horstvogel
26.10.2017, aktualisiert um 18:33:32 Uhr
view8304
view11
0
Goto Top

Pfsense 2.4.1 OpenVPN google Authenticator

gelöstFrageSicherheitFirewall
Hallo,
ich möchte meinen funktionierenden OpenVPN Zugang mit einer 2 Faktor Authentifizierung verbessern.

Hier meine Einstellungen, wie gesagt benutze ich die User im Radius ohne 2 Faktor, dann geht die VPN Verbindung, daher vermute ich der Fehler kann nur bei der 2 Faktor Authentifizierung liegen. Pfsense und das Smarphone laufen ca. nur 1 Sekunde von der Zeit auseinander. Vor dem Token PIN gebe ich meinen PIN (4 stellig) ein, daher ergeben sich bei Token Password Length 1-10. SHA 1 benutzt laut Internet der Google Authenticator und alle 30 Sekunden erneuert seinen Key. Zeitzone sind beide Berlin, aber hier bin ich mir nicht ganz sicher, was mit unserer Sommerzeit ist.

1
2
3

Hier habe ich auf 30 Sekunden, 1-10 Passwortlänge (einen 4 stelligen PIN habe ich eingetragen und Google Auth. spuckt ja 6 Zahlen aus) und auf sha1 abgeändert
4
5
6
7
8
9


Danke der Horst
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 352925

Url: https://administrator.de/contentid/352925

Ausgedruckt am: 23.11.2024 um 23:11 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
134464
134464 26.10.2017 aktualisiert um 12:00:58 Uhr
Goto Top
Zeitzone sind beide Berlin, aber hier bin ich mir nicht ganz sicher, was mit unserer Sommerzeit ist.
Solange beide die gleiche Zeit aufweisen ist das egal.

Check deine PFSense-Logs ... die erzählen einem sehr viel.
horstvogel
horstvogel 26.10.2017 aktualisiert um 18:34:21 Uhr
Goto Top
Hallo Kokosnuss,
da steht drin, dass ein externes Programm nicht funktioniert. Bei Dir funktioniert das?
Danke!

10
134464
134464 26.10.2017 um 18:37:22 Uhr
Goto Top
Erhöhe mal die OpenVPN verbosity.
horstvogel
horstvogel 26.10.2017 um 18:44:26 Uhr
Goto Top
Zitat von @134464:

Erhöhe mal die OpenVPN verbosity.
was ist das?
Wie schon geschrieben, gebe ich über den Radius ein Passwort vor, dann geht das. Daher vermute ich das Problem bei OTP Einstellungen im Radius. Oder liege ich das komplett falsch?
horstvogel
horstvogel 26.10.2017 aktualisiert um 18:57:41 Uhr
Goto Top
Ok, die Logs Tiefe erhöhen, aber wo mache ich das? Und nur bei VPN?
danke!

Den Punkt?
11
134464
134464 26.10.2017 um 19:10:05 Uhr
Goto Top
btw. Token Length sollte doch 1-6 sein die Pin wird da doch nicht mitgerechnet ...
134464
134464 26.10.2017 aktualisiert um 19:11:43 Uhr
Goto Top
Zitat von @horstvogel:
Den Punkt?
11
Das ist für den IGMP Proxy das hat ja wohl nichts mit OpenVPN zu tun face-wink

Stichwort Parameter Verb, siehe OpenVPN Docs!
horstvogel
horstvogel 26.10.2017 um 20:01:30 Uhr
Goto Top
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:54:43 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:53:39 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:53:39 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:53:38 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:53:38 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:52:59 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 SIGTERM[soft,delayed-exit] received, client-instance exiting 
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 SENT CONTROL [horst]: 'AUTH_FAILED' (status=1)   
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Delayed exit in 5 seconds 
Oct 26 19:52:53 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 PUSH: Received control message: 'PUSH_REQUEST'   
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 [horst] Peer Connection Initiated with [AF_INET]xx.xxx.xxx.xxx:8698 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 TLS Auth Error: Auth Username/Password verification failed for peer 
Oct 26 19:52:52 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 WARNING: Failed running command (--auth-user-pass-verify): external program exited with error status: 1 
Oct 26 19:52:52 	openvpn 		user 'horst' could not authenticate.   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_GUI_VER=OpenVPN_GUI_11 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_TCPNL=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_COMP_STUBv2=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_COMP_STUB=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZO=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZ4v2=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_LZ4=1 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_NCP=2 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_PROTO=2 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_PLAT=win 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 peer info: IV_VER=2.4.4 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY OK: depth=0, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=horst 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY SCRIPT OK: depth=0, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=horst 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY OK: depth=1, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=OpenVPNCA, OU=privat 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 VERIFY SCRIPT OK: depth=1, C=DE, ST=Ni, L=Si, O=privat, emailAddress=admin@privat.com, CN=OpenVPNCA, OU=privat 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 TLS: Initial packet from [AF_INET]xx.xxx.xxx.xxx:8698, sid=aaff7e0d af05deee 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'   
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ] 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Control Channel MTU parms [ L:1621 D:1156 EF:94 EB:0 ET:0 EL:3 ] 
Oct 26 19:52:51 	openvpn 	44556 	xx.xxx.xxx.xxx:8698 Re-using SSL/TLS context 
Oct 26 19:52:51 	openvpn 	44556 	MULTI: multi_create_instance called 
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: Client disconnected 
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: CMD 'quit'   
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: CMD 'status 2'   
Oct 26 19:52:34 	openvpn 	44556 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock 
Oct 26 19:52:09 	openvpn 	44556 	Initialization Sequence Completed 
Oct 26 19:52:09 	openvpn 	44556 	IFCONFIG POOL: base=10.8.8.2 size=252, ipv6=0 
Oct 26 19:52:09 	openvpn 	44556 	MULTI: multi_init called, r=256 v=256 
Oct 26 19:52:09 	openvpn 	44556 	UDPv4 link remote: [AF_UNSPEC] 
Oct 26 19:52:09 	openvpn 	44556 	UDPv4 link local (bound): [AF_INET]192.65.178.24:1194 
Oct 26 19:52:09 	openvpn 	44556 	Socket Buffers: R=[42080->42080] S=[57344->57344] 
Oct 26 19:52:09 	openvpn 	44556 	Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ]
horstvogel
horstvogel 27.10.2017 aktualisiert um 15:49:51 Uhr
Goto Top
Hallo Kokosnuss,
Freeradius 3 habe neu installiert, ein anderes Smartphone verwendet, andere OTP Varianten ausprobiert, unter Diagnose über den Authentifikation Tester in der Pfsense getestet. Also liegt das Problem doch im Freeradius?? Hast Du das auch mit Google OTP laufen?

Oct 27 15:48:10 radiusd 41733 (2) Login incorrect (Failed retrieving values required to evaluate condition): [horst] (from client pfsense port 0)

Danke!
horstvogel
horstvogel 29.10.2017 um 09:34:36 Uhr
Goto Top
Die Zeitumstellung war leider auch nicht das Problem. Nun haben wir ja die Winterzeit
horstvogel
horstvogel 31.10.2017 um 12:06:24 Uhr
Goto Top
geht anscheinend nicht mit der Version 2.4.1

Pfsense Freeradius OTP funktioniert nicht mit 2.4.1, sondern anscheinend nur bis 2.3.4
gelöstFrageSicherheitFirewall
Mehr von horstvogelhorstvogelPfsense Haproxy https offloading und ssl https TCPmode SSL Passthrough auf Port 443 sslhorstvogel - 4 KommentarehorstvogelPfsense HAProxy Nextcloud Talk Verbindungsabbruchhorstvogel - 2 KommentarehorstvogelUbuntu 18.04 fail2ban x-forwarded-for hinter HAProxy Opnsensehorstvogel - 5 KommentarehorstvogelPfsense MaxMind GeoIP pfblockernghorstvogel - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare