Open VPN Verbindungs Problem

Moderator: Securepoint

Gesperrt
beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Open VPN Verbindungs Problem

Beitrag von beckett »

Hallo

zuerst wollte ich mich mal für die super Unterstützung die man
hier im Forum bekommt bedanken... :) :) :) :)

Ich habe dennoch einige Anlaufschwierigkeiten mit der neuen und
vor allem ungewohnten Hardware.. Habe mich dann mit folgendem
howto
http://wiki.securepoint.de/index.php/Op ... rtifikaten
das man mir hier im forum gepostet hat gut zurecht finden können..


Nun habe ich nach der Einrichtung einer Open VPN laut obiger anleitung
versucht eine Verbindung aufzubauen, leider scheiterte der Versuch mit folgendem
Fehler ( laut log des OpenVPN Client )

Thu Dec 08 21:25:08 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Dec 08 21:25:08 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Nun habe ich vestgestellt das man laut Howto beim erstellen von den Zertifikaten
ja beim Server Zertifikat einen Hacken bei Server Authetifizierung setzen soll, das habe ich auch getan nur wenn ich speichere und das Zertifikat wieder editieren
möchte ist der Hacken jedesmal entfernt?????

Könnte das Problem daher kommen ?? oder sonstige Vorschläge



Vielen Dank für die Hilfe

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

Hallo....
also wenn du Speicherst ist der Haken deswegen wieder draußen weil das dann quasi schon das Fenster für das nächste Zertifikat ist, nicht weil er es nicht speichert. Außerdem musst du unter SSL VPN das Server Zertifikat auswählen was du angelegt hast ...

Mfg

beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Beitrag von beckett »

Danke

Das habe ich mir auch gedacht. Also ich erstelle 2 Zertifikate 1 für Server 1 für den User soweit so gut.
Ich habe ja dann über den Werkzeugschlüssel Button die möglichkeit das Zertifikat zu editieren.. und siehe
da ist beim Server Zertifikat kein Haken bei Server Authetifiziehrung???

hast du eine Lösung?

mfg

beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Beitrag von beckett »

Hat sonst vieleicht jemand noch ne Ahnung???

Danke

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ob der Haken gesetzt ist oder nicht, wird im Webinterface beim Editieren des Zertifikats nicht angezeigt. Die "Fehler"-Meldungen oben sind nur Warnungen, die sie getrost ignorieren können.
Posten Sie doch bitte einmal das komplette Log der Firewall bzw des Clients. Sie können das auch per Email an support@securepoint.de schicken.

beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Beitrag von beckett »

Hallo

vielen dank bei der hilfe, hat bestens geklappt
nur eine kleine Frage noch bin nicht so der experte im VPN Bereich
wie muss ich nach erfolgreicher VPN verbindung nun die Appliance
konfigurieren damit ich aif die verschiedenen Freigaben von den anderen Rechnern
im Netz zugreifen kann???

beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Beitrag von beckett »

Ich habe auch noch festgstellt das ich nach der verbindung
via VPN die anderen rechner die alle samt verkabelt an netz hÄngen
weder sehen noch Pingen kann???

so langsam bin ich mit der neuen Hardware am verzweifeln.... :| :| :| :| :|

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Auf welche Rechner können Sie nicht zugreifen? Auf die im internen Netz des Clients oder auf die hinter dem VPN-Tunnel?
Wenn Ersteres haben Sie vermutlich eine Default-Route in den Tunnel gesetzt. Das geschieht gerne, wenn eine Regel à la "openvpn -> internet -> any" oder "openvpn -> internal interface -> any" gebaut wird.

Können Sie hingegen keine Clients im entfernten Netz erreichen, fehlen Ihnen vermutlich die Firewall-Regeln dafür. Dann müssen Sie einfach welche unter Firewall -> Portfilter anlegen:
openvpn -> internal network -> any -> ACCEPT

beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Beitrag von beckett »

Danke

ich soll eigentlich von zu hause mit dem Laptop ins Firmennetz
die Verbindung bekomme ja mittlerweile hin (dank Hilfe) :) :) :)

Ich habe laut dem Howto eine Netzwerkgruppe erstellt und dieser Gruppe
dann ein Netzwerk Objekt mit der Zone Open VPN hinzugefügt...

in der FW habe ich dann folgende Regel ....
die besagte Gruppe -> internal Network -> any -> ACCEPT

Sollte das nicht reichen?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Aktivieren Sie für diese Regel bitte das Logging, starten den OpenVPN-Server neu, starten den Tunnel und pingen dann einen Host hinter der Firewall. Sehen Sie im Live-Log der Appliance verworfene oder akzeptierte Pakete?
Mich würde btw immer noch das komplette Log eines Verbindungsaufbaus interessieren (sowohl vom Client, als auch von der Firewall)

beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Beitrag von beckett »

Hallo


ich habe alles so ausgeführt und die logs an support@securepoint.de gesendet.


danke ;) ;)

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

OK ich gehe davon aus, dass Sie das Logging wie oben beschrieben aktiviert haben und dann in den Tunnel gepingt haben. Da im Log der Firewall allerdings nichts zu sehen ist (weder ein verworfenes noch ein akzeptiertes Paket) gehe ich davon aus, dass Ihr Client das garnicht erst in den Tunnel schickt.
Blöde Frage: Welche IP hat Ihr Client in dessen lokalen Netz? Ich hoffe nichts im Subnetz 192.168.175.0/24.

Dann könnten noch AV-Produkte und/oder Personal Firewalls verhindern, dass Pakete an den Tunnel weitergereicht werden.

beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Beitrag von beckett »

Nein es ist nichts in dem Bereich, hier die IP: 192.168.45.12

wie kann ich fest stellen ob ich in den Tunnel oder dran vorbei Pinge

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Zum einen könnten Sie auf dem Router vor Ihrem Client die Pakete mitschneiden. Das geht auch mit Wireshark direkt auf Ihrem Rechner (wenn die Pakete dann an die MAC ihres Routes gesendet werden, gehts nicht in den Tunnel).
Zum Finden des Problems könnte es auch helfen besagte AV/Firewall-Produkte temporär zu deaktivieren.

beckett
Beiträge: 33
Registriert: Mo 05.12.2011, 11:40

Beitrag von beckett »

Das ganze klappt jetzt einwandfrei, war mein Fehler....

Hatte da es sich um ein Linux Fileserver handelt vergessen die Hosts
anzupassen und folglich konnte er den Namen nicht auflösen

und ich war zu bl...d es einfach per IP zu versuchen.. :evil:
:evil:

Vielen Dank für deine Hilfe

Gesperrt