Hallo liebe Gemeinde,
nachdem ich mein erstes Problem mit Svenjas Hilfe recht schnell beheben konnte, hoffe ich nun, dass ich mein zweites Problem, über dem ich schon seit Tagen brüte, mit Eurer Hilfe lösen kann.
Folgendes Szenario:
Im Büro steht eine UTM. Zu Hause ein BlackDwarf. Die UTM ist ein SSL-VPN-Server. Die Roadwarrior-Variante funktioniert soweit ohne Probleme. Nun soll der BlackDwarf als VPN-Client fungieren. Ich habe die Site-to-Site Einstellungen so vorgenommen, wie sie im WIKI beschrieben stehen. Laut der Statusmeldung funktioniert die Verbindung auch (die runden Icons sind grün und es steht jeweils "connected"). Nunja, Verbindung können aber nicht aufgebaut werden, Pings schlagen fehl.
Im Log der UTM sind grüne Pakete zu sehen:
S2S-VPN-Client/92.201.135.79:33723CRL CHECK OK: ...
Dann aber auch wieder zu Haufe sowas:
14.08.2018 17:25:35 openvpn-S2S-server MANAGEMENT: Client connected from /tmp/openvpn_management_86E1D58E.sock
14.08.2018 17:25:35 openvpn-S2S-server MANAGEMENT: CMD 'state'
14.08.2018 17:25:35 openvpn-S2S-server MANAGEMENT: Client disconnected
Im Log des Dwarfs ist nichts grünes zu erkennen.
Ich weiß nun nicht so recht, wo ich ansetzen soll. Ich habe ein wenig die Zertifikate im Verdacht. Auf dem Dwarf steht als Status unter dem importierten CA in rot "unable to get certificate crl" und auch in rot "key"; unter dem importierten Zertifikat in rot ebenfalls "unable to get certificate crl", dann aber in grün "key". Könnte es daran liegen? Rein vom Farbschema her müsste ja alles grün sein.
Vielen Dank für Eure Mühen
UTM und BlackDwarf S2S-Verbindung über SSL-VPN schlägt fehl
Moderator: Securepoint
Hallo,
diese Meldungen kann man ignorieren. Interessanter wäre es zu wissen ob eine der beiden Seiten die Pakete dropt.
Sind auf beiden Seiten die Routen gesetzt? Die Netzwerkobjekte beziehen sich auf die VPN Schnittstelle und auf das jeweilige Zielnetz? (Es darf nicht das Transfernetz sein).
Das mit den Zertifikaten ist korrekt. Die CA sollte nur den Private Key auf der Ersteller Seite haben. Sonst könnten die Clients auf dieses CA auch gültige Zertifikate erstellen und das ist in dem Falle nicht gewollt. Das die CRL angesprochen wird ist nicht relevant. Die CRL (Zertifikatsperrliste) wird hier nur auf der Aussteller Seite benötigt.
Gruß Björn
diese Meldungen kann man ignorieren. Interessanter wäre es zu wissen ob eine der beiden Seiten die Pakete dropt.
Sind auf beiden Seiten die Routen gesetzt? Die Netzwerkobjekte beziehen sich auf die VPN Schnittstelle und auf das jeweilige Zielnetz? (Es darf nicht das Transfernetz sein).
Das mit den Zertifikaten ist korrekt. Die CA sollte nur den Private Key auf der Ersteller Seite haben. Sonst könnten die Clients auf dieses CA auch gültige Zertifikate erstellen und das ist in dem Falle nicht gewollt. Das die CRL angesprochen wird ist nicht relevant. Die CRL (Zertifikatsperrliste) wird hier nur auf der Aussteller Seite benötigt.
Gruß Björn
Da ist der Sonntag ja gerettet... Es war natürlich das Transfernetz gewählt. Ich war auch der Meinung, dass dieses im Wiki so beschrieben stand. Nunja, Zielnetz eingegeben und es läuft! Vielen Dank!Bjoern hat geschrieben: Die Netzwerkobjekte beziehen sich auf die VPN Schnittstelle und auf das jeweilige Zielnetz? (Es darf nicht das Transfernetz sein).
Eine letzte Frage in dieser Angelegenheit: Ich möchte aus dem Netz der UTM auf das Admininterface der Blackdwarf zugreifen. Dazu habe ich im Dwarf eine Regel erstellt:
Quelle: s2svpn
Ziel: internal-interface
Dienst: Proxy (oder any)
Leider kommt nichts durch und im Log erscheinen Drops.
Zudem erscheinen im Log auch minütlich solche Einträge (192.168.175.x ist das Netz des Dwarfs): DROP: (DEFAULT DROP)192.168.175.1:54915 eth1 192.168.175.255:54915UDP
Gut, nun waren es zwei Fragen Ein schönen Sonntag noch!
So, nach einigem hin und her läuft nun auch die Verbindung vom UTM-Netz zum Interface des BlackDwarf:
Auf der UTM folgende Regel: internal-networt->s2svpn->administration
Auf der Dwarf: s2svpn->internal-interface->administration.
Bleiben nur noch die Einträge mit den Default Drops
Auf der UTM folgende Regel: internal-networt->s2svpn->administration
Auf der Dwarf: s2svpn->internal-interface->administration.
Bleiben nur noch die Einträge mit den Default Drops
Hallo,
ist noch was offen? Beim ersten Post wurde geschrieben:
ist noch was offen? Beim ersten Post wurde geschrieben:
Danach kam:Da ist der Sonntag ja gerettet... [img=15x17]images/smilies/icon_e_wink.gif[/img] Es war natürlich das Transfernetz gewählt. Ich war auch der Meinung, dass dieses im Wiki so beschrieben stand. Nunja, Zielnetz eingegeben und es läuft! Vielen Dank!
Gruß BjörnSo, nach einigem hin und her läuft nun auch die Verbindung vom UTM-Netz zum Interface des BlackDwarf:
Auf der UTM folgende Regel: internal-networt->s2svpn->administration
Auf der Dwarf: s2svpn->internal-interface->administration.
Bleiben nur noch die Einträge mit den Default Drops