alex29
Goto Top

OpenVPN zwischen MikroTik und Mobotix-Cam

Guten Morgen in die Runde,

ich habe hier bei mir zu Hause hinter einer Fritzbox einen kleinen MikroTik-Router (RB750Gr3) ausschließlich als VPN-Server laufen. Ich gehe davon aus, dass der MikroTiK richtig als OpenVPN-Server konfiguriert ist, da er mit mehreren Apple-Geräten und einem weiteren MikroTik-Router super funktioniert. Als kleine Besonderheit läuft der OpenVPN-Server bei mir nicht auf Port 1192 sondern auf 443. Dies ist Absicht, damit er auch aus 99,9% der verfügbaren (freien) WLAN's erreichbar ist (falls Port 1192 geblockt ist). Die Zertifizierungsstelle für die OpenVPN-Zertifikate ist ebenfalls auf dem MikroTik-Router eingerichtet.

Nun wollte ich gern eine Mobotix-Camera als weiteren OpenVPN-Client an dem MikroTik-OpenVPN-Server einrichten. Dazu habe ich wieder die Zertifikate für den neuen Client erstellt und entsprechend exportiert. Dann habe ich die Zertifikate in die Kamera importiert und die Einstellungen wie im beigefügten Bild1 ersichtlich vorgenommen. Leider gib die Kamera nur die Fehlermeldung (Bild2) aus - mehr passiert nicht.

bild1

bild2

Den Hinweis in der Fehlermeldung "check your network connectivity" habe ich natürlich gelesen. Ich weis aber nicht, was ich noch prüfen soll. Ich habe Zugriff auf die Kamera (nicht über den OpenVPN-Tunnel) und die Kamera löst meinen DynDNS-Namen auch richtig auf, kommt also selbst auch ins Netz.
Ich habe keine Idee, was ich noch probieren kann. Hat eventuell jemand von Euch schon mal eine Mobotix-Cam erfolgreich als OpenVPN-Client konfiguriert?

Vielen Dank im Voraus und

viele Grüße
Alex

Content-ID: 588781

Url: https://administrator.de/forum/openvpn-zwischen-mikrotik-und-mobotix-cam-588781.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

Pjordorf
Pjordorf 18.07.2020 um 08:01:30 Uhr
Goto Top
Hallo,

Zitat von @Alex29:
ich habe hier bei mir zu Hause hinter einer Fritzbox einen kleinen MikroTik-Router (RB750Gr3) ausschließlich als VPN-Server laufen.
https://openvpn.net/faq/tls-error-tls-key-negotiation-failed-to-occur-wi ...

Den Hinweis in der Fehlermeldung "check your network connectivity" habe ich natürlich gelesen.
Aber offensichtlich "TLS Error: TLS Handshake failed" Übersehen.

Gruß,
Peter
Alex29
Alex29 18.07.2020 um 08:57:37 Uhr
Goto Top
Hallo,

Danke für den Hinweis. Ich bin ein kleines Stück weiter - ich habe in der Kamera die Einstellung von UDP auf TCP geändert. Nun ist in der Fehlermelung schon mal etwas "grün". Allerdings kommt nun ein neuer TLS-Fehler. Es scheint an der Verschlüsselung zu hängen - aber diese ist doch korrekt - oder??

bild3

bild4
Pjordorf
Pjordorf 18.07.2020 um 09:11:31 Uhr
Goto Top
Hallo,

Zitat von @Alex29:
Allerdings kommt nun ein neuer TLS-Fehler. Es scheint an der Verschlüsselung zu hängen - aber diese ist doch korrekt - oder??
Anscheinend nicht, sonst würde es keine Fehler hageln. face-smile
https://serverfault.com/questions/709860/fix-tls-error-tls-handshake-fai ...
https://www.computerbase.de/forum/threads/openvpn-tls-handshake-failed.1 ...
https://github.com/Nyr/openvpn-install/issues/453

Gruß,
Peter
aqui
aqui 18.07.2020 aktualisiert um 15:53:22 Uhr
Goto Top
OpenVPN mit UDP Encapsulation ist bei Mikrotik NICHT supportet ! Darauf wird in allen Tutorials und auf der Mikrotik Seite immer explizit drauf hingewiesen !
https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN
Currently unsupported OpenVPN features: UDP mode, TLS authentication
TLS also auch nicht.
Da du UDP eingestellt hast muss das also scheitern ! Ist auch völlig unverständlich wenn wenn du schon andere Clients erfolgreich am Laufen hast müsstest du das ja eigentlich wissen das TCP als Encapsulation Pflicht ist. Zumindest muss es auf diesen finktionierenden Clients ja so eingestellt sein !
Siehe auch:
Clientverbindung OpenVPN Mikrotik
bzw. für alle OpenVPN Grundlagen:
Merkzettel: VPN Installation mit OpenVPN

P.S.: Der Standard OpenVPN Port ist übrigens nicht 1192 wie du oben fälschlicherweise gepostet hast sondern bekanntlich UDP 1194 !!
Alex29
Alex29 18.07.2020 um 20:13:31 Uhr
Goto Top
Vielen Dank für die Hinweise!

Ja, es funktioniert nur TCP und UDP bei MikroTik nicht, ich hatte es zuerst einfach verwechselt. In meinem zweiten Kommentar hatte ich es auch angepasst, deshalb sind doch jetzt auch wenigstens ein paar grüne „ok“ zu sehen.

Das Ganze ist bei mir nur Hobby, deswegen kenne ich nicht den genauen Hintergrund aller Einstellungsoptionen. Mich würde aber interessieren, ob es aus Eurer Sicht Sinn macht mit dem Mobotix-OpenVPN-Client weiter zu probieren oder ob ich lieber einen weiteren MikroTik-Router vor die Kamera hänge und so den Tunnel aufbaue?

PS ....und ja OpenVPN-Standard ist 1194 - ist nur Hobby
aqui
aqui 18.07.2020 aktualisiert um 20:59:17 Uhr
Goto Top
ist nur Hobby
Sollte aber in eimem Administrator Firum wo es kein Hobby ist nicht unerwähnt bleiben. face-wink
ob es aus Eurer Sicht Sinn macht mit dem Mobotix-OpenVPN-Client weiter zu probieren
Ja warum denn nicht !
oder ob ich lieber einen weiteren MikroTik-Router vor die Kamera hänge
Das wäre ja gar nicht nötig und überflüssig. Auch von den Kosten her.
TCP 443 als Encapsulation birgt aber immer ein Risiko wenn du über einen NAT Router gehst. Logisch, denn das ist der Standard HTTPS Port. Return IP Traffic hat also immer die öffentliche Router WAN Port IP und Ziel Port TCP 443 als Ziel.
Ist auf dem Router dann nicht konsequent HTTPS Zugang auf dem WAN Port deaktiviert "denkt" der Router natürlich immer das das für ihn spezifizierten HTTPS Traffic ist z.B. für den remoten Konfig Zugang.
OK, verantwortungsvolle Netzwerker und auch Hobby Bastler sollten generell IMMER den remoten Konfig Port aus Sicherheitsgründen deaktivieren.
Damit wird dann auch HTTPS am WAN Port deaktiviert und der return Traffic kann die NAT Firewall passieren.
Daran solltest du also immer denken das du den HTTPS remote Zugang abschaltest in deinem Router.
Ansonsten wäre es immer sinniger einen der klassischen freien Ephemeral Ports zwischen 49152 und 65535 zuverwenden wie z.B. 51194 oder 61194:
https://en.wikipedia.org/wiki/Ephemeral_port
Diese Ports werden generell auch in öffentlichen Hotspots nicht blockiert. Zudem hat man Gewissheit nicht am NAT des Routers hängenzubleiben.
kenne ich nicht den genauen Hintergrund aller Einstellungsoptionen.
Deshalb ja auch für Laien das hiesige OVPN Tutorial: face-wink
Merkzettel: VPN Installation mit OpenVPN
Alex29
Alex29 19.07.2020 aktualisiert um 07:45:41 Uhr
Goto Top
...

ob es aus Eurer Sicht Sinn macht mit dem Mobotix-OpenVPN-Client weiter zu probieren
Ja warum denn nicht !

Leider habe ich derzeit keine Idee was ich noch probieren kann.

Das ist die Konfiguration eines Apple-iOS-Clients. Mit dieser funktioniert der Zugriff auf meinen OpenVPN-Server fehlerfrei.

dev tun
proto tcp-client
remote meine-dyndns.com 443
auth-nocache
tls-client
remote-cert-tls server
persist-tun
persist-key
mute-replay-warnings
cipher AES-256-CBC
auth SHA1
auth-user-pass
pull
route 0.0.0.0 0.0.0.0
<ca>
BEGIN CERTIFICATE-----
xxx
xxxx
xxx
END CERTIFICATE-----
</ca>

Im Menü der Kamera gibt es gar nicht mehr Optionen als auf dem Bild zu sehen:

bild5

Von daher halten sich die Tests in Grenzen, da ich nun alles möglich probiert habe.

Allerdings habe ich jetzt gerade noch festgestellt, dass sich an der Fehlermeldung nichts ändert ob ich mit oder ohne (!!) Clientzertifikat teste. Also liegt es wahrscheinlich am Zertifikate import. In der Fehlermeldung scheint es so, als hat die Kamera nur das CA-Zertifikat richtig erkannt, obwohl auch das Clientzertifikat und der private Schlüssel importiert sind und auch richtig angezeigt werden.

bild6

Grüße
Alex
144705
144705 19.07.2020 aktualisiert um 11:35:41 Uhr
Goto Top
"OpenVPN" Log Topic am Mikrotik aktivieren und dann im Log beim Verbindungsaufbau schauen was ihm missfällt.

/system logging add topics=ovpn