28 18:49:13 2011 Successful ARP Flush on interface [44] {F14C7A5C-2979-4FC2-9C28-DC21F003B2DC}
Fri Oct 28 18:49:18 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Oct 28 18:49:18 2011 C:\WINDOWS\system32\route.exe ADD 10.1.1.0 MASK 255.255.255.0 172.16.0.5
Fri Oct 28 18:49:18 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Oct 28 18:49:18 2011 Route addition via IPAPI succeeded [adaptive]
Fri Oct 28 18:49:18 2011 C:\WINDOWS\system32\route.exe ADD 172.16.0.1 MASK 255.255.255.255 172.16.0.5
Fri Oct 28 18:49:18 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Oct 28 18:49:18 2011 Route addition via IPAPI succeeded [adaptive]
Fri Oct 28 18:49:18 2011 Initialization Sequence Completed
GermansolvedQuestionWindows NetworkMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment