horstvogel
Goto Top

Pfsense 2.4.1 OpenVPN google Authenticator

Hallo,
ich möchte meinen funktionierenden OpenVPN Zugang mit einer 2 Faktor Authentifizierung verbessern.

Hier meine Einstellungen, wie gesagt benutze ich die User im Radius ohne 2 Faktor, dann geht die VPN Verbindung, daher vermute ich der Fehler kann nur bei der 2 Faktor Authentifizierung liegen. Pfsense und das Smarphone laufen ca. nur 1 Sekunde von der Zeit auseinander. Vor dem Token PIN gebe ich meinen PIN (4 stellig) ein, daher ergeben sich bei Token Password Length 1-10. SHA 1 benutzt laut Internet der Google Authenticator und alle 30 Sekunden erneuert seinen Key. Zeitzone sind beide Berlin, aber hier bin ich mir nicht ganz sicher, was mit unserer Sommerzeit ist.

1
2
3

Hier habe ich auf 30 Sekunden, 1-10 Passwortlänge (einen 4 stelligen PIN habe ich eingetragen und Google Auth. spuckt ja 6 Zahlen aus) und auf sha1 abgeändert
4
5
6
7
8
9


Danke der Horst

Content-Key: 352925

Url: https://administrator.de/contentid/352925

Printed on: May 19, 2024 at 05:05 o'clock

Mitglied: 134464
134464 Oct 26, 2017 updated at 10:00:58 (UTC)
Goto Top
Zeitzone sind beide Berlin, aber hier bin ich mir nicht ganz sicher, was mit unserer Sommerzeit ist.
Solange beide die gleiche Zeit aufweisen ist das egal.

Check deine PFSense-Logs ... die erzählen einem sehr viel.
Member: horstvogel
horstvogel Oct 26, 2017 updated at 16:34:21 (UTC)
Goto Top
Hallo Kokosnuss,
da steht drin, dass ein externes Programm nicht funktioniert. Bei Dir funktioniert das?
Danke!

10
Mitglied: 134464
134464 Oct 26, 2017 at 16:37:22 (UTC)
Goto Top
Erhöhe mal die OpenVPN verbosity.
Member: horstvogel
horstvogel Oct 26, 2017 at 16:44:26 (UTC)
Goto Top
Zitat von @134464:

Erhöhe mal die OpenVPN verbosity.
was ist das?
Wie schon geschrieben, gebe ich über den Radius ein Passwort vor, dann geht das. Daher vermute ich das Problem bei OTP Einstellungen im Radius. Oder liege ich das komplett falsch?
Member: horstvogel
horstvogel Oct 26, 2017 updated at 16:57:41 (UTC)
Goto Top
Ok, die Logs Tiefe erhöhen, aber wo mache ich das? Und nur bei VPN?
danke!

Den Punkt?
11
Mitglied: 134464
134464 Oct 26, 2017 at 17:10:05 (UTC)
Goto Top
btw. Token Length sollte doch 1-6 sein die Pin wird da doch nicht mitgerechnet ...
Mitglied: 134464
134464 Oct 26, 2017 updated at 17:11:43 (UTC)
Goto Top
Zitat von @horstvogel:
Den Punkt?
11
Das ist für den IGMP Proxy das hat ja wohl nichts mit OpenVPN zu tun face-wink

Stichwort Parameter Verb, siehe OpenVPN Docs!
Member: horstvogel
horstvogel Oct 26, 2017 at 18:01:30 (UTC)
Goto Top
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:53:39 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:53:39 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:53:38 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:53:38 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:52:59 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 SIGTERM[soft,delayed-exit] received, client-instance exiting 
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 SENT CONTROL [horst]: 'AUTH_FAILED' (status=1)   
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Delayed exit in 5 seconds 
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 PUSH: Received control message: 'PUSH_REQUEST'   
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 [horst] Peer Connection Initiated with [AF_INET]xx.xxx.xxx.xxx:8698 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 TLS Auth Error: Auth Username/Password verification failed for peer 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 WARNING: Failed running command (--auth-user-pass-verify): external program exited with error status: 1 
Oct 26 19:52:52 	openvpn 		user 'horst' could not authenticate.   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_GUI_VER=OpenVPN_GUI_11 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_TCPNL=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_COMP_STUBv2=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_COMP_STUB=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZO=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZ4v2=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZ4=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_NCP=2 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_PROTO=2 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_PLAT=win 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_VER=2.4.4 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY OK: depth=0, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=horst 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY SCRIPT OK: depth=0, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=horst 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY OK: depth=1, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=OpenVPNCA, OU=privat 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY SCRIPT OK: depth=1, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=OpenVPNCA, OU=privat 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 TLS: Initial packet from [AF_INET]xx.xxx.xxx.xxx:8698, sid=aaff7e0d af05deee 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ] 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Control Channel MTU parms [ L:1621 D:1156 EF:94 EB:0 ET:0 EL:3 ] 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Re-using SSL/TLS context 
Oct 26 19:52:51 	openvpn 	44556 	MULTI: multi_create_instance called 
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:52:09 	openvpn 	44556 	Initialization Sequence Completed 
Oct 26 19:52:09 	openvpn 	44556 	IFCONFIG POOL: base=10.8.8.2 size=252, ipv6=0 
Oct 26 19:52:09 	openvpn 	44556 	MULTI: multi_init called, r=256 v=256 
Oct 26 19:52:09 	openvpn 	44556 	UDPv4 link remote: [AF_UNSPEC] 
Oct 26 19:52:09 	openvpn 	44556 	UDPv4 link local (bound): [AF_INET]192.65.178.24:1194 
Oct 26 19:52:09 	openvpn 	44556 	Socket Buffers: R=[42080->42080] S=[57344->57344] 
Oct 26 19:52:09 	openvpn 	44556 	Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ] 
Member: horstvogel
horstvogel Oct 27, 2017 updated at 13:49:51 (UTC)
Goto Top
Hallo Kokosnuss,
Freeradius 3 habe neu installiert, ein anderes Smartphone verwendet, andere OTP Varianten ausprobiert, unter Diagnose über den Authentifikation Tester in der Pfsense getestet. Also liegt das Problem doch im Freeradius?? Hast Du das auch mit Google OTP laufen?

Oct 27 15:48:10 radiusd 41733 (2) Login incorrect (Failed retrieving values required to evaluate condition): [horst] (from client pfsense port 0)

Danke!
Member: horstvogel
horstvogel Oct 29, 2017 at 08:34:36 (UTC)
Goto Top
Die Zeitumstellung war leider auch nicht das Problem. Nun haben wir ja die Winterzeit
Member: horstvogel
horstvogel Oct 31, 2017 at 11:06:24 (UTC)
Goto Top