Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN - windows-config auf dem mac?

Frage Apple

Mitglied: MichiBlack

MichiBlack (Level 1) - Jetzt verbinden

01.03.2009, aktualisiert 17:42 Uhr, 5739 Aufrufe, 4 Kommentare

Hallo zusmamen,

erstmal vorweg: ich hab von diesem vpn-zeugs nicht so die Ahnung. Wie man es konfiguriert usw usf.

ich verbinde mich mit meinem Windows-Notebook per OpenVPN zum einem Server... da klappt alles wunderbar ohne jegliche Probleme. Nun habe ich mir gedacht, dass ich das genauso gut mit mienem MacBook machen könnte um die Arbeitsläufe zu vereinfachen. Dafür habe ich mir das App "Tunnelblick" geladen und es entsprechend konfiguriert. Ich habe mir die config vom windows geschnappt und diese einfach in den entsprechenden ordner auf meinem mach gepackt.

Nun erstmal zu den Problemen:
Sun 03/01/09 05:30 PM: WARNING: file 'xxxxx.key' is group or others accessible
Sun 03/01/09 05:30 PM: WARNING: file 'ta.key' is group or others accessible

Was bedeutet das? Die Datei xxxxx.key steht im Windows für den Netzwerk-Namen des Rechners. Ich habe meinen mac nun mal testweise den selben namen gegeben, aber es funkt leider auch nicht damit. Das gleichnamige Zertifikat wird nicht erwähnt also wohl auch erfolgreich verwendet. Warum er die ta.key nicht nimmt ist mir ebenfalls schleierhaft.

Am ende sagt mir Tunnelblick dennoch, dass ich erfolgreich verbundne bin... was aber leider nicht der Fall ist.

Eine wietere Sache in der Windows-Config ist die hier:

  1. Windows needs the TAP-Win32 adapter name
  2. from the Network Connections panel
  3. if you have more than one. On XP SP2,
  4. you may need to disable the firewall
  5. for the TAP adapter.
dev-node "name name name"

Im windows muss ich, wie es da steht, den adapter in "name name name" umbenennen. Im OS X soll das nciht nötig sein, habe ich irgendwo gelesen... von daher habe ich den dev-node bei meiner config auskommentiert. Denn wenn ich es drin lasse, kann Tunnelblick nicht verbinden. Kann es daran liegen..? und wenn ja, wie benenne ich den openvpn adapter denn in diesem Fall um?



Eine weitere Sache eventuell: im windows muss ich, bevor VPN es tut, eine Datei namens "subinacl.exe" (von Microsoft --> "SubInACL is a command-line tool that enables administrators to obtain security information about files, registry keys, and services, and transfer this information from user to user, from local or global group to group, and from domain to domain.") ausführen und meinen benutzernamen 'freischalten' dies geht mit: "subinacl /SERVICE "OpenVPNService" /GRANT=username=TO" ... gibt es dazu eventuell ein passendes Gegenstück für den mac?!


Danke für eure hilfe jungs
Mitglied: dog
01.03.2009 um 18:50 Uhr
Sun 03/01/09 05:30 PM: WARNING: file 'xxxxx.key' is group or others accessible
Sun 03/01/09 05:30 PM: WARNING: file 'ta.key' is group or others accessible

Die Fehlermeldung sagt doch eigentlich schon alles über sich selbst aus:

OpenVPN warnt dich, dass die Dateien xxxx.key und ta.key von Benutzern in der Gruppe gelesen werden kann, was ein Sicherheitsrisiko ist.
Weil du nicht verrätst welches OS X du hast, die Lösung für alle:

Terminal öffnen (in Programme > Dienstprogramme)
Dort eingeben cd<LEERZEICHEN> und dann den ordner in dem sich die beiden Dateien befinden per Drag und Drop ins Fenster ziehen (so, dass dort steht "cd /Users/horst/.openvpn/" o.Ä.) - Enter
Dann folgende Befehle ausführen:
chmod go-rwx xxxxx.key
chmod go-rwx ta.key

Fertig

Übrigens hast du ein Sicherheitsrisiko wenn du die selbe Keyfile auf zwei Rechnern verwendest: Wird einer geklaut musst du sie auf allen PCs ändern. Bei OpenVPN sollte AFAIK ein Rechner eine Keyfile haben, damit man die kompromittierte schneller rauswerfen kann.

Grüße

Max
Bitte warten ..
Mitglied: MichiBlack
01.03.2009 um 19:42 Uhr
Hallo, Danke für diene Antwort. Habe den guten Leo am laufen... hab die rechte nun gefixed und die Meldung ist weg... aber funktionieren tut das ganze immernoch nicht, leider.


Das mit dem Risiko ist mir bewusst, nur wollte ich erst einmal mit einer vorhandenen key-datei testen, bevor ich mir eine neue erstelle.

Das Tunnelblick-Log sieht wie folgt aus:


01.
Thu 01/01/70 01:00 AM: SUCCESS: pid=14106 
02.
Thu 01/01/70 01:00 AM: SUCCESS: real-time state notification set to ON 
03.
Thu 01/01/70 01:00 AM: SUCCESS: real-time log notification set to ON 
04.
Sun 03/01/09 07:29 PM: OpenVPN 2.1_rc15 i386-apple-darwin9.5.0 [SSL] [LZO2] built on Nov 19 2008 
05.
Sun 03/01/09 07:29 PM: MANAGEMENT: TCP Socket listening on 127.0.0.1:1337 
06.
Sun 03/01/09 07:29 PM:  waiting... 
07.
Sun 03/01/09 07:29 PM: MANAGEMENT: Client connected from 127.0.0.1:1337 
08.
Thu 01/01/70 01:00 AM: END 
09.
Thu 01/01/70 01:00 AM: SUCCESS: hold release succeeded 
10.
Sun 03/01/09 07:29 PM: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info. 
11.
Sun 03/01/09 07:29 PM: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts 
12.
Sun 03/01/09 07:29 PM: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file 
13.
Sun 03/01/09 07:29 PM: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication 
14.
Sun 03/01/09 07:29 PM: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication 
15.
Sun 03/01/09 07:29 PM: LZO compression initialized 
16.
Sun 03/01/09 07:29 PM: Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ] 
17.
Sun 03/01/09 07:29 PM:  
18.
Sun 03/01/09 07:29 PM: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] 
19.
Sun 03/01/09 07:29 PM: Local Options hash (VER=V4): '504e774e' 
20.
Sun 03/01/09 07:29 PM: Expected Remote Options hash (VER=V4): '14168603' 
21.
Sun 03/01/09 07:29 PM: Socket Buffers: R=[42080->65536] S=[9216->65536] 
22.
Sun 03/01/09 07:29 PM: UDPv4 link local: [undef] 
23.
Sun 03/01/09 07:29 PM: UDPv4 link remote: 79.205.148.87:1194 
24.
Sun 03/01/09 07:29 PM:  
25.
Sun 03/01/09 07:29 PM:  
26.
Sun 03/01/09 07:29 PM:  sid=76fb0b61 78896d97 
27.
Sun 03/01/09 07:29 PM:  /C=DE/ST=xxxxxxxxx/L=xxxxxxxxx/O=xxxxxxxxx/CN=OpenVPN_CA/emailAddress=info@xxxxxxxxx.de 
28.
Sun 03/01/09 07:29 PM:  /C=DE/ST=xxxxxxxxx/O=xxxxxxxxx/CN=xxxxxxxx.xxxxxxxxx.de/emailAddress=info@xxxxxxxxx.de 
29.
Sun 03/01/09 07:29 PM:  remote='link-mtu 1546' 
30.
Sun 03/01/09 07:29 PM:  remote='mtu-dynamic' 
31.
Sun 03/01/09 07:29 PM: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key 
32.
Sun 03/01/09 07:29 PM: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication 
33.
Sun 03/01/09 07:29 PM: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key 
34.
Sun 03/01/09 07:29 PM: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication 
35.
Sun 03/01/09 07:29 PM:  2048 bit RSA 
36.
Sun 03/01/09 07:29 PM: [xxxxxxxx.xxxxxxxxx.de] Peer Connection Initiated with xx.xxx.xxx.xx:1194 
37.
Sun 03/01/09 07:29 PM:  
38.
Sun 03/01/09 07:29 PM: SENT CONTROL [xxxxx.xxxxx.de]: 'PUSH_REQUEST' (status=1) 
39.
Sun 03/01/09 07:29 PM: ifconfig 192.168.2.102 192.168.2.101' 
40.
Sun 03/01/09 07:29 PM: OPTIONS IMPORT: timers and/or timeouts modified 
41.
Sun 03/01/09 07:29 PM: OPTIONS IMPORT: --ifconfig/up options modified 
42.
Sun 03/01/09 07:29 PM: OPTIONS IMPORT: route options modified 
43.
Sun 03/01/09 07:29 PM: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified 
44.
Sun 03/01/09 07:29 PM: ROUTE default_gateway=192.168.0.1 
45.
Sun 03/01/09 07:29 PM: TUN/TAP device /dev/tun0 opened 
46.
Sun 03/01/09 07:29 PM:  
47.
Sun 03/01/09 07:29 PM: /sbin/ifconfig tun0 delete 
48.
Sun 03/01/09 07:29 PM: NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure 
49.
Sun 03/01/09 07:29 PM: /sbin/ifconfig tun0 192.168.2.102 192.168.2.101 mtu 1500 netmask 255.255.255.255 up 
50.
Sun 03/01/09 07:29 PM: /Applications/Tunnelblick.app/Contents/Resources/client.up.osx.sh tun0 1500 1542 192.168.2.102 192.168.2.101 init 
51.
Sun 03/01/09 07:29 PM:  
52.
Sun 03/01/09 07:29 PM: /sbin/route add -net 192.168.6.0 192.168.2.101 255.255.255.0 
53.
Sun 03/01/09 07:29 PM: /sbin/route add -net 192.168.2.1 192.168.2.101 255.255.255.255 
54.
Sun 03/01/09 07:29 PM: Initialization Sequence Completed 
55.
Sun 03/01/09 07:29 PM: xx.xxx.xxx.xxx 
56.
Sun 03/01/09 07:29 PM: Bad LZO decompression header byte: 0 
57.
Sun 03/01/09 07:29 PM: Bad LZO decompression header byte: 0 
58.
Sun 03/01/09 07:29 PM: Bad LZO decompression header byte: 0 
59.
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0 
60.
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0 
61.
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0 
62.
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0 
63.
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0 
64.
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0 
65.
Sun 03/01/09 07:31 PM: Bad LZO decompression header byte: 0 
66.
Sun 03/01/09 07:31 PM: Bad LZO decompression header byte: 0 
67.
Sun 03/01/09 07:31 PM:  restarting 
68.
Sun 03/01/09 07:31 PM: TCP/UDP: Closing socket 
69.
Sun 03/01/09 07:31 PM:  process restarting 
70.
Sun 03/01/09 07:31 PM:  
71.
Thu 01/01/70 01:00 AM: SUCCESS: hold release succeeded 
72.
Sun 03/01/09 07:31 PM: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info. 
73.
Sun 03/01/09 07:31 PM: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts 
74.
Sun 03/01/09 07:31 PM: Re-using SSL/TLS context 
75.
Sun 03/01/09 07:31 PM: LZO compression initialized 
76.
Sun 03/01/09 07:31 PM: Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ] 
77.
Sun 03/01/09 07:31 PM: 
vielleicht hilft das ja.


Die conf-Datei sieht hingegen so aus:

01.
client 
02.
dev tun 
03.
proto udp 
04.
remote xxxxx.xxxxx.xx 1194 
05.
resolv-retry infinite 
06.
nobind 
07.
persist-key 
08.
persist-tun 
09.
ca ca.crt 
10.
cert xxxxx.crt 
11.
key xxxxx.key 
12.
tls-auth ta.key 1 
13.
comp-lzo 
14.
verb 3
Bitte warten ..
Mitglied: dog
01.03.2009 um 20:03 Uhr
Sorry, hab OpenVPN schon länger nicht mehr benutzt, aber einen Fehler sehe ich da nicht...
Was sagen denn ping und traceroute?
Bitte warten ..
Mitglied: MichiBlack
01.03.2009 um 20:20 Uhr
ich habe folgende 3 Zeilen an die config drangehangen:

tun-mtu 1500
fragment 1400
mssfix 1400

... und nun tut's . Trotzdem Danke für diene Hilfe!
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
OpenVPN selbe config funktioniert an einem Rechner nicht
gelöst Frage von PharITNetzwerkprotokolle4 Kommentare

Hallo, hat jemand vielleicht noch eine Idee für mich? Ich nutze ein und dieselbe config Datei testweise an einem ...

Netzwerke
OpenVPN bestimmte Mac Adressen zulasssen
Frage von 133124Netzwerke2 Kommentare

Hallo zusammen, Ist es möglich das man nur bestimmte Mac Adressen in OpenVPN zulassen kann? Als Beispiel. Ich erstelle ...

Netzwerkmanagement
OpenVPN auf Windows mit AD Userlogin
gelöst Frage von H4rdQu0r3Netzwerkmanagement5 Kommentare

Hallo, ich habe mal eine Frage zum Thema OpenVPN. Ich habe hier einen DC, DNS, DHCP, Exchange, Terminal und ...

Windows 7
Openvpn und windows 7 prof
gelöst Frage von jensgebkenWindows 75 Kommentare

hallo gemeinschaft, möchte mich über mein w7 notebook und openvpn in einer domäne anmelden - wenn ich als administrator ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 3 StundenWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 10 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 11 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server23 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Exchange Server
Exchange empfängt Emails - Kann aber keine Senden
gelöst Frage von niklasschaeferExchange Server11 Kommentare

Hallo, ich stehe gerade bei mir zuhause vor folgender Problemstellung. Gegeben sind 2x Hyper-V Host mit Windows Server 2016 ...