Oct 26, 2017, updated at 16:33:32 (UTC)

7962

Pfsense 2.4.1 OpenVPN google Authenticator

Hallo,
ich möchte meinen funktionierenden OpenVPN Zugang mit einer 2 Faktor Authentifizierung verbessern.

Hier meine Einstellungen, wie gesagt benutze ich die User im Radius ohne 2 Faktor, dann geht die VPN Verbindung, daher vermute ich der Fehler kann nur bei der 2 Faktor Authentifizierung liegen. Pfsense und das Smarphone laufen ca. nur 1 Sekunde von der Zeit auseinander. Vor dem Token PIN gebe ich meinen PIN (4 stellig) ein, daher ergeben sich bei Token Password Length 1-10. SHA 1 benutzt laut Internet der Google Authenticator und alle 30 Sekunden erneuert seinen Key. Zeitzone sind beide Berlin, aber hier bin ich mir nicht ganz sicher, was mit unserer Sommerzeit ist.

Hier habe ich auf 30 Sekunden, 1-10 Passwortlänge (einen 4 stelligen PIN habe ich eingetragen und Google Auth. spuckt ja 6 Zahlen aus) und auf sha1 abgeändert

Danke der Horst

Please also mark the comments that contributed to the solution of the article

Content-Key: 352925

Url: https://administrator.de/contentid/352925

Printed on: April 20, 2024 at 03:04 o'clock

11 Comments

Latest comment

Zeitzone sind beide Berlin, aber hier bin ich mir nicht ganz sicher, was mit unserer Sommerzeit ist.

Solange beide die gleiche Zeit aufweisen ist das egal.

Check deine PFSense-Logs ... die erzählen einem sehr viel.

Hallo Kokosnuss,
da steht drin, dass ein externes Programm nicht funktioniert. Bei Dir funktioniert das?
Danke!

Erhöhe mal die OpenVPN verbosity.

Zitat von @134464:

Erhöhe mal die OpenVPN verbosity.

was ist das?
Wie schon geschrieben, gebe ich über den Radius ein Passwort vor, dann geht das. Daher vermute ich das Problem bei OTP Einstellungen im Radius. Oder liege ich das komplett falsch?

Ok, die Logs Tiefe erhöhen, aber wo mache ich das? Und nur bei VPN?
danke!

Den Punkt?

btw. Token Length sollte doch 1-6 sein die Pin wird da doch nicht mitgerechnet ...

Zitat von @horstvogel:
Den Punkt?

Das ist für den IGMP Proxy das hat ja wohl nichts mit OpenVPN zu tun

Stichwort Parameter Verb, siehe OpenVPN Docs!

Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:53:39 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:53:39 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:53:38 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:53:38 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:52:59 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 SIGTERM[soft,delayed-exit] received, client-instance exiting 
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 SENT CONTROL [horst]: 'AUTH_FAILED' (status=1)   
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Delayed exit in 5 seconds 
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 PUSH: Received control message: 'PUSH_REQUEST'   
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 [horst] Peer Connection Initiated with [AF_INET]xx.xxx.xxx.xxx:8698 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 TLS Auth Error: Auth Username/Password verification failed for peer 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 WARNING: Failed running command (--auth-user-pass-verify): external program exited with error status: 1 
Oct 26 19:52:52 	openvpn 		user 'horst' could not authenticate.   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_GUI_VER=OpenVPN_GUI_11 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_TCPNL=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_COMP_STUBv2=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_COMP_STUB=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZO=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZ4v2=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZ4=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_NCP=2 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_PROTO=2 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_PLAT=win 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_VER=2.4.4 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY OK: depth=0, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=horst 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY SCRIPT OK: depth=0, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=horst 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY OK: depth=1, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=OpenVPNCA, OU=privat 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY SCRIPT OK: depth=1, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=OpenVPNCA, OU=privat 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 TLS: Initial packet from [AF_INET]xx.xxx.xxx.xxx:8698, sid=aaff7e0d af05deee 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ] 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Control Channel MTU parms [ L:1621 D:1156 EF:94 EB:0 ET:0 EL:3 ] 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Re-using SSL/TLS context 
Oct 26 19:52:51 	openvpn 	44556 	MULTI: multi_create_instance called 
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:52:09 	openvpn 	44556 	Initialization Sequence Completed 
Oct 26 19:52:09 	openvpn 	44556 	IFCONFIG POOL: base=10.8.8.2 size=252, ipv6=0 
Oct 26 19:52:09 	openvpn 	44556 	MULTI: multi_init called, r=256 v=256 
Oct 26 19:52:09 	openvpn 	44556 	UDPv4 link remote: [AF_UNSPEC] 
Oct 26 19:52:09 	openvpn 	44556 	UDPv4 link local (bound): [AF_INET]192.65.178.24:1194 
Oct 26 19:52:09 	openvpn 	44556 	Socket Buffers: R=[42080->42080] S=[57344->57344] 
Oct 26 19:52:09 	openvpn 	44556 	Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ] 

Hallo Kokosnuss,
Freeradius 3 habe neu installiert, ein anderes Smartphone verwendet, andere OTP Varianten ausprobiert, unter Diagnose über den Authentifikation Tester in der Pfsense getestet. Also liegt das Problem doch im Freeradius?? Hast Du das auch mit Google OTP laufen?

Oct 27 15:48:10 radiusd 41733 (2) Login incorrect (Failed retrieving values required to evaluate condition): [horst] (from client pfsense port 0)

Danke!

Die Zeitumstellung war leider auch nicht das Problem. Nun haben wir ja die Winterzeit

geht anscheinend nicht mit der Version 2.4.1

Pfsense Freeradius OTP funktioniert nicht mit 2.4.1, sondern anscheinend nur bis 2.3.4

German solved Question Firewall Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment