9
PfSense OpenVPN-Client Export
Hallo,
ich habe auf pfSense einen OpenVPN-Server eingerichtet. Cert-Erstellung und generell alles war prinzipiell sehr einfach und intuitiv. Als ich allerdings versuchte die Clients zu exportieren, stehen sie nicht zur Auswahl zur Verfügung.
Bemerkung im WebGUI:
"NOTE: If you expect to see a certain client in the list but it is not there, it is usually due to a CA mismatch between the OpenVPN server instance and the client certificates found in the User Manager."
Ich habe sowohl die Server- wie auch die Client-Einstellungen merhmals kontrolliert. Ich finde persönlich leider nichts was nicht in Ordnung wäre. Sieht jemand was "unpassendes"?
Anbei findet ihr die Certs und die Einstellungen.
Danke für die Hilfe.
Gr. I.
ich habe auf pfSense einen OpenVPN-Server eingerichtet. Cert-Erstellung und generell alles war prinzipiell sehr einfach und intuitiv. Als ich allerdings versuchte die Clients zu exportieren, stehen sie nicht zur Auswahl zur Verfügung.
Bemerkung im WebGUI:
"NOTE: If you expect to see a certain client in the list but it is not there, it is usually due to a CA mismatch between the OpenVPN server instance and the client certificates found in the User Manager."
Ich habe sowohl die Server- wie auch die Client-Einstellungen merhmals kontrolliert. Ich finde persönlich leider nichts was nicht in Ordnung wäre. Sieht jemand was "unpassendes"?
Anbei findet ihr die Certs und die Einstellungen.
Danke für die Hilfe.
Gr. I.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 175189
Url: https://administrator.de/contentid/175189
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
9 Kommentare
Neuester Kommentar
Was mainst du mit "Clients exportieren" ?? Das ist etwas kryptisch, denn damit muss man ja nix exportieren.
Halt dich doch ganz einfach an dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dann funktioniert alles wasserdicht wie von selbst....
Nun gehts erstmal an dein NAT "Problem".... ist ja recht anstrengend heute...
Halt dich doch ganz einfach an dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dann funktioniert alles wasserdicht wie von selbst....
Nun gehts erstmal an dein NAT "Problem".... ist ja recht anstrengend heute...
Hallo Aqui,
nun. Die Ver. 2.0 bietet eine Komplettlösung für OpenVPN an. Alles kann man in der GUI machen und einfach exportieren.
Siehe entsprechendes pfSense-Package.
Ich habe die User mit den bat.-Dateien bereits erstellt. die GUI schien mir aber bequemer zu sein. Wenn es nichts anders geht mache ich halt wie beschrieben.
Blöderweise sieht die GUI jetzt schon anders aus als damals bei der Erstellung der Anleitung
Die Einstellungen sind - wie du auf den Screenshots siehst - selbsterklärend, trotzdem klappt es aus welchem Grund auch, nicht.
Gr. I.
nun. Die Ver. 2.0 bietet eine Komplettlösung für OpenVPN an. Alles kann man in der GUI machen und einfach exportieren.
Siehe entsprechendes pfSense-Package.
Ich habe die User mit den bat.-Dateien bereits erstellt. die GUI schien mir aber bequemer zu sein. Wenn es nichts anders geht mache ich halt wie beschrieben.
Blöderweise sieht die GUI jetzt schon anders aus als damals bei der Erstellung der Anleitung
Die Einstellungen sind - wie du auf den Screenshots siehst - selbsterklärend, trotzdem klappt es aus welchem Grund auch, nicht.
Gr. I.
Ooops...recht hast du. Da muss das Tutorial mal ein Update erfahren
Es geht aber noch auf die "alte" Art. Ggf. ist das etwas sicherer... Ich mach einen Labortest und pass ggf. das Tutorial an.
Es geht aber noch auf die "alte" Art. Ggf. ist das etwas sicherer... Ich mach einen Labortest und pass ggf. das Tutorial an.
Danke sehr im Voraus.
ich versuche allerdings die in der Kommandzeile erstellte Keys in dem neuen GUI zu unterbringen.
Ich habe im Allgemeinen zwei Möglichkeiten Schlüssel einzugeben.
Tab "Server": TLS-Authentification (Hier muss der "# 2048 bit OpenVPN static key" reinkopiert werden)
Tab" Client": TLS-Authentification (dasselbe wie beim Server)
Welche der zahlreichen Dateien soll ich hier mit Copy-Paste reinkopieren. Ich habe vier User, werde also vier Clients erstellen:
Gr. I.
ich versuche allerdings die in der Kommandzeile erstellte Keys in dem neuen GUI zu unterbringen.
Ich habe im Allgemeinen zwei Möglichkeiten Schlüssel einzugeben.
Tab "Server": TLS-Authentification (Hier muss der "# 2048 bit OpenVPN static key" reinkopiert werden)
Tab" Client": TLS-Authentification (dasselbe wie beim Server)
Welche der zahlreichen Dateien soll ich hier mit Copy-Paste reinkopieren. Ich habe vier User, werde also vier Clients erstellen:
Gr. I.
Hallo I,
lustig, ich bastl mir das auch grade hin und freue mich, dass ich endlich meine alten Scripts ad Acta legen kann.
Auf den Screenshots konnte ich nichts verdächtiges sehen. Außer natürlich, was du mit dem OpenVPN Client bezwecken willst (mir scheint es ja bei dir um Remote Access zu gehen).
Wichtig ist aber die CA. Du brauchst eine eigene. ich hatte mir damals nur das Cert unserer Firmen-CA importiert. Das Upgrade auf 2.0 hat das schön ordentlich in den Cert Manager abgelegt. Aber eben eine richtige CA war ja nie vorgesehen, weshalb dir sicher der Key für die CA fehlt - und ohne den können ja keine neuen ausgestellt werden.
Entweder du machst dir eine eigene neue CA (sicher einfacher, wenn du nicht so viele existierende User hast) oder eben eine Intermediate (musste dann von deiner CA delegieren, dit war mir denn aber doch zu viel Aufwand heute Abend). Ich habe mir eine neue angelegt und werde morgen einfach neue Configs verteilen.
Also der Reihe nach:
Im Cert Manger eine eigene CA erstellen.
Dazu am Besten noch die CRL anlegen.
Ein Cert für deinen OpenVPN Server anlegen
Weitere Certifikate für deine User anlegen
Im OpenVPN Server-Tab:
Nun die eben erstellte CA, die CRL und das Cert für den Server im OpenVPN Server angeben.
Den TA Key automatisch generieren lassen.
Falls du nun noch AD am laufen hast, kannste dir auch gleich die LDAP oder Radius auth dazu einrichten. Ich mach das über Windows NPS (Radius).
Wenn du alles beisammen hast, dann tauchen beim Client - Expot alle Zertifikate der CA des Servers auf. Daneben kannst du dir dann mit einem simplen Klick die Configs generieren lassen. Wir benutzen Viscosity, den Client gibts für Mac und Win und die Configs sind austauschbar.
Einfach der Wahnsinn, und ich sage an dieser stelle noch mal ein dickes Danke an das pfsense Dev Team!
Grüße aus Berlin,
Helge
lustig, ich bastl mir das auch grade hin und freue mich, dass ich endlich meine alten Scripts ad Acta legen kann.
Auf den Screenshots konnte ich nichts verdächtiges sehen. Außer natürlich, was du mit dem OpenVPN Client bezwecken willst (mir scheint es ja bei dir um Remote Access zu gehen).
Wichtig ist aber die CA. Du brauchst eine eigene. ich hatte mir damals nur das Cert unserer Firmen-CA importiert. Das Upgrade auf 2.0 hat das schön ordentlich in den Cert Manager abgelegt. Aber eben eine richtige CA war ja nie vorgesehen, weshalb dir sicher der Key für die CA fehlt - und ohne den können ja keine neuen ausgestellt werden.
Entweder du machst dir eine eigene neue CA (sicher einfacher, wenn du nicht so viele existierende User hast) oder eben eine Intermediate (musste dann von deiner CA delegieren, dit war mir denn aber doch zu viel Aufwand heute Abend). Ich habe mir eine neue angelegt und werde morgen einfach neue Configs verteilen.
Also der Reihe nach:
Im Cert Manger eine eigene CA erstellen.
Dazu am Besten noch die CRL anlegen.
Ein Cert für deinen OpenVPN Server anlegen
Weitere Certifikate für deine User anlegen
Im OpenVPN Server-Tab:
Nun die eben erstellte CA, die CRL und das Cert für den Server im OpenVPN Server angeben.
Den TA Key automatisch generieren lassen.
Falls du nun noch AD am laufen hast, kannste dir auch gleich die LDAP oder Radius auth dazu einrichten. Ich mach das über Windows NPS (Radius).
Wenn du alles beisammen hast, dann tauchen beim Client - Expot alle Zertifikate der CA des Servers auf. Daneben kannst du dir dann mit einem simplen Klick die Configs generieren lassen. Wir benutzen Viscosity, den Client gibts für Mac und Win und die Configs sind austauschbar.
Einfach der Wahnsinn, und ich sage an dieser stelle noch mal ein dickes Danke an das pfsense Dev Team!
Grüße aus Berlin,
Helge
Danke Helge,
ja der Wahniss... Wenn es funkzt.
Ich denke es ist einfacher alles zu löschen und erneut anfangen... Ich kann mir vorstellen, dass ich keinen TA Schlüssel generiert habe... Mal schauen.
Gr. I.
ja der Wahniss... Wenn es funkzt.
Ich denke es ist einfacher alles zu löschen und erneut anfangen... Ich kann mir vorstellen, dass ich keinen TA Schlüssel generiert habe... Mal schauen.Gr. I.
@Istike
Was du noch machen solltest: In den Advanced Settings kannst du den AMD Geode Crypto Chip aktivieren den das ALIX Board onboard hat
System --> Advanced --> Miscellaneous --> Crypto Accleration
Zudem sollte man das Gateway Monitoring deaktivieren wenn man einen öffentlichen Anschluss hat den sonst pingt die FW permanent den Provider Router
System --Routing --> Gateway e wie edit und Haken bei Disable Gateway Monitoring
@helge000
Dank für dein Feedback. Ich werde die Tage das Tutorial hier entsprechend auf die neue 2.0er Option anpassen.
Mit deinem Dank ans pfsense Dev Team kann man sich nur anschliessen. Es ist der Hammer was an neuen Funktionen zugekommen ist sogar Policy Based Routing auf ACL Basis ist auch dabei.
Was du noch machen solltest: In den Advanced Settings kannst du den AMD Geode Crypto Chip aktivieren den das ALIX Board onboard hat
System --> Advanced --> Miscellaneous --> Crypto Accleration
Zudem sollte man das Gateway Monitoring deaktivieren wenn man einen öffentlichen Anschluss hat den sonst pingt die FW permanent den Provider Router
System --Routing --> Gateway e wie edit und Haken bei Disable Gateway Monitoring
@helge000
Dank für dein Feedback. Ich werde die Tage das Tutorial hier entsprechend auf die neue 2.0er Option anpassen.
Mit deinem Dank ans pfsense Dev Team kann man sich nur anschliessen. Es ist der Hammer was an neuen Funktionen zugekommen ist sogar Policy Based Routing auf ACL Basis ist auch dabei.
Das pfSense #comment-toc7 Open-VPN_Tutorial ist nun angepasst an die aktuelle 2.0er Firmware !
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Danke sehr Aqui für die Änderungen.
Ich bedanke mich - auch im Allgemeinen - Aqui für deine Hilfe auch im Namen der Community. Deine Anleitungen haben wohl schon sehr vielen geholfen.
Gr. I.
Ich bedanke mich - auch im Allgemeinen - Aqui für deine Hilfe auch im Namen der Community. Deine Anleitungen haben wohl schon sehr vielen geholfen.
Gr. I.
