OpenVPN & Auerswald COMfortel 3500

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

OpenVPN & Auerswald COMfortel 3500

Beitrag von csg »

Hallo zusammen,

wir möchten gern diverse Auerswald COMfortel 3500 an eine RC200 anbinden, so dass das HomeOffice-Telefon die Auerswald COMmander 6000 erreichen kann.
Die Auerswald Telefone unterstützen einerseits nicht die ausgegebene ovpn-Datei, so dass diese händisch angepasst werden muss, wie folgender Information des Supports zu entnehmen ist:
ändern Sie die Bezeichnung der Datei in firewall_foo_local_SSL_VPN_Roadwarrior.cfg

Die folgenden Hinweise sollten an dieser Stelle zusätzlich hilfreich sein:
http://wiki.openvpn.eu/index.php/Erster_Tunnel

Die Client Konfigurationsdatei eines Windows Clients kann übernommen werden, es müssen nur die Datei-Pfade angepasst werden.

client
# "ich bin der Client"

remote meinedomain.dyndns.org Port
# die öffentliche IP (oder dyndns-Name) des Routers auf der Server-Seite
# Port legt den zu verwendenden Port fest (muss gleich dem Port beim Server sein)

dev TUN
# TAP oder TUN?

ca ca.crt
# Pfadangabe ca.crt

Key client 1.key
# Pfadangabe client1.crt

Cert client1.crt
# Pfadangabe client1.crt

ns-cert-type server
# der Server überprüft die Zertifikate auf Gültigkeit

comp-lzo

pull
# "pull" muss in der Client-config stehen, damit die push-Anweisungen (Gateway, Routen)
# vom Server geholt werden
verb 3
mute 50
persist-key
persist-tun

Das Zertifikat, die CA und der Key werden nacheinander über die Option „Open VPN-Zertifikat“ in das Telefon geladen.
Aber, und das ist die Frage, die Telefone unterstützen keine Authentifizierung über Benutzername und Kennwort. Wie kann ich mit einer aktuellen V11 eine Authentifizierung über diverse Zertifikate (je User eines) ermöglichen?

Danke im Voraus,

Jan Reichelt

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

VPN -> SSLVPN -> "Schraubenschlüssel" -> Authentifizierung -> NONE -> Speichern

FHsurfAN
Beiträge: 2
Registriert: Mi 22.04.2015, 08:05

Beitrag von FHsurfAN »

Hallo Herr Reichelt,

haben Sie des denn zum Laufen gebracht? Laut den Release-Infos es neuen 1.8E Firmware für das 3500er solls jetzt auch mit Benutzerdaten gehn.
Ich stehe grad von nem kleinen Problem und der Auerswald-Support stellt sich wie so oft bei solchen Themen quer. Wir wollen auch das 3500er mit Securepoint und openvpn einsetzen, allerdings weigert sich das Telefon noch einen Tunnel zu initiieren..

Viele Grüße
Frank Horn

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Probieren Sie mal, diese beiden Einträge in der openvpn.conf hinzuzufügen:

Code: Alles auswählen

ns-cert-type server
dev-node /dev/tun

FHsurfAN
Beiträge: 2
Registriert: Mi 22.04.2015, 08:05

Beitrag von FHsurfAN »

Hallo,

Danke für die schnelle Antwort. Hat leider nicht gefruchtet.
Haben Sie zufällig eine Muster-CFG die bei ihnen geklappt hat? Vielleicht verträgt sich das COMfortel nicht mit einem der anderen Attribute...

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

Sorry für sie verspätete Antwort. Der Kunde hat sich nun durch das Thema sowohl von der Securepoint-UTM als auch von der Auerswald-TK-Anlage und den Auerswald-Telefonen getrennt. Bedauerlich. Aber das Ping-Pong-Spielen, wie er es nannte, war für ihn nicht mehr vertretbar.

zitsolution
Beiträge: 1
Registriert: Di 26.09.2017, 19:20

Beitrag von zitsolution »

Hallo zusammen,

der Beitrag ist zwar schon eine weile her, aber vielleicht hat ja jemand noch dieses Problem mit einer Auerswaldanlage.
Lösung:
1. Die .ovp umbennen in .cfg 
2. Eine password.txt erstellen in der in der ersten Zeile der Benutzer und in der zweiten Zeile das Passwort steht.
2. in der umbenannten .cfg nun noch folgenden Eintrag einfügen auth-user-pass password.txt 
3. den Punkt auth-user-pass entfernen
4. die .cfg in das Telefon importieren 
2. die ca.pem, crt.pem und den key importieren
und schon wird er Tunnel aufgebaut.
Anbei eine Beispiel .cfg
client
dev tun
tun-mtu 1500
# fragment 1300
mssfix
proto udp
float
remote eure utm 1194
nobind
persist-key
persist-tun
ca beispiel_local_Roadworrior-ca.pem
cert beispiel_local_Roadworrior-cert.pem
key beispiel_local_Roadworrior-cert.key
verb 3
mute 20
#auth-nocache
auth-user-pass password.txt
route-method exe
route-delay 2
#http-proxy server_IP port
#http-proxy-retry
reneg-sec 0
#comp-lzo yes
#redirect-gateway

Gruß Klaus

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Klaus,

vielen Dank für die Info!

Aber ich hab noch eine Frage:
Muss die "password.txt" auf das Telefon kopiert werden oder muss man sie vielleicht direkt (z.B. per SSH-Login) auf dem Telefon in einem bestimmten Ordner erstellen?

Gruß

Franz

micky770
Beiträge: 1
Registriert: Mo 08.01.2018, 19:08

Beitrag von micky770 »

Moin moin,

hat jemand mit einem Auerswald IP2600 oder
IP3500 und dessen openVPN Client jemals eine Verbindung 
zur Securepoint UTM realisiert?

Man findet immer nur Stücke .. und von Auerswald kommt 
findet man eh nichts vernünftiges .... leider

beli
Beiträge: 2
Registriert: Mi 28.03.2018, 16:06

Beitrag von beli »

Hallo zusammen!

Die Auerswald-Telefone 2600IP, 3500IP und 3600IP laufen bei mir sauber über OpenVPN.

Wichtig ist der password.txt-Tip und die Angabe der Schnittstelle im Account - Sonst passen die IP-Adressen nicht.

Viele Grüße
Thomas

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hallo Thomas,
danke für die Rückmeldung!
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Dankeschön, das war der entscheidende Hinweis!
Am COMfortel unter Anbieter & TK-Anlagen muss in den Einstellungen der Netzwerkschnittstellentyp "VPN" ausgewählt werden.
 
Für die Telefone hab ich einen eigenen S2S-Server angelegt und entsprechende Firewall-Regeln erstellt. So wie es aussieht wird die TK-Anlage ausschließlich auf UDP Port 5060 (sip) vom COMfortel angesprochen.
Auf die zusätzlich Benutzer-Authentifizierung (wie beim RW-Server üblich) habe ich verzichtet. Die in der pw.txt im Klartext abgelegten Benutzernamen und Passwörter bringen meiner Meinung nach keinen wirklichen Sicherheitsgewinn.

datluepptnet
Beiträge: 3
Registriert: Sa 10.11.2018, 17:38

Beitrag von datluepptnet »

Hallo zusammen.
Ich habe gerade das gleiche Problem wie offensichtlich andere auch hier.
Ich habe hier ein COMfortel 3600 IP zuhause im Homeoffice.
Dieses würde ich gerne mit der Auerswald Compact 4000 im Büro über ovpn verbinden.

Die Anleitungen oben habe ich eigentlich schon durch alle.... Auch schon selber einiges versucht. Ich komme aber irgendwie nicht weiter.

Egal was ich wo einstelle oder sonst was mache.......

Im Büro habe ich einen OVPN Server auf einem Windows 10 laufen. Dieser routet auch wunderbar im Büronetzwerk.
Von meinem Laptop aus kann ich ohne Probleme per OVPN auf die Telefonanlage zugreifen.
Auch per SmartphoneApp MizuDroid bekomme ich nachdem ich mit dem Smartphone eine VPN Verbindung erstellt habe keine Probleme .... Telefonieren usw.... alles klappt wunderbar.

Nur ich schaffe es einfach nicht mein 3600 so zu konfigurieren das dieses eine VPN Verbindung zum Büronetzwerk herstellt.

Grundkenntnisse sind vorhanden..... 
Aber könnte mir ggf. jemand einmal Schritt für Schritt erklären wie das genau geht?
Was mich noch interessieren würde: 
Lt. Anleitung:
2. in der umbenannten .cfg nun noch folgenden Eintrag einfügen auth-user-pass password.txt 
3. den Punkt auth-user-pass entfernen
mmhh widerspruch oder?
Von was genau muss ich denn bitte username und passwort in diese txt schreiben?
@Thomas
Besteht ggf. die Möglichkeit mir mal deine konfigs für die ovpn dateien zu zeigen?
bzw. welche Einstellungen du über die Adminoberfläsche des 3600 gemacht hast bzw. welche Einstellungen am Telefon direkt selber?

Vielen Vielen Dank vorab für jede Unterstützung.
MfG
Datluepptnet

beli
Beiträge: 2
Registriert: Mi 28.03.2018, 16:06

Beitrag von beli »

datluepptnet hat geschrieben:3. den Punkt auth-user-pass entfernen
mmhh widerspruch oder?
Von was genau muss ich denn bitte username und passwort in diese txt schreiben?
Hi!
Sorry - ich habe kurzfristig keine Config zur Hand. In der default-Config fragt der Securepoint-Firewall-OpenVPN-Server nach Benutzername und Passwort - diese müssen natürlich weitergegeben werden, und können ggf. über die Textdatei angegeben werden.
VG Thomas

datluepptnet
Beiträge: 3
Registriert: Sa 10.11.2018, 17:38

Beitrag von datluepptnet »

Hoppela ....
Ich muss zunächst mal zugeben das ich kein Securepoint produkt nutze!
Leider ist dies hier aber die einzige seite die sich irgendwie mit auerswald und ovpn beschäftigt.

Mittlerweise habe ich es sogar hinbekommen für ca. 1-2 Minuten eine VPN-Verbindung zum laufen zu bekommen.
Leider bricht anschliessend die Verbindung ab und auf dem Telefon steht kein Account registriert.

Ein zuvor gemachter Anruf vom Handy auf das Gerät funktionierte Problemlos alles wunderbar.
Allerdings bei einem Anruf vom Auerswald auf ein Smartphone funktionierte nicht richtig ... Am Smartphone konnte man nichts hören.


Die VPN Verbindung wird immer für 1-2 Minuten erfolgreich aufgebaut nach einem neustart des Telefons.
Werde nun mal das Gerät neu starten und direkt einen Anruf auf das Smartphone versuchen in hoffnung das ich dann was höre.

Das kleine Problem mit den Verbindungsabbrüchen wird sich dann hoffentlich noch lösen lassen 
.....
Gerade mal versucht ... direkt nach dem Booten funktioniert ALLES JUHU
Lediglich nach ca. 1 - 3 Minuten erscheint o.g. Meldung.
Sollte ich das noch rausfinden werde ich es hier noch posten.... vielleicht kann es ja sonst noch jemand gebrauchen.

datluepptnet
Beiträge: 3
Registriert: Sa 10.11.2018, 17:38

Beitrag von datluepptnet »

Hallo !
Hier die Lösung meines Problems bzw. mal meine Client.cfg welche nun endlich funktioniert: 

Code: Alles auswählen

# Zertifikate 
ca ca.crt
cert client.crt
key client.key

# Client-Setup 
client 
dev tun
proto udp 
remote 192.192.192.192 1194 #Hostname und Port anpassen 
resolv-retry infinite 
nobind 
persist-key 
persist-tun 
route-metric 512 
#route 0.0.0.0 0.0.0.0 
comp-lzo 
verb 3 
Das eigentliche Problem lag einfach nur an route 0.0.0.0 0.0.0.0 von daher jetzt eine # davor zum auskommentieren
Das wird nur für Windows Clients benötigt.
Nachdem ich dies deaktiviert habe läuft alles bisher perfekt ....
Bereits seit 10 Minuten ohne Unterbrechung ....
Das Leben kann manchmal echt schön sein ;-)

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

zitsolution hat geschrieben:Hallo zusammen,

der Beitrag ist zwar schon eine weile her, aber vielleicht hat ja jemand noch dieses Problem mit einer Auerswaldanlage.
Lösung:
1. Die .ovp umbennen in .cfg 
2. Eine password.txt erstellen in der in der ersten Zeile der Benutzer und in der zweiten Zeile das Passwort steht.
2. in der umbenannten .cfg nun noch folgenden Eintrag einfügen auth-user-pass password.txt 
3. den Punkt auth-user-pass entfernen
4. die .cfg in das Telefon importieren 
2. die ca.pem, crt.pem und den key importieren
und schon wird er Tunnel aufgebaut.
Anbei eine Beispiel .cfg
client
dev tun
tun-mtu 1500
# fragment 1300
mssfix
proto udp
float
remote eure utm 1194
nobind
persist-key
persist-tun
ca beispiel_local_Roadworrior-ca.pem
cert beispiel_local_Roadworrior-cert.pem
key beispiel_local_Roadworrior-cert.key
verb 3
mute 20
#auth-nocache
auth-user-pass password.txt
route-method exe
route-delay 2
#http-proxy server_IP port
#http-proxy-retry
reneg-sec 0
#comp-lzo yes
#redirect-gateway

Gruß Klaus
Hi Klaus, 

funktioniert auch aktuell mit einem IP2600 und FW 11.8.7.2.

Aber der Beginn Deiner Aufzählung würde so dann passen (Nummerierung angepasst):
  1. Die .ovp umbennen in .cfg 
  2. Eine password.txt erstellen in der in der ersten Zeile der Benutzer und in der zweiten Zeile das Passwort steht.
  3. in der umbenannten .cfg nun noch folgenden Eintrag einfügen auth-user-pass password.txt 
  4. den Punkt auth-user-pass entfernen
  5. die .cfg in das Telefon importieren  
  6. die ca.pem, crt.pem und den key sowie die password.txt unter OpenVPN-Zertifikat importieren
Aktuell sieht die Konfig funktionierend (über 16 Minuten Telefonat wurde bereits getestet) bei mir so aus:

Code: Alles auswählen

client
remote-cert-eku "TLS Web Server Authentication"
dev tun
tun-mtu 1500
# fragment 1300
mssfix
proto udp
float
remote DEINEDOMAINODERWANIP 1195
nobind
persist-key
persist-tun
ca utm001_DUMMY_local_SSLVPN_Fon-ca.pem
cert utm001_DUMMY_local_SSLVPN_Fon-cert.pem
key utm001_DUMMY_local_SSLVPN_Fon-cert.key
verb 3
mute 20
#auth-nocache
auth-user-pass password.txt
route-method exe
route-delay 2
#http-proxy server_IP port
#http-proxy-retry
reneg-sec 0
#comp-lzo yes
#redirect-gateway
explicit-exit-notify
cipher AES-128-CBC
auth SHA256

Danke für Deine Mühe und die Hilfe hier im Forum.

Bleib(t) gesund,
Jan

Hoytron
Beiträge: 1
Registriert: Fr 20.03.2020, 16:40

Beitrag von Hoytron »

Hallo Zusammen,

ich stehe leider vor dem selben Problem. Ich kann mit einem COMfortel 2600IP keine Verbindung zu unserem OpenVPN server in der Firma aufbauen.
Das seltsame ist, dass auch keine OpenVPN log Datei einsehbar ist, um dem Fehler auf den Grund zu gehen.

Ich verwende folgende Client Config (openvpn.cfg):

Code: Alles auswählen

##############################################
# OpenVPN 2.0 config file                    #
# Firma GmbH - 03.2020                       #
# TK49                                       #
##############################################

#
#    Client mode
#
client
dev tun

# name of network adapter
dev-node /dev/tun

# define protocol to use tcp-client or udp
proto tcp-client

# define remote server and port
remote vpn.my-domain.de 443
auth-nocache

# Defaults
resolv-retry infinite
nobind
float
persist-key
persist-tun

# provide the path for your keys
ca ca.crt
cert TK49.crt
key TK49.key
tls-auth ta.key 1

# add this only if you provided a password at key generation
#auth-user-pass password.txt

# this settings musst set on server as well
cipher AES-256-CBC
auth SHA512
tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
;verify-x509-name vpn.-my-domain.de name
remote-cert-tls server

# compression and logging 
compress lz4
verb 4
Unterschiede zwinschen meiner Konfiguration und eurer:
- Tunnel via TCP und nicht udp (ich bin mir der Tasache bewusst und das ist Absicht)
- kein auth-user-pass
- cipher AES-256-CBC anstatt AESD-128-CBC

Für einen Hinweis bin ich sehr dankbar!

VG
Hoytron

Antworten