Igel OS (Thin Client) mit OpenVPN verbindet nicht (zu Sophos UTM)

Igel OS (11.05): Voraussetzungen für SSL-VPN (OpenVPN)?

Mahlzeit,

ich teste gerade die Möglichkeit, für einige User einen Thin-Client (Dell Wyse 3040) mit Igel OS via OpenVPN mit einem entfernten Standort zu verbinden (soll dann für Homeoffice genutzt werden). Zum Testen wird die Workspace-Edition ohne UMS verwendet.

Die Konfiguration von OpenVPN sieht grob so aus:

OpenVPN-Server: IP-Adresse des entfernten Standorts
Authentifizierungstyp: Name / Passwort
Gateway-Port: remoter Port
TLS-Typ: Zertifikat nicht überprüfen

...

Problem ist, dass die Gegenseite (ist eine Sophos UTM) offenbar überhaupt gar nichts vom Igel-Clients am entfernten Standort empfängt. Firewall- und VPN-Log bleiben leer. Internet funktioniert - also auf das Benutzerportal der Sophos, etc. kann von außen zugegriffen werden.

Wo ist der Wald den ich hier vor lauter Bäumen nicht sehe? :-/ face-confused

Content-Key: 1094365943

Url: https://administrator.de/contentid/1094365943

Ausgedruckt am: 21.09.2021 um 13:09 Uhr

Mitglied: aqui
aqui 27.07.2021 aktualisiert um 17:16:13 Uhr
Goto Top
offenbar überhaupt gar nichts vom Igel-Clients am entfernten Standort empfängt.
Wie es sich für eine sauber administrierte Firewall gehört blockt diese sehr wahrscheinlich den verwendeten OpenVPN UDP Port (Im Default UDP 1194) von extern auf die Firewall WAN IP Adresse.
Arbeitet deine Firewall direkt am Internet oder ist da ggf. noch eine Router_Kaskade davor ?
Ohne dein Firewall Regelwerk genau zu kennen (Screenshot usw.) können wir hier auch nur im freien Fall mit dir zusammen um die Wette raten oder unsere Kristallkugel befragen. ;-(
OpenVPN Details zum Setup, wie immer, im hiesigen OpenVPN_Tutorial.
Mitglied: Martini-Bianco
Martini-Bianco 27.07.2021 aktualisiert um 17:23:55 Uhr
Goto Top
Hallo Aqui, vielen Dank für deine Nachricht.

Einen wichtigen Hinweis habe ich unterschlagen; nämlich dass von allen anderen Endgeräten (Windows, Android, iOS, Raspian) der Zugriff via SSL-VPN funktioniert. Es scheint so (da ja auch in den Logs der UTM nichts angezeigt wird), dass der Igel-Client (der hängt hinter einer Fritzbox, an der ausgehend nichts blockiert ist) überhaupt gar nicht versucht eine Verbindung nach extern aufzubauen.

Als Verbindungsstatus am Igel-Client wird bei dem Versuch des Verbindungsaufbaus nur kurz ein Fensterchen angezeigt mit:

VPN-Authentifizierung
kein CA-Zertifikat angegeben

... was ja auch korrekt ist, da nur Benutzername / Kennwort abgefragt werden soll.
Mitglied: aqui
aqui 27.07.2021 aktualisiert um 17:35:38 Uhr
Goto Top
überhaupt gar nicht versucht eine Verbindung nach extern aufzubauen.
OK, das kann natürlich sein. Aber warum nimmst du dir dann nicht einfach mal einen Wireshark Sniffer und checkst ob der Igel überhaupt OpenVPN Pakete mit UDP 1194 raussendet ??? Wäre doch das Naheliegenste, oder ?
Auf diese banale Troubleshooting Option um das zu verifizieren kommt man doch gleich als Erstes um dort Sicherheit zu schaffen ob dem so ist oder nicht. Warum also klärst du das nicht wasserdicht ab statt hilflos im Forum rumzuraten wo wir auch nur raten können ?! ;-) face-wink
Die FritzBox hat dafür übrigens eine eingebaute Sniffer Funktion die genau DAS macht:
https://www.tipps-tricks-kniffe.de/fritzbox-packet-sniffer-schnueffelfun ...
https://www.schieb.de/706106/fritzbox-packet-sniffer-die-versteckte-schn ...
https://www.itnator.net/fritzbox-paket-sniffer-mitschnitt-aktivieren/
Mitglied: Pjordorf
Lösung Pjordorf 27.07.2021 um 17:39:13 Uhr
Goto Top
Hallo,

Zitat von @Martini-Bianco:
kein CA-Zertifikat angegeben
Vielleicht kann dein ungenannter VPN Client nicht ohne ein Gültiges Zertifikat, unhabhängig ob du es willst oder nicht.

... was ja auch korrekt ist, da nur Benutzername / Kennwort abgefragt werden soll.
Mag ja sein das du das willst:-) face-smile

Gruß,
Peter
Mitglied: Martini-Bianco
Martini-Bianco 27.07.2021 um 17:43:45 Uhr
Goto Top
Da hast du mit deinem Einwand nicht ganz unrecht... allerdings bin ich mir bei den Möglichkeiten mit "Igel OS" nicht ganz sicher, ob das auf dem ThinClient mit der Workspace-Edition funktioniert. Wenn ich die Igel-KB richtig interpretiere, ist das so auch nicht möglich, da ich hier kein Wireshark installieren kann. Daher hab ich die Hoffnung, dass hier jemand Erfahrung mit diesem Setup (ThinClient mit Igel OS) hat und schon anhand der Beschreibung sieht, dass das so nicht funktioniert => z.B. weil UMS verwendet werden muss, etc.. Wie gesagt... diverse andere Betriebssysteme / Clients funktionieren einwandfrei... aus dem identischen Client-LAN in Richtung der UTM via SSL-VPN.
Mitglied: Martini-Bianco
Martini-Bianco 27.07.2021 um 17:51:35 Uhr
Goto Top
Hallo Pjordorf und vielen Dank für deinen Hinweis,

es gibt ja explizit die Möglichkeit, dass die Authentifizierung nur mit "Benutzername" + "Kennwort" konfiguriert wird. Von der UTM habe ich eine OVPN-Datei, die wohl - sofern ich die Knowledge-Base hier richtig verstehe, per UMS konfiguriert / verteilt werden muss. Da ich allerdings UMS nicht unbedingt verwenden möchte, ist die Frage, ob UMS hierfür überhaupt notwendig ist?

Wenn das eine Voraussetzung für das Verteilen der OVPN-Konfig ist, ist es blöd aber dann weiß ich Bescheid! ;)
Mitglied: NixVerstehen
NixVerstehen 27.07.2021 um 18:02:41 Uhr
Goto Top
Zitat von @Martini-Bianco:
Wenn ich die Igel-KB richtig interpretiere, ist das so auch nicht möglich, da ich hier kein Wireshark installieren kann.
Das musst du ja auch gar nicht. Du hängst an der Fritte an einen LAN-Port den PC / Läppi mit installiertem Wireshark
und klemmst den Igel an der Fritte an einen anderen LAN-Port. Dann startest du vom PC / Läppi aus den Capture
auf der Fritte und schneidest den Verkehr des LAN-Ports mit, an dem der Igel hängt.
Mitglied: tech-flare
tech-flare 27.07.2021 um 18:46:06 Uhr
Goto Top
Zitat von @Martini-Bianco:

Hallo Pjordorf und vielen Dank für deinen Hinweis,

es gibt ja explizit die Möglichkeit, dass die Authentifizierung nur mit "Benutzername" + "Kennwort" konfiguriert wird. Von der UTM habe ich eine OVPN-Datei, die wohl - sofern ich die Knowledge-Base hier richtig verstehe, per UMS konfiguriert / verteilt werden muss. Da ich allerdings UMS nicht unbedingt verwenden möchte, ist die Frage, ob UMS hierfür überhaupt notwendig ist?
Diese Variante funktioniert aber defintiv - selbst schon getestet. Was spricht gegen das UMS? Das ist doch gerade der Vorteil von IGEL OS.
Mitglied: Martini-Bianco
Martini-Bianco 27.07.2021 um 19:23:30 Uhr
Goto Top
Gegen UMS spricht erstmal an sich gar nichts... ist nur die Frage ob notwendig oder nicht.

Jedenfalls läuft das Teil jetzt - vielen Dank für eure Unterstützung. Letztendlich war es natürlich der Punkt der Zertifikate und dann die nachgelagerte Konfiguration an der UTM. Hier war noch zu deaktivieren, dass der "SSL-VPN-Verkehr" komprimiert wird!

... die Zertifikate (.key, .cert) habe ich über einen USB-Stick eingebunden. Elegant ist natürlich anders! :-/ face-confused
Mitglied: em-pie
em-pie 27.07.2021 um 20:20:52 Uhr
Goto Top
Moin,
Zitat von @Martini-Bianco:

Gegen UMS spricht erstmal an sich gar nichts... ist nur die Frage ob notwendig oder nicht.

Jedenfalls läuft das Teil jetzt - vielen Dank für eure Unterstützung. Letztendlich war es natürlich der Punkt der Zertifikate und dann die nachgelagerte Konfiguration an der UTM. Hier war noch zu deaktivieren, dass der "SSL-VPN-Verkehr" komprimiert wird!

... die Zertifikate (.key, .cert) habe ich über einen USB-Stick eingebunden. Elegant ist natürlich anders! :-/ face-confused

Also ich würde die Kisten schon per UMS verwalten wollen. Schon alleine des Aufwands wegen. einmal ein Profil erzeugt und an eine "OU" angebunden, brauchst du die Igel-Kisten ja nur noch in die Gruppe schieben und einmal rebooten.
Die starten ja auch, wenn das UMS mal nicht erreichbar ist.

Neben OpenVPN könntest du ggf. auch mal schauen, ob der Igel als auch die UTM sich via IPSec unterhalten können.

Ich vermute, ihr habt die ganzen ThinClients schon?
Ansonsten wären Igels UDPocket vielleicht auch ganz interessant - läuft beinahe an jeder (alten) Kiste...

Gruß
em-pie
Mitglied: aqui
aqui 27.07.2021 aktualisiert um 21:59:16 Uhr
Goto Top
die Zertifikate (.key, .cert) habe ich über einen USB-Stick eingebunden.
Dann hast du uns aber hier eine völlig falsche Beschreibung gegeben, denn oben redest du ja (Zitat) noch von: "Authentifizierungstyp: Name / Passwort"
OpenVPN supportet beides aber die Konfigs und Verhalten sind dann völlig unterschiedlich.
Nicht gerade hilfreich für ein zielgerichtetes Troubleshooting wenn du die Community hier maximal verwirrst mit falschen Schilderungen des Sachverhalts. :-( face-sad
Mitglied: Martini-Bianco
Martini-Bianco 28.07.2021 um 10:27:44 Uhr
Goto Top
Nein Aqui, das war / ist keine völlig falsche Beschreibung. Das war der IST-Zustand. In der Folge habe ich eben nur Ergänzungen vorgenommen! ;)
Mitglied: aqui
aqui 28.07.2021 um 12:59:33 Uhr
Goto Top
Eine User/Passwort Authentisierung und die generell übliche mit Zertifkaten sind aber 2 völlig verschiedene Dinge im OpenVPN. Das eine ist mit dem anderen NICHT kompatibel !
Nur das du das auf deinem Radar hast. "Ergänzungen" ändern daran nichts. Es geht nur entweder oder.
Heiß diskutierte Beiträge
question
Windows PrintServer 2016 - KB5005573 macht Drucken unmöglich Fehler 0x11bbeidermachtvongreyscullVor 1 TagFrageWindows Server22 Kommentare

Moin Kollegen, verdammt den hatte ich nicht auf dem Schirm. Ich hab gestern Sicherheitsupdates auf unseren 2016ern ausgerollt und heute morgen kann keiner mehr drucken, ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 1 TagFrageWindows Netzwerk15 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein, mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Macadresse fest auf dem Board ändernDippsVor 1 TagFrageHardware12 Kommentare

Hallo ich habe ein Mainboard was defekt ist. Nun habe ich das Typgleiche geholt und ausgetauscht. Es läuft ein Linux drauf mit einer Software die ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 1 TagFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 22 StundenFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Aufbau Netzstruktur für CARP mit OPNsense gelöst screemyVor 1 TagFrageLinux Netzwerk6 Kommentare

Guten Abend, wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle. Folgender Aufbau ist ...

info
Druckprobleme an PrintServern nach Sept. 2021 UpdatekgbornVor 1 TagInformationWindows Server

FYI: Seit die Sicherheitsupdates vom Patchday 14. September 2021 ausgerollt wurden, stehen Administratoren vor dem Problem, dass Clients eventuell nicht mehr an einem Terminalsever oder ...

question
Fritzbox als VPNClientproton34Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo, ich habe dem letzt gelesen, dass es nicht möglich sein soll eine FritzBox 7490 als VPNClient zu verwenden. Den Beitrag findet ihr hier:. Jetzt ...