istike2
Goto Top

PfSense OpenVPN-Client Export

Hallo,

ich habe auf pfSense einen OpenVPN-Server eingerichtet. Cert-Erstellung und generell alles war prinzipiell sehr einfach und intuitiv. Als ich allerdings versuchte die Clients zu exportieren, stehen sie nicht zur Auswahl zur Verfügung.

Bemerkung im WebGUI:

"NOTE: If you expect to see a certain client in the list but it is not there, it is usually due to a CA mismatch between the OpenVPN server instance and the client certificates found in the User Manager."

Ich habe sowohl die Server- wie auch die Client-Einstellungen merhmals kontrolliert. Ich finde persönlich leider nichts was nicht in Ordnung wäre. Sieht jemand was "unpassendes"?

Anbei findet ihr die Certs und die Einstellungen.

d82ae31bcca0b0d0085a430096a43150

6b917b6e24483a98ea6b2de114899618

f16eb817cb77a79987f700bdb32a68ef

f64b6c76695f2c2c8c070739f871612a

4a246fb022fe7e03f85d3af9caf90134

Danke für die Hilfe.

Gr. I.

Content-Key: 175189

Url: https://administrator.de/contentid/175189

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 24.10.2011, aktualisiert am 18.10.2012 um 18:48:52 Uhr
Goto Top
Was mainst du mit "Clients exportieren" ?? Das ist etwas kryptisch, denn damit muss man ja nix exportieren.
Halt dich doch ganz einfach an dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dann funktioniert alles wasserdicht wie von selbst....
Nun gehts erstmal an dein NAT "Problem".... ist ja recht anstrengend heute... face-wink
Mitglied: istike2
istike2 24.10.2011 um 15:55:08 Uhr
Goto Top
Hallo Aqui,

nun. Die Ver. 2.0 bietet eine Komplettlösung für OpenVPN an. Alles kann man in der GUI machen und einfach exportieren.

Siehe entsprechendes pfSense-Package.

Ich habe die User mit den bat.-Dateien bereits erstellt. die GUI schien mir aber bequemer zu sein. Wenn es nichts anders geht mache ich halt wie beschrieben.

Blöderweise sieht die GUI jetzt schon anders aus als damals bei der Erstellung der Anleitung face-sad

Die Einstellungen sind - wie du auf den Screenshots siehst - selbsterklärend, trotzdem klappt es aus welchem Grund auch, nicht.

Gr. I.
Mitglied: aqui
aqui 24.10.2011 um 19:07:28 Uhr
Goto Top
Ooops...recht hast du. Da muss das Tutorial mal ein Update erfahren face-wink
Es geht aber noch auf die "alte" Art. Ggf. ist das etwas sicherer... Ich mach einen Labortest und pass ggf. das Tutorial an.
Mitglied: istike2
istike2 24.10.2011 um 23:22:28 Uhr
Goto Top
Danke sehr im Voraus.

ich versuche allerdings die in der Kommandzeile erstellte Keys in dem neuen GUI zu unterbringen.

Ich habe im Allgemeinen zwei Möglichkeiten Schlüssel einzugeben.

Tab "Server": TLS-Authentification (Hier muss der "# 2048 bit OpenVPN static key" reinkopiert werden)
Tab" Client": TLS-Authentification (dasselbe wie beim Server)

Welche der zahlreichen Dateien soll ich hier mit Copy-Paste reinkopieren. Ich habe vier User, werde also vier Clients erstellen:

7b3acf0c4b81cb4a5ff5eef6474e5319

Gr. I.
Mitglied: helge000
helge000 25.10.2011 um 03:25:29 Uhr
Goto Top
Hallo I,

lustig, ich bastl mir das auch grade hin und freue mich, dass ich endlich meine alten Scripts ad Acta legen kann.
Auf den Screenshots konnte ich nichts verdächtiges sehen. Außer natürlich, was du mit dem OpenVPN Client bezwecken willst (mir scheint es ja bei dir um Remote Access zu gehen).

Wichtig ist aber die CA. Du brauchst eine eigene. ich hatte mir damals nur das Cert unserer Firmen-CA importiert. Das Upgrade auf 2.0 hat das schön ordentlich in den Cert Manager abgelegt. Aber eben eine richtige CA war ja nie vorgesehen, weshalb dir sicher der Key für die CA fehlt - und ohne den können ja keine neuen ausgestellt werden.

Entweder du machst dir eine eigene neue CA (sicher einfacher, wenn du nicht so viele existierende User hast) oder eben eine Intermediate (musste dann von deiner CA delegieren, dit war mir denn aber doch zu viel Aufwand heute Abend). Ich habe mir eine neue angelegt und werde morgen einfach neue Configs verteilen.
Also der Reihe nach:

Im Cert Manger eine eigene CA erstellen.

Dazu am Besten noch die CRL anlegen.

Ein Cert für deinen OpenVPN Server anlegen

Weitere Certifikate für deine User anlegen

Im OpenVPN Server-Tab:

Nun die eben erstellte CA, die CRL und das Cert für den Server im OpenVPN Server angeben.

Den TA Key automatisch generieren lassen.

Falls du nun noch AD am laufen hast, kannste dir auch gleich die LDAP oder Radius auth dazu einrichten. Ich mach das über Windows NPS (Radius).

Wenn du alles beisammen hast, dann tauchen beim Client - Expot alle Zertifikate der CA des Servers auf. Daneben kannst du dir dann mit einem simplen Klick die Configs generieren lassen. Wir benutzen Viscosity, den Client gibts für Mac und Win und die Configs sind austauschbar.

Einfach der Wahnsinn, und ich sage an dieser stelle noch mal ein dickes Danke an das pfsense Dev Team!

Grüße aus Berlin,
Helge
Mitglied: istike2
istike2 25.10.2011 um 15:14:23 Uhr
Goto Top
Danke Helge,

ja der Wahniss... Wenn es funkzt. face-smile Ich denke es ist einfacher alles zu löschen und erneut anfangen... Ich kann mir vorstellen, dass ich keinen TA Schlüssel generiert habe... Mal schauen.

Gr. I.
Mitglied: aqui
aqui 25.10.2011 um 17:18:02 Uhr
Goto Top
@Istike
Was du noch machen solltest: In den Advanced Settings kannst du den AMD Geode Crypto Chip aktivieren den das ALIX Board onboard hat
System --> Advanced --> Miscellaneous --> Crypto Accleration
Zudem sollte man das Gateway Monitoring deaktivieren wenn man einen öffentlichen Anschluss hat den sonst pingt die FW permanent den Provider Router
System --Routing --> Gateway e wie edit und Haken bei Disable Gateway Monitoring

@helge000
Dank für dein Feedback. Ich werde die Tage das Tutorial hier entsprechend auf die neue 2.0er Option anpassen.
Mit deinem Dank ans pfsense Dev Team kann man sich nur anschliessen. Es ist der Hammer was an neuen Funktionen zugekommen ist sogar Policy Based Routing auf ACL Basis ist auch dabei.
Mitglied: aqui
aqui 27.10.2011, aktualisiert am 18.10.2012 um 18:48:54 Uhr
Goto Top
Das pfSense #comment-toc7 Open-VPN_Tutorial ist nun angepasst an die aktuelle 2.0er Firmware !

Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Mitglied: istike2
istike2 27.10.2011 um 11:48:38 Uhr
Goto Top
Danke sehr Aqui für die Änderungen.

Ich bedanke mich - auch im Allgemeinen - Aqui für deine Hilfe auch im Namen der Community. Deine Anleitungen haben wohl schon sehr vielen geholfen. face-smile

Gr. I.