5
OpenVPN als Service funktioniert nicht!
Hallo,
mein Vorhaben ist wie folgt:
Ich möchte einen Windows 7 Prof 64bit PC über OpenVPN mit einem Strato hidrive verbinden!
Der Benutzer der sich auf dem Windows PC anmeldet soll keine Zugangsdaten wie Benutzer und Passwort eingeben müssen.
Ausserdem soll der Tunnel schon bei Anmeldung aufgebaut sein (als Service) und der Benutzer soll sofort auf ein Netzlaufwerk zugreifen können in dem er dann seine Dokumente speichern kann.
Dieses habe ich bereits mehrfach auf verschiedenen Windows Systemen umgesetzt.
Bei dem o.a. PC funktioniert es leider nicht!
Installation und Einstellungen wie folgt:
OpenVPN ist eingerichtet und funktioniert auch wenn ich die Einstellung per default benutze. Also GUI aufrufen, Benutzer und Kennwort eingeben, Netzlaufwerk erstellen: \\user.smb.hidrive.strato.com\root - das Herstellen eines Netzlaufwerks funktioniert tadellos.
Nun habe ich die Einstellungen in der Config von OpenVPN geändert um es wie oben beschrieben einzurichten.
Dabei bin ich wie immer wie hier beschrieben vorgegangen:
http://www.martinlehmann.de/wp/client/windows-openvpn-client-als-dienst ...
Ausserdem habe ich in der regedit folgendes geändert:
HKLM\SOFTWARE\OpenVPN-GUI\allow_service auf den Wert 1 (vorher 0).
Leider bekomme ich immer die Fehlermeldung wenn ich nun ein Netzlaufwerk einrichten möchte.
Microsoft Windows Netzwerkpfad wurde nicht gefunden. Der Service ist gestartet und wird ausgeführt.
Der TAP Adapter im Freigabe Center ist aber nicht aktiv! Die Verbindung scheint nicht hergestellt zu sein!
So sieht die config aus:
dev tun
client
remote openvpn.hidrive.strato.com
auth-user-pass password.txt
auth-retry interact
ca ca.drive.strato.com.crt
tls-auth tls-auth.key
ns-cert-type server
Mit einem absoluten Pfad habe ich es ebenfalls getestet!
Es wird in der LOG von OpenVPN der Pfad zu den Zugangsdaten bemängelt!
Sehr verzweifelt .... !
VG
Mike
mein Vorhaben ist wie folgt:
Ich möchte einen Windows 7 Prof 64bit PC über OpenVPN mit einem Strato hidrive verbinden!
Der Benutzer der sich auf dem Windows PC anmeldet soll keine Zugangsdaten wie Benutzer und Passwort eingeben müssen.
Ausserdem soll der Tunnel schon bei Anmeldung aufgebaut sein (als Service) und der Benutzer soll sofort auf ein Netzlaufwerk zugreifen können in dem er dann seine Dokumente speichern kann.
Dieses habe ich bereits mehrfach auf verschiedenen Windows Systemen umgesetzt.
Bei dem o.a. PC funktioniert es leider nicht!
Installation und Einstellungen wie folgt:
OpenVPN ist eingerichtet und funktioniert auch wenn ich die Einstellung per default benutze. Also GUI aufrufen, Benutzer und Kennwort eingeben, Netzlaufwerk erstellen: \\user.smb.hidrive.strato.com\root - das Herstellen eines Netzlaufwerks funktioniert tadellos.
Nun habe ich die Einstellungen in der Config von OpenVPN geändert um es wie oben beschrieben einzurichten.
Dabei bin ich wie immer wie hier beschrieben vorgegangen:
http://www.martinlehmann.de/wp/client/windows-openvpn-client-als-dienst ...
Ausserdem habe ich in der regedit folgendes geändert:
HKLM\SOFTWARE\OpenVPN-GUI\allow_service auf den Wert 1 (vorher 0).
Leider bekomme ich immer die Fehlermeldung wenn ich nun ein Netzlaufwerk einrichten möchte.
Microsoft Windows Netzwerkpfad wurde nicht gefunden. Der Service ist gestartet und wird ausgeführt.
Der TAP Adapter im Freigabe Center ist aber nicht aktiv! Die Verbindung scheint nicht hergestellt zu sein!
So sieht die config aus:
dev tun
client
remote openvpn.hidrive.strato.com
auth-user-pass password.txt
auth-retry interact
ca ca.drive.strato.com.crt
tls-auth tls-auth.key
ns-cert-type server
Mit einem absoluten Pfad habe ich es ebenfalls getestet!
Es wird in der LOG von OpenVPN der Pfad zu den Zugangsdaten bemängelt!
Sehr verzweifelt .... !
VG
Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 316082
Url: https://administrator.de/contentid/316082
Printed on: April 20, 2024 at 10:04 o'clock
5 Comments
Latest comment
Hallo horstvogel,
jo - Danke!
mal abgesehen von dem bearbeiten der NTFS Rechte, was ja auch Sinn macht, läuft es wunderbar wenn ich in der config den Zusatz für die Zungangsdaten weglasse also: auth-user-pass.
jo - Danke!
mal abgesehen von dem bearbeiten der NTFS Rechte, was ja auch Sinn macht, läuft es wunderbar wenn ich in der config den Zusatz für die Zungangsdaten weglasse also: auth-user-pass.
Damit kein Benutzer die Konfiguration auf andere Geräte kopieren kann (die password.txt ist nicht pflicht, ich hab das als zweiten Faktor zur Authentifizierung angesehen, welcher aber am gleichen Ort wie der erste ist, was die Sicherheit nur kaum merkbar erhöht ).
Außerdem erschwert das ganze auch z. B. Malware die Konfiguration abzuziehen. Diese muss erst Administrator bzw. Systemrechte erlangen z. B. mittels Exploit.
Sicherheitstechnisch ist es "best practise" die Berechtigungen so eng wie möglich zu schnallen. Was nicht sein muss kann weg
Eventuell helfen dir ja diese Analogien:
Frage: Wieso ist die /etc/shadow datei nicht für jeden lesbar?
Antwort:
1. Weil es nicht erforderlich ist. Es reicht wenn root bzw. das System sie lesen kann.
2. Weil die Benutzer sonst die Hashes der anderen Benutzer kennen würden, was Brute Force Angriffe beschleunigt weil regeln wie nach 3 fehlerhaften versuchen warten ausgehebelt werden.
Frage: Wieso gibst du nicht jedem eine Kopie deines Haustürschlüssels (bzw. legst diesen für andere zum Kopieren bereit)?
Antwort:
1. Weil sie nicht in dein Haus kommen sollen.
2. Weil nicht jeder einen Nachschlüssel haben soll.
3. Selbst wenn jemand den Schlüssel nicht kopiert, weiß ein Einbrecher welches Schloss du hast und welches Werkzeug er zum Knacken benötigen wird.
Übertragen auf OpenVPN: Wer die Einstellungen lesen kann, kann eventuell vorhandene Lücken schneller erkenne. Und wer zusätzlich die Privaten Schlüssel lesen kann, kann sich mit beliebigen Geräten verbinden.
Außerdem erschwert das ganze auch z. B. Malware die Konfiguration abzuziehen. Diese muss erst Administrator bzw. Systemrechte erlangen z. B. mittels Exploit.
Sicherheitstechnisch ist es "best practise" die Berechtigungen so eng wie möglich zu schnallen. Was nicht sein muss kann weg
Eventuell helfen dir ja diese Analogien:
Frage: Wieso ist die /etc/shadow datei nicht für jeden lesbar?
Antwort:
1. Weil es nicht erforderlich ist. Es reicht wenn root bzw. das System sie lesen kann.
2. Weil die Benutzer sonst die Hashes der anderen Benutzer kennen würden, was Brute Force Angriffe beschleunigt weil regeln wie nach 3 fehlerhaften versuchen warten ausgehebelt werden.
Frage: Wieso gibst du nicht jedem eine Kopie deines Haustürschlüssels (bzw. legst diesen für andere zum Kopieren bereit)?
Antwort:
1. Weil sie nicht in dein Haus kommen sollen.
2. Weil nicht jeder einen Nachschlüssel haben soll.
3. Selbst wenn jemand den Schlüssel nicht kopiert, weiß ein Einbrecher welches Schloss du hast und welches Werkzeug er zum Knacken benötigen wird.
Übertragen auf OpenVPN: Wer die Einstellungen lesen kann, kann eventuell vorhandene Lücken schneller erkenne. Und wer zusätzlich die Privaten Schlüssel lesen kann, kann sich mit beliebigen Geräten verbinden.
Danke aber weiterhin kommt die Meldung:
Options error: --auth-user-pass fails with 'authentication.txt': No such file or directory
Options error: Please correct these errors.
Use --help for more information.
Ohne die authentication.txt läuft alles bestens !
Options error: --auth-user-pass fails with 'authentication.txt': No such file or directory
Options error: Please correct these errors.
Use --help for more information.
Ohne die authentication.txt läuft alles bestens !
Zitat von @mike7050:
Danke aber weiterhin kommt die Meldung:
Options error: --auth-user-pass fails with 'authentication.txt': No such file or directory
Options error: Please correct these errors.
Use --help for more information.
Und die authentication.txt liegt wirklich im selben Verzeichnis wie die ".ovpn"?Danke aber weiterhin kommt die Meldung:
Options error: --auth-user-pass fails with 'authentication.txt': No such file or directory
Options error: Please correct these errors.
Use --help for more information.
Falls ja, überprüfe nochmal die Berechtigungen auf die Datei.
