Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Pfsense OpenVpn TLS Failure

Mitglied: medikopter

medikopter (Level 1) - Jetzt verbinden

29.05.2018, aktualisiert 15:39 Uhr, 2320 Aufrufe, 12 Kommentare

Hallo zusammen,

ich habe ein Problem mit OpenVPN.

Server:
server - Klicke auf das Bild, um es zu vergrößern

Ich bekomme in Client den Fehler :
client - Klicke auf das Bild, um es zu vergrößern

In den Logs der Pfsense steht:
Firewall protokoll:
firewall log - Klicke auf das Bild, um es zu vergrößern

OpenVPN Log:
openvpn log - Klicke auf das Bild, um es zu vergrößern

und hier sind die Rules:
WAN
wan rule - Klicke auf das Bild, um es zu vergrößern

OpenVPN
openvpn rule - Klicke auf das Bild, um es zu vergrößern

Client Konfig
client config - Klicke auf das Bild, um es zu vergrößern

Ich habe schon versucht neuzustarten und habe die VPN Server auch schon entfernt und neu aufgesetzt.
Leider führt das alles nicht zum gewünschten erfolg.

Wir haben eine Router Kaskade, dabei ist die Pfsense zum Exposed Host ernannt worden, wie man sieht in den Logs kommt der Traffic ja auch rein aber weiter nicht.

Bis letzte Woche ging es noch, allerdings hatte ich Urlaub und man sagte mir erst nach dem Urlaub das es nicht mehr geht. Also kann ich auch nicht mehr nachvollziehen was ich da angerichtet habe.

Vielen Dank für eure Hilfe, stehe echt auf dem Schlauch.
Wahrscheinlich ist es nur eine Kleinigkeit aber ich seh vor lauter Bäumen den Wald nicht.

Liebe Grüße
Mitglied: AMD9558
29.05.2018, aktualisiert um 15:07 Uhr
Hi,

hast du dir schon mal folgende Lösungsansätze angescheut?

https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tl ...

EDIT: Warum nutzt de denn den Port 443 für den OpenVPN Server? Hast du es denn auch schon mit dem Standardmäßigen Port (1194) von OpenVPN probiert?


VG
Yannik
Bitte warten ..
Mitglied: medikopter
29.05.2018 um 15:11 Uhr
Hi Yannik,

Ja habe ich schon gesehen, kann damit allerdings nichts anfangen.
Ich bin der Meinung das ich das schon alles überprüft habe, wie ja auf dem Bild zusehen ist, kommt auch Traffic auf dem Port rein und wird durchgelassen. An der Windows Firewall habe ich auch schon ausnahmen hinzugefügt, ohne Änderung.

Es funktioniert auf keinen Port, bis vor kurzen hat es ja noch funktioniert auch mit Port 443.

Danke trotzdem für deinen Lösungsansatz
Bitte warten ..
Mitglied: aqui
29.05.2018, aktualisiert um 15:34 Uhr
Hilfreich wäre deine Client Konfig gewesen, denn vermutlich hast du dort vergessen:
remote-cert-tls server

In die Konfig zu setzen, kann das sein ?

Port 443 ist natürlich kontraproduktiv, denn dort arbeitet auch das HTTPS GUI der Firewall selber.
Wenn 443 dann sollte das zwingend auf UDP gesetzt sein.
Entsprechend natürlich sowohl in der OVPN Server als auch Client Konfig und...in der WAN Port Regel. (Letzteres ist ja glücklicherweise der Fall)
Exposed Host ist ebenso nicht gerade gut in einer Router Kaskade. Besser wäre hier dediziert den OVPN Port UDP 1194 (oder welchen immer du auch nutzt) dediziert auf den WAN Port der pfSense zu forwarden.

Das sind aber nur kosmetische Punkte die mit dem eigentlichen Fehler nichts zu tun haben.
Der liegt daran das du die Keys mit TLS Support generiert hast (easy-rsa vermutlich ?) der Client das aber nicht macht wegen des o.a. fehlenden Kommandos in dessen Konfig ?!
Oder andersrum du hast es ohne TLS gemacht, erzwingst das aber im Client.
Bitte warten ..
Mitglied: medikopter
29.05.2018 um 15:38 Uhr
Hallo aqui,

das Kommando ist in der config vorhanden. Wir lassen uns über den Installer immer über den "Client Export" erstellen. Das Zertifikat legen wir beim erstellen von Benutzern in den Einstellungen selber an. Ich stelle oben ein Screen von der Client config rein.

Danke für die Anregungen für die änderungen an der Pfsense, ich werde das mit meinen Kollegen besprechen.
Bitte warten ..
Mitglied: aqui
29.05.2018 um 15:40 Uhr
Nimm das testweise mal raus und checke das erneut...
Es liegt definitv an der TLS Authentisierung !
Bitte warten ..
Mitglied: medikopter
29.05.2018, aktualisiert um 18:53 Uhr
Leider ändert das nichts.

update:
18:53 Uhr ich habe zusätzlich im Pfsense Forum mal gefragt
Bitte warten ..
Mitglied: orcape
29.05.2018 um 19:57 Uhr
Hi medikopter,
definitiv ein TLS-Fehler in der Konfiguration zwischen Server und Client....
Da ich Deine Server.conf. nicht kenne, aber Deine Client.conf., hier einmal zum Vergleich die Client.conf eines "funktionierenden OpenVPN-Tunnels", allerdings auf einem Linux-Client....
Der Verweis auf einen ta.key1 z.B., auf der pfsense, wird dem Client wenig nützen, denn der ta.key1 sollte auch auf dem Client in irgendeinem Ordner liegen, auf den Du verweisen solltest. Zu sehen bei mir z.B. in...."tls-auth /etc/openvpn/ta.key 1"
Gruß orcape
Bitte warten ..
Mitglied: aqui
30.05.2018, aktualisiert um 13:34 Uhr
18:53 Uhr ich habe zusätzlich im Pfsense Forum mal gefragt
Mit der pfSense an sich hat das nichts zu tun. Deine OVPN Konfig ist fehlerhaft !
Kollege @orcape hat ja alles dazu schon gesagt !

Im Grunde ganz einfach auf der pfSense. Hier nochmal die wichtigsten ToDos:
  • Ganz wichtig: Zuallererst im Cert Manager eine eigene CA erstellen und die Default CA (US) der pfSense löschen !!
  • Auf Basis dieser neuen eigenen CA ein neues pfSense Server Zertifikat erzeugen.
  • Das alte Default Server Zertifikat löschen !
  • pfSense WebGUI unter Advanced Settings auf das neue Server Zertifikat einstellen !
Details dazu auch hier.
Das ist SEHR wichtig, denn damit erzeugt man eine eigene Verschlüsselungs Sicherheit.
Wer das Default US Zertifikat verwendet handelt fahrlässig, denn das "kennt" natürlich die ganze Welt und ein OpenVPN VPN wäre damit logischerweise offen wie ein Scheunentor !

Dann macht man weiter mit der OpenVPN Server Einrichtiung die im Grunde eine simple Default Einrichtung ist die mit 3 Mausklicks erledigt ist:
Server aufsetzen:
ovpn2 - Klicke auf das Bild, um es zu vergrößern

VPN Schlüssel setzen:
ovpn3 - Klicke auf das Bild, um es zu vergrößern
ovpn4 - Klicke auf das Bild, um es zu vergrößern

Internen VPN Tunnel IP setzen:
ovpn5 - Klicke auf das Bild, um es zu vergrößern

Compression einstellen:
ovpn6 - Klicke auf das Bild, um es zu vergrößern

Route des lokalen FW LAN setzen die an die Clients übertragen werden muss:
ovpn7 - Klicke auf das Bild, um es zu vergrößern
Fertisch mit dem Server !!

Client Konfig:
Im User / Client Setup der pfSense legst du jetzt deine User an die du brauchst.
Dann über den User Konfig Export exportierst du von der pfSense die kompletten Userdaten als .zip Datei !
ovpn - Klicke auf das Bild, um es zu vergrößern

In der ...clientxyz.ovpn Datei befindet sich deinen komplette Client Konfig:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
ncp-ciphers AES-256-GCM:AES-128-GCM
auth SHA1
tls-client
client
resolv-retry infinite
remote 1.2.3.4 1194 udp
verify-x509-name "pfsense.medikopter.home.arpa" name
auth-user-pass auth.txt
pkcs12 pfSense-udp-1194-client1.p12
tls-auth pfSense-udp-1194-client1-tls.key 1
remote-cert-tls server
comp-lzo adaptive


Den Inhalt der .zip Datei brauchst du nur noch einfach in dein Client Konfig Verzeichnis kopieren und gut iss.
ACHTUNG:
Wenn du das Client Zertifikat mit einem Passwort versehen hast wie im Beispiel oben, dann musst du noch eine kleine Textdatei erzeugen (hier: auth.txt) die Username und Passwort enthält damit der VPN Connect automatisiert wird.
Siehe auch:
https://my.hostvpn.com/knowledgebase/22/Save-Password-in-OpenVPN-for-Aut ...

Fertisch. Das wars.
Eigentlich ist das alles in 10 Minuten erledigt. Unverständlich warum du damit so lange rumfrickelst ?!
Bitte warten ..
Mitglied: medikopter
30.05.2018, aktualisiert um 15:19 Uhr
Vielen dank für eure Tipps und tricks.

Die Anregungen von dir @aqui nehme ich gerne an. Allerdings
Zitat von aqui:
Fertisch. Das wars.
Eigentlich ist das alles in 10 Minuten erledigt. Unverständlich warum du damit so lange rumfrickelst ?!

Es lag an der Pfsense!

Fehler gefunden! Ich habe das Standard Gateway geändert. Wir haben 2 Internet Anschlüsse WAN und WAN2. Der OpenVPN Server lauscht auf WAN, als Standard Gateway war jetzt WAN2 hinterlegt. Nach Änderung auf WAN als Standard Gateway konnte ich mich wieder ganz normal anmelden.

ps.: wir haben eigene Zertifikate
Bitte warten ..
Mitglied: aqui
LÖSUNG 30.05.2018, aktualisiert um 16:46 Uhr
Das Client Zertifikat generiert man übrigens gleich automatisch wenn man die User im User Manager einrichtet:

ovpnuser - Klicke auf das Bild, um es zu vergrößern

Dazu sollte man bei OVPN auf der pfSense auch IMMER gleich den OpenVPN Cert Export Manager aus der Packet Verwaltung installieren, der den Export erheblich vereinfacht !!! (Siehe Screenshot oben !)
https://www.administrator.de/wissen/openvpn-server-installieren-pfsense- ...

Es lag an der Pfsense!
Nein ! Die pfSense ist wie immer unschuldig !
Nach dem wie du es ja selber beschreibst lag der Fehler "zwischen den Kopfhörern" oder PEBKAC wie man so schön sagt !
Gut wenn nun alles klappt wie es soll...
Case closed.
Bitte warten ..
Mitglied: orcape
30.05.2018 um 18:42 Uhr
@medikopter,
wenn Du uns hier "weiße Mäuse" einreden willst, von wegen es lag an der pfSense.
Wenn, dann hast Du damit sicher nur ein Teilproblem gelöst.
Definitiv funktioniert Dein Tunnel bei Deiner Client.conf nur, wenn Du auf dem Server die TLS-auth weg lässt.
Ohne den Verweis auf den Pfad, auf dem der ta-key1 auf dem Client zu finden ist, wird der Tunnel keine funktionierende TLS-auth machen.
Gruß orcape
Bitte warten ..
Mitglied: aqui
31.05.2018 um 10:09 Uhr
Letztlich richtig ! Das falsche Gateway kann niemals einen TLS Auth Fehler im OpenVPN erzeugen. Das eine hat mit dem anderen nichts zu tun.
Aber nehmen wir mal hin das jetzt alles rennt wie es soll und das ist ja das Wichtigste
Bitte warten ..
Ähnliche Inhalte
Netzwerke
OpenVPN TLS
Frage von 121851Netzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Sicherheits-Tools
OpenVPN Fehler tls-remote (2.4.6)
Frage von sigusr1Sicherheits-Tools9 Kommentare

Hallo Leute, ich hab ein Problem mit der Installation von OpenVPN (Windows). Vielleicht habt ihr den einen oder anderen ...

Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Linux
Postfix TLS einrichten
Frage von EmheonivekLinux1 Kommentar

Ich bin neu im Thema SSL-Zertifikate und versuche die Situation zu erläutern. Ich habe vor einiger Zeit ein Wildcard ...

Neue Wissensbeiträge
iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 1 TagiOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 1 TagSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 1 TagWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 1 TagAdministrator.de Feedback3 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Hilfe bei der Einrichtung vom QNAP Nas Server
gelöst Frage von Chris.21SAN, NAS, DAS18 Kommentare

Hallo, ich benötige Hilfe bei der Einrichtung meines neuen NAS Servers von QNAP. ich möchte eine Verbindung vom Internet ...

Drucker und Scanner
OCR Erkennung auf Server
Frage von KodaCHDrucker und Scanner14 Kommentare

Guten Morgen Bisher habe ich einen HP LaserJet Pro MFP M426fdw. Da es nicht viele Dokumente zum Scannen gibt ...

Router & Routing
Vigor 165 vs. Fritzbox 7590
Frage von servilianusRouter & Routing13 Kommentare

Liebe Fachleute, bisher betreibe ich folgende Konstellation Büro: 50.000er-Leitung VDSL Telekom -> Fritzbox 7590 Exposed Host -> Vigor Draytek ...

KVM
Best Practice für Fileserver auf Proxmox Cluster
Frage von maichelmannKVM12 Kommentare

Hallo, derzeit laufen in einer Firma, dessen Netzwerk ich betreue, zwei Windows Server Hyper-V Hosts, jeweils mit einem recht ...