mike7050
Goto Top

OpenVPN als Service funktioniert nicht!

Hallo,

mein Vorhaben ist wie folgt:

Ich möchte einen Windows 7 Prof 64bit PC über OpenVPN mit einem Strato hidrive verbinden!

Der Benutzer der sich auf dem Windows PC anmeldet soll keine Zugangsdaten wie Benutzer und Passwort eingeben müssen.

Ausserdem soll der Tunnel schon bei Anmeldung aufgebaut sein (als Service) und der Benutzer soll sofort auf ein Netzlaufwerk zugreifen können in dem er dann seine Dokumente speichern kann.

Dieses habe ich bereits mehrfach auf verschiedenen Windows Systemen umgesetzt.

Bei dem o.a. PC funktioniert es leider nicht!

Installation und Einstellungen wie folgt:

OpenVPN ist eingerichtet und funktioniert auch wenn ich die Einstellung per default benutze. Also GUI aufrufen, Benutzer und Kennwort eingeben, Netzlaufwerk erstellen: \\user.smb.hidrive.strato.com\root - das Herstellen eines Netzlaufwerks funktioniert tadellos.

Nun habe ich die Einstellungen in der Config von OpenVPN geändert um es wie oben beschrieben einzurichten.

Dabei bin ich wie immer wie hier beschrieben vorgegangen:

http://www.martinlehmann.de/wp/client/windows-openvpn-client-als-dienst ...

Ausserdem habe ich in der regedit folgendes geändert:

HKLM\SOFTWARE\OpenVPN-GUI\allow_service auf den Wert 1 (vorher 0).

Leider bekomme ich immer die Fehlermeldung wenn ich nun ein Netzlaufwerk einrichten möchte.

Microsoft Windows Netzwerkpfad wurde nicht gefunden. Der Service ist gestartet und wird ausgeführt.

Der TAP Adapter im Freigabe Center ist aber nicht aktiv! Die Verbindung scheint nicht hergestellt zu sein!

So sieht die config aus:

dev tun
client
remote openvpn.hidrive.strato.com
auth-user-pass password.txt
auth-retry interact
ca ca.drive.strato.com.crt
tls-auth tls-auth.key
ns-cert-type server

Mit einem absoluten Pfad habe ich es ebenfalls getestet!

Es wird in der LOG von OpenVPN der Pfad zu den Zugangsdaten bemängelt!

Sehr verzweifelt .... !

VG
Mike

Content-Key: 316082

Url: https://administrator.de/contentid/316082

Printed on: December 4, 2022 at 07:12 o'clock

Member: horstvogel
horstvogel Sep 23, 2016 at 18:39:54 (UTC)
Goto Top
Member: mike7050
mike7050 Sep 24, 2016, updated at Sep 27, 2016 at 13:35:41 (UTC)
Goto Top
Hallo horstvogel,

jo - Danke!

mal abgesehen von dem bearbeiten der NTFS Rechte, was ja auch Sinn macht, läuft es wunderbar wenn ich in der config den Zusatz für die Zungangsdaten weglasse also: auth-user-pass.
Member: agowa338
agowa338 Sep 25, 2016 updated at 10:44:59 (UTC)
Goto Top
Damit kein Benutzer die Konfiguration auf andere Geräte kopieren kann (die password.txt ist nicht pflicht, ich hab das als zweiten Faktor zur Authentifizierung angesehen, welcher aber am gleichen Ort wie der erste ist, was die Sicherheit nur kaum merkbar erhöht ).
Außerdem erschwert das ganze auch z. B. Malware die Konfiguration abzuziehen. Diese muss erst Administrator bzw. Systemrechte erlangen z. B. mittels Exploit.
Sicherheitstechnisch ist es "best practise" die Berechtigungen so eng wie möglich zu schnallen. Was nicht sein muss kann weg face-wink

Eventuell helfen dir ja diese Analogien:
Frage: Wieso ist die /etc/shadow datei nicht für jeden lesbar?
Antwort:
1. Weil es nicht erforderlich ist. Es reicht wenn root bzw. das System sie lesen kann.
2. Weil die Benutzer sonst die Hashes der anderen Benutzer kennen würden, was Brute Force Angriffe beschleunigt weil regeln wie nach 3 fehlerhaften versuchen warten ausgehebelt werden.

Frage: Wieso gibst du nicht jedem eine Kopie deines Haustürschlüssels (bzw. legst diesen für andere zum Kopieren bereit)?
Antwort:
1. Weil sie nicht in dein Haus kommen sollen.
2. Weil nicht jeder einen Nachschlüssel haben soll.
3. Selbst wenn jemand den Schlüssel nicht kopiert, weiß ein Einbrecher welches Schloss du hast und welches Werkzeug er zum Knacken benötigen wird.

Übertragen auf OpenVPN: Wer die Einstellungen lesen kann, kann eventuell vorhandene Lücken schneller erkenne. Und wer zusätzlich die Privaten Schlüssel lesen kann, kann sich mit beliebigen Geräten verbinden.
Member: mike7050
mike7050 Sep 26, 2016 at 12:49:19 (UTC)
Goto Top
Danke aber weiterhin kommt die Meldung:

Options error: --auth-user-pass fails with 'authentication.txt': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

Ohne die authentication.txt läuft alles bestens !
Member: agowa338
agowa338 Sep 29, 2016 at 20:18:43 (UTC)
Goto Top
Zitat von @mike7050:

Danke aber weiterhin kommt die Meldung:

Options error: --auth-user-pass fails with 'authentication.txt': No such file or directory
Options error: Please correct these errors.
Use --help for more information.
Und die authentication.txt liegt wirklich im selben Verzeichnis wie die ".ovpn"?
Falls ja, überprüfe nochmal die Berechtigungen auf die Datei.