13
Igel OS (Thin Client) mit OpenVPN verbindet nicht (zu Sophos UTM)
Igel OS (11.05): Voraussetzungen für SSL-VPN (OpenVPN)?
Mahlzeit,
ich teste gerade die Möglichkeit, für einige User einen Thin-Client (Dell Wyse 3040) mit Igel OS via OpenVPN mit einem entfernten Standort zu verbinden (soll dann für Homeoffice genutzt werden). Zum Testen wird die Workspace-Edition ohne UMS verwendet.
Die Konfiguration von OpenVPN sieht grob so aus:
OpenVPN-Server: IP-Adresse des entfernten Standorts
Authentifizierungstyp: Name / Passwort
Gateway-Port: remoter Port
TLS-Typ: Zertifikat nicht überprüfen
...
Problem ist, dass die Gegenseite (ist eine Sophos UTM) offenbar überhaupt gar nichts vom Igel-Clients am entfernten Standort empfängt. Firewall- und VPN-Log bleiben leer. Internet funktioniert - also auf das Benutzerportal der Sophos, etc. kann von außen zugegriffen werden.
Wo ist der Wald den ich hier vor lauter Bäumen nicht sehe?
Mahlzeit,
ich teste gerade die Möglichkeit, für einige User einen Thin-Client (Dell Wyse 3040) mit Igel OS via OpenVPN mit einem entfernten Standort zu verbinden (soll dann für Homeoffice genutzt werden). Zum Testen wird die Workspace-Edition ohne UMS verwendet.
Die Konfiguration von OpenVPN sieht grob so aus:
OpenVPN-Server: IP-Adresse des entfernten Standorts
Authentifizierungstyp: Name / Passwort
Gateway-Port: remoter Port
TLS-Typ: Zertifikat nicht überprüfen
...
Problem ist, dass die Gegenseite (ist eine Sophos UTM) offenbar überhaupt gar nichts vom Igel-Clients am entfernten Standort empfängt. Firewall- und VPN-Log bleiben leer. Internet funktioniert - also auf das Benutzerportal der Sophos, etc. kann von außen zugegriffen werden.
Wo ist der Wald den ich hier vor lauter Bäumen nicht sehe?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1094365943
Url: https://administrator.de/contentid/1094365943
Printed on: April 25, 2024 at 05:04 o'clock
13 Comments
Latest comment
offenbar überhaupt gar nichts vom Igel-Clients am entfernten Standort empfängt.
Wie es sich für eine sauber administrierte Firewall gehört blockt diese sehr wahrscheinlich den verwendeten OpenVPN UDP Port (Im Default UDP 1194) von extern auf die Firewall WAN IP Adresse.Arbeitet deine Firewall direkt am Internet oder ist da ggf. noch eine Router_Kaskade davor ?
Ohne dein Firewall Regelwerk genau zu kennen (Screenshot usw.) können wir hier auch nur im freien Fall mit dir zusammen um die Wette raten oder unsere Kristallkugel befragen. ;-(
OpenVPN Details zum Setup, wie immer, im hiesigen OpenVPN_Tutorial.
Hallo Aqui, vielen Dank für deine Nachricht.
Einen wichtigen Hinweis habe ich unterschlagen; nämlich dass von allen anderen Endgeräten (Windows, Android, iOS, Raspian) der Zugriff via SSL-VPN funktioniert. Es scheint so (da ja auch in den Logs der UTM nichts angezeigt wird), dass der Igel-Client (der hängt hinter einer Fritzbox, an der ausgehend nichts blockiert ist) überhaupt gar nicht versucht eine Verbindung nach extern aufzubauen.
Als Verbindungsstatus am Igel-Client wird bei dem Versuch des Verbindungsaufbaus nur kurz ein Fensterchen angezeigt mit:
VPN-Authentifizierung
kein CA-Zertifikat angegeben
... was ja auch korrekt ist, da nur Benutzername / Kennwort abgefragt werden soll.
Einen wichtigen Hinweis habe ich unterschlagen; nämlich dass von allen anderen Endgeräten (Windows, Android, iOS, Raspian) der Zugriff via SSL-VPN funktioniert. Es scheint so (da ja auch in den Logs der UTM nichts angezeigt wird), dass der Igel-Client (der hängt hinter einer Fritzbox, an der ausgehend nichts blockiert ist) überhaupt gar nicht versucht eine Verbindung nach extern aufzubauen.
Als Verbindungsstatus am Igel-Client wird bei dem Versuch des Verbindungsaufbaus nur kurz ein Fensterchen angezeigt mit:
VPN-Authentifizierung
kein CA-Zertifikat angegeben
... was ja auch korrekt ist, da nur Benutzername / Kennwort abgefragt werden soll.
überhaupt gar nicht versucht eine Verbindung nach extern aufzubauen.
OK, das kann natürlich sein. Aber warum nimmst du dir dann nicht einfach mal einen Wireshark Sniffer und checkst ob der Igel überhaupt OpenVPN Pakete mit UDP 1194 raussendet ??? Wäre doch das Naheliegenste, oder ?Auf diese banale Troubleshooting Option um das zu verifizieren kommt man doch gleich als Erstes um dort Sicherheit zu schaffen ob dem so ist oder nicht. Warum also klärst du das nicht wasserdicht ab statt hilflos im Forum rumzuraten wo wir auch nur raten können ?!
Die FritzBox hat dafür übrigens eine eingebaute Sniffer Funktion die genau DAS macht:
https://www.tipps-tricks-kniffe.de/fritzbox-packet-sniffer-schnueffelfun ...
https://www.schieb.de/706106/fritzbox-packet-sniffer-die-versteckte-schn ...
https://www.itnator.net/fritzbox-paket-sniffer-mitschnitt-aktivieren/
Hallo,
Vielleicht kann dein ungenannter VPN Client nicht ohne ein Gültiges Zertifikat, unhabhängig ob du es willst oder nicht.
Gruß,
Peter
Vielleicht kann dein ungenannter VPN Client nicht ohne ein Gültiges Zertifikat, unhabhängig ob du es willst oder nicht.
... was ja auch korrekt ist, da nur Benutzername / Kennwort abgefragt werden soll.
Mag ja sein das du das willstGruß,
Peter
Da hast du mit deinem Einwand nicht ganz unrecht... allerdings bin ich mir bei den Möglichkeiten mit "Igel OS" nicht ganz sicher, ob das auf dem ThinClient mit der Workspace-Edition funktioniert. Wenn ich die Igel-KB richtig interpretiere, ist das so auch nicht möglich, da ich hier kein Wireshark installieren kann. Daher hab ich die Hoffnung, dass hier jemand Erfahrung mit diesem Setup (ThinClient mit Igel OS) hat und schon anhand der Beschreibung sieht, dass das so nicht funktioniert => z.B. weil UMS verwendet werden muss, etc.. Wie gesagt... diverse andere Betriebssysteme / Clients funktionieren einwandfrei... aus dem identischen Client-LAN in Richtung der UTM via SSL-VPN.
Hallo Pjordorf und vielen Dank für deinen Hinweis,
es gibt ja explizit die Möglichkeit, dass die Authentifizierung nur mit "Benutzername" + "Kennwort" konfiguriert wird. Von der UTM habe ich eine OVPN-Datei, die wohl - sofern ich die Knowledge-Base hier richtig verstehe, per UMS konfiguriert / verteilt werden muss. Da ich allerdings UMS nicht unbedingt verwenden möchte, ist die Frage, ob UMS hierfür überhaupt notwendig ist?
Wenn das eine Voraussetzung für das Verteilen der OVPN-Konfig ist, ist es blöd aber dann weiß ich Bescheid! ;)
es gibt ja explizit die Möglichkeit, dass die Authentifizierung nur mit "Benutzername" + "Kennwort" konfiguriert wird. Von der UTM habe ich eine OVPN-Datei, die wohl - sofern ich die Knowledge-Base hier richtig verstehe, per UMS konfiguriert / verteilt werden muss. Da ich allerdings UMS nicht unbedingt verwenden möchte, ist die Frage, ob UMS hierfür überhaupt notwendig ist?
Wenn das eine Voraussetzung für das Verteilen der OVPN-Konfig ist, ist es blöd aber dann weiß ich Bescheid! ;)
Zitat von @Martini-Bianco:
Wenn ich die Igel-KB richtig interpretiere, ist das so auch nicht möglich, da ich hier kein Wireshark installieren kann.
Das musst du ja auch gar nicht. Du hängst an der Fritte an einen LAN-Port den PC / Läppi mit installiertem WiresharkWenn ich die Igel-KB richtig interpretiere, ist das so auch nicht möglich, da ich hier kein Wireshark installieren kann.
und klemmst den Igel an der Fritte an einen anderen LAN-Port. Dann startest du vom PC / Läppi aus den Capture
auf der Fritte und schneidest den Verkehr des LAN-Ports mit, an dem der Igel hängt.
Zitat von @Martini-Bianco:
Hallo Pjordorf und vielen Dank für deinen Hinweis,
es gibt ja explizit die Möglichkeit, dass die Authentifizierung nur mit "Benutzername" + "Kennwort" konfiguriert wird. Von der UTM habe ich eine OVPN-Datei, die wohl - sofern ich die Knowledge-Base hier richtig verstehe, per UMS konfiguriert / verteilt werden muss. Da ich allerdings UMS nicht unbedingt verwenden möchte, ist die Frage, ob UMS hierfür überhaupt notwendig ist?
Diese Variante funktioniert aber defintiv - selbst schon getestet. Was spricht gegen das UMS? Das ist doch gerade der Vorteil von IGEL OS.Hallo Pjordorf und vielen Dank für deinen Hinweis,
es gibt ja explizit die Möglichkeit, dass die Authentifizierung nur mit "Benutzername" + "Kennwort" konfiguriert wird. Von der UTM habe ich eine OVPN-Datei, die wohl - sofern ich die Knowledge-Base hier richtig verstehe, per UMS konfiguriert / verteilt werden muss. Da ich allerdings UMS nicht unbedingt verwenden möchte, ist die Frage, ob UMS hierfür überhaupt notwendig ist?
Gegen UMS spricht erstmal an sich gar nichts... ist nur die Frage ob notwendig oder nicht.
Jedenfalls läuft das Teil jetzt - vielen Dank für eure Unterstützung. Letztendlich war es natürlich der Punkt der Zertifikate und dann die nachgelagerte Konfiguration an der UTM. Hier war noch zu deaktivieren, dass der "SSL-VPN-Verkehr" komprimiert wird!
... die Zertifikate (.key, .cert) habe ich über einen USB-Stick eingebunden. Elegant ist natürlich anders!
Jedenfalls läuft das Teil jetzt - vielen Dank für eure Unterstützung. Letztendlich war es natürlich der Punkt der Zertifikate und dann die nachgelagerte Konfiguration an der UTM. Hier war noch zu deaktivieren, dass der "SSL-VPN-Verkehr" komprimiert wird!
... die Zertifikate (.key, .cert) habe ich über einen USB-Stick eingebunden. Elegant ist natürlich anders!
Moin,
Also ich würde die Kisten schon per UMS verwalten wollen. Schon alleine des Aufwands wegen. einmal ein Profil erzeugt und an eine "OU" angebunden, brauchst du die Igel-Kisten ja nur noch in die Gruppe schieben und einmal rebooten.
Die starten ja auch, wenn das UMS mal nicht erreichbar ist.
Neben OpenVPN könntest du ggf. auch mal schauen, ob der Igel als auch die UTM sich via IPSec unterhalten können.
Ich vermute, ihr habt die ganzen ThinClients schon?
Ansonsten wären Igels UDPocket vielleicht auch ganz interessant - läuft beinahe an jeder (alten) Kiste...
Gruß
em-pie
Zitat von @Martini-Bianco:
Gegen UMS spricht erstmal an sich gar nichts... ist nur die Frage ob notwendig oder nicht.
Jedenfalls läuft das Teil jetzt - vielen Dank für eure Unterstützung. Letztendlich war es natürlich der Punkt der Zertifikate und dann die nachgelagerte Konfiguration an der UTM. Hier war noch zu deaktivieren, dass der "SSL-VPN-Verkehr" komprimiert wird!
... die Zertifikate (.key, .cert) habe ich über einen USB-Stick eingebunden. Elegant ist natürlich anders!
Gegen UMS spricht erstmal an sich gar nichts... ist nur die Frage ob notwendig oder nicht.
Jedenfalls läuft das Teil jetzt - vielen Dank für eure Unterstützung. Letztendlich war es natürlich der Punkt der Zertifikate und dann die nachgelagerte Konfiguration an der UTM. Hier war noch zu deaktivieren, dass der "SSL-VPN-Verkehr" komprimiert wird!
... die Zertifikate (.key, .cert) habe ich über einen USB-Stick eingebunden. Elegant ist natürlich anders!
Also ich würde die Kisten schon per UMS verwalten wollen. Schon alleine des Aufwands wegen. einmal ein Profil erzeugt und an eine "OU" angebunden, brauchst du die Igel-Kisten ja nur noch in die Gruppe schieben und einmal rebooten.
Die starten ja auch, wenn das UMS mal nicht erreichbar ist.
Neben OpenVPN könntest du ggf. auch mal schauen, ob der Igel als auch die UTM sich via IPSec unterhalten können.
Ich vermute, ihr habt die ganzen ThinClients schon?
Ansonsten wären Igels UDPocket vielleicht auch ganz interessant - läuft beinahe an jeder (alten) Kiste...
Gruß
em-pie
die Zertifikate (.key, .cert) habe ich über einen USB-Stick eingebunden.
Dann hast du uns aber hier eine völlig falsche Beschreibung gegeben, denn oben redest du ja (Zitat) noch von: "Authentifizierungstyp: Name / Passwort"OpenVPN supportet beides aber die Konfigs und Verhalten sind dann völlig unterschiedlich.
Nicht gerade hilfreich für ein zielgerichtetes Troubleshooting wenn du die Community hier maximal verwirrst mit falschen Schilderungen des Sachverhalts.
Nein Aqui, das war / ist keine völlig falsche Beschreibung. Das war der IST-Zustand. In der Folge habe ich eben nur Ergänzungen vorgenommen! ;)
Eine User/Passwort Authentisierung und die generell übliche mit Zertifkaten sind aber 2 völlig verschiedene Dinge im OpenVPN. Das eine ist mit dem anderen NICHT kompatibel !
Nur das du das auf deinem Radar hast. "Ergänzungen" ändern daran nichts. Es geht nur entweder oder.
Nur das du das auf deinem Radar hast. "Ergänzungen" ändern daran nichts. Es geht nur entweder oder.
