Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN-Sessions sind in pfSense nicht sichtbar

Frage Microsoft Windows Netzwerk

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

30.10.2011 um 10:42 Uhr, 4143 Aufrufe, 4 Kommentare

Hallo,

ich habe mehrere User aus der OVPN-Client-Verwaltung von pfSense exportiert.

der OVPN-Exporter hat diese Config-Datei erstellt:

pfsense-udp-1194.p12
pfsense-udp-1194.key

Config-Datei:

dev tun
persist-tun
persist-key
proto udp
cipher AES-128-CBC
tls-client
client
resolv-retry infinite
remote xxxxxxxxxxxxxxxxxxxxxxxxx 1194
tls-remote internal-ca
pkcs12 pfsense-udp-1194.p12
tls-auth pfsense-udp-1194-tls.key 1
comp-lzo
verb 3

So hat die Verbindung geklappt. Auf dem pfSense-GUI waren die Verbindungen der einzelnen User aber nicht sichtbar:

3d697a9e534e4d9b811ebe2847954f0a - Klicke auf das Bild, um es zu vergrößern

Ich habe versucht die Config-Datei sp umzubauen, wie Aqui in seiner Anleitung vorgeschlagen:

client
dev tun
proto udp
remote 192.168.100.162 1194 <-- ändern auf reale OpenVPN Server IP oder DynDNS !
;remote mein-vpn-server.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca C:/Programme/OpenVPN/easy-rsa/keys/ca.crt (--> es wurde aus dem Cert-Verwaltung von pfSense exportiert)
cert C:/Programme/OpenVPN/easy-rsa/keys/client1.crt (--> es wurde aus dem Cert-Verwaltung von pfSense exportiert)
key C:/Programme/OpenVPN/easy-rsa/keys/client1.key (--> es wurde aus dem Cert-Verwaltung von pfSense exportiert)
client1.key gespeichert)
ns-cert-type server
comp-lzo
verb 3


Hier ist die Log des Clients:

Sun Oct 30 10:35:10 2011 OpenVPN 2.2.0 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] [IPv6 payload 20110521-1 (2.2.0)] built on May 21 2011
Sun Oct 30 10:35:10 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Oct 30 10:35:10 2011 LZO compression initialized
Sun Oct 30 10:35:10 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Oct 30 10:35:10 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Oct 30 10:35:11 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Oct 30 10:35:11 2011 Local Options hash (VER=V4): '41690919'
Sun Oct 30 10:35:11 2011 Expected Remote Options hash (VER=V4): '530fdded'
Sun Oct 30 10:35:11 2011 UDPv4 link local: [undef]
Sun Oct 30 10:35:11 2011 UDPv4 link remote: XXXXXXXXXXXX:1194
Sun Oct 30 10:36:11 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Oct 30 10:36:11 2011 TLS Error: TLS handshake failed
Sun Oct 30 10:36:11 2011 TCP/UDP: Closing socket
Sun Oct 30 10:36:11 2011 SIGUSR1[soft,tls-error] received, process restarting

Was kann der Fehler sein?

Frage ist noch, ob der ursprünglicher Weg mit dem p12-Datei auch OK wäre.

Danke sehr.

Gr. I.
Mitglied: aqui
30.10.2011 um 11:30 Uhr
Der pfSense OVPN Server wird im default nicht mit dem ns-cert-Type Attribut gestartet. DAS muss du also in der Konfig Datei oben zwingend auskommentieren ! (mit einem vorangestellten Semikolon !) Das ist auch so im Tutorial erklärt !!
Ausserdem musst du den dynamisch erzeugten TA Key aus dem OpenVPN Setup per cut and paste ins Client Key verzeichnis kopieren.
Die 2 geänderten Zeilen im Client sehen dann so aus:

;ns-cert-type server ( --> Mit Semikolon ; auskommentieren ! )
tls-auth C:/Programme/OpenVPN/easy-rsa/clientkeys/ta.key 1 ( --> Verweist auf den oben kopierten TA Key ! )


So wird ein Schuh draus. Du kannst aber genausogut die pkcs12 Variante benutzen, das ist völlig Latte !!
Bitte warten ..
Mitglied: istike2
30.10.2011 um 14:19 Uhr
Danke Aqui,

es klappte wie gesagt gut mit meiner Config-Version.

Ich habe bloß nicht verstanden, warum die einzelnen Clients in der Übersichtfunktion des VPNServers nicht zu sehen sind. Wie du auf dem SC siehst, sind alle Clients "Down", obwohl die Verbindung steht.

Deswegen suchte ich nach Gründe.

(Kann es sein, dass es an dem CommonName liegt, der bei allen Clients "internal-ca" ist....)

Gr. i.
Bitte warten ..
Mitglied: aqui
30.10.2011 um 15:54 Uhr
Nein, daran liegt es nicht. Der "common name" muss aber im Server Zertifikat und den Client Zertifikaten immer identisch sein !!
Siehst du etwas im Open VPN Log ?
Bitte warten ..
Mitglied: istike2
31.10.2011 um 15:59 Uhr
Nicht wirklich, den Log siehst du hier:

Fri Oct 28 18:49:10 2011 OpenVPN 2.2.0 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] [IPv6 payload 20110521-1 (2.2.0)] built on May 21 2011
Fri Oct 28 18:49:10 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Oct 28 18:49:10 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Fri Oct 28 18:49:10 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Oct 28 18:49:10 2011 Control Channel Authentication: using 'pfsense-udp-1194-tls.key' as a OpenVPN static key file
Fri Oct 28 18:49:10 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:10 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:10 2011 LZO compression initialized
Fri Oct 28 18:49:10 2011 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Oct 28 18:49:10 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Oct 28 18:49:10 2011 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Oct 28 18:49:10 2011 Local Options hash (VER=V4): '272f1b58'
Fri Oct 28 18:49:10 2011 Expected Remote Options hash (VER=V4): 'a2e63101'
Fri Oct 28 18:49:10 2011 UDPv4 link local (bound): [undef]:1194
Fri Oct 28 18:49:10 2011 UDPv4 link remote: xxxxxxxxxxxxxx:1194
Fri Oct 28 18:49:10 2011 TLS: Initial packet from xxxxxxxxxxxxxx:1194, sid=xxxxxxxxxxxxx
Fri Oct 28 18:49:10 2011 VERIFY OK: depth=1, /C=DE/ST=Deutschland/L=xxxxxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:10 2011 VERIFY X509NAME OK: /C=DE/ST=Deutschland/L=xxxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:10 2011 VERIFY OK: depth=0, /C=DE/ST=Deutschland/L=xxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:11 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Oct 28 18:49:11 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:11 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Oct 28 18:49:11 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:11 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Oct 28 18:49:11 2011 [internal-ca] Peer Connection Initiated with xxxxxxxxxxxxxxxxx:1194
Fri Oct 28 18:49:13 2011 SENT CONTROL [internal-ca]: 'PUSH_REQUEST' (status=1)
Fri Oct 28 18:49:13 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.1.1.0 255.255.255.0,route 172.16.0.1,topology net30,ping 10,ping-restart 60,ifconfig 172.16.0.6 172.16.0.5'
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: route options modified
Fri Oct 28 18:49:13 2011 ROUTE default_gateway=xxxxxxxxxxxxxxxx --> hier stand meine externe IP-Adresse!
Fri Oct 28 18:49:13 2011 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Oct 28 18:49:13 2011 open_tun, tt->ipv6=0
Fri Oct 28 18:49:13 2011 TAP-WIN32 device [LAN-Verbindung 9] opened: \\.\Global\{F14C7A5C-2979-4FC2-9C28-DC21F003B2DC}.tap
Fri Oct 28 18:49:13 2011 TAP-Win32 Driver Version 9.8
Fri Oct 28 18:49:13 2011 TAP-Win32 MTU=1500
Fri Oct 28 18:49:13 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.16.0.6/255.255.255.252 on interface {F14C7A5C-2979-4FC2-9C28-DC21F003B2DC} [DHCP-serv: 172.16.0.5, lease-time: 31536000]
Fri Oct 28 18:49:13 2011 Successful ARP Flush on interface [44] {F14C7A5C-2979-4FC2-9C28-DC21F003B2DC}
Fri Oct 28 18:49:18 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Oct 28 18:49:18 2011 C:\WINDOWS\system32\route.exe ADD 10.1.1.0 MASK 255.255.255.0 172.16.0.5
Fri Oct 28 18:49:18 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Oct 28 18:49:18 2011 Route addition via IPAPI succeeded [adaptive]
Fri Oct 28 18:49:18 2011 C:\WINDOWS\system32\route.exe ADD 172.16.0.1 MASK 255.255.255.255 172.16.0.5
Fri Oct 28 18:49:18 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Oct 28 18:49:18 2011 Route addition via IPAPI succeeded [adaptive]
Fri Oct 28 18:49:18 2011 Initialization Sequence Completed
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst PFSense Squid Proxy über OpenVpn Verbindung nutzen (4)

Frage von horstvogel zum Thema Firewall ...

Firewall
Pfsense OpenVPN - MultWAN nur als Failover (1)

Frage von Otto1699 zum Thema Firewall ...

Voice over IP
PfSense: Anfänger benötigt Hilfe zum Thema VoIP und OpenVPN (12)

Frage von TorstenG zum Thema Voice over IP ...

Router & Routing
gelöst Pfsense - openvpn - DNS Auflösung einrichten (4)

Frage von 118080 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...