Open VPN Verbindungs Problem
Moderator: Securepoint
Open VPN Verbindungs Problem
Hallo
zuerst wollte ich mich mal für die super Unterstützung die man
hier im Forum bekommt bedanken...
Ich habe dennoch einige Anlaufschwierigkeiten mit der neuen und
vor allem ungewohnten Hardware.. Habe mich dann mit folgendem
howto
http://wiki.securepoint.de/index.php/Op ... rtifikaten
das man mir hier im forum gepostet hat gut zurecht finden können..
Nun habe ich nach der Einrichtung einer Open VPN laut obiger anleitung
versucht eine Verbindung aufzubauen, leider scheiterte der Versuch mit folgendem
Fehler ( laut log des OpenVPN Client )
Thu Dec 08 21:25:08 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Dec 08 21:25:08 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Nun habe ich vestgestellt das man laut Howto beim erstellen von den Zertifikaten
ja beim Server Zertifikat einen Hacken bei Server Authetifizierung setzen soll, das habe ich auch getan nur wenn ich speichere und das Zertifikat wieder editieren
möchte ist der Hacken jedesmal entfernt?????
Könnte das Problem daher kommen ?? oder sonstige Vorschläge
Vielen Dank für die Hilfe
zuerst wollte ich mich mal für die super Unterstützung die man
hier im Forum bekommt bedanken...
Ich habe dennoch einige Anlaufschwierigkeiten mit der neuen und
vor allem ungewohnten Hardware.. Habe mich dann mit folgendem
howto
http://wiki.securepoint.de/index.php/Op ... rtifikaten
das man mir hier im forum gepostet hat gut zurecht finden können..
Nun habe ich nach der Einrichtung einer Open VPN laut obiger anleitung
versucht eine Verbindung aufzubauen, leider scheiterte der Versuch mit folgendem
Fehler ( laut log des OpenVPN Client )
Thu Dec 08 21:25:08 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Dec 08 21:25:08 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Nun habe ich vestgestellt das man laut Howto beim erstellen von den Zertifikaten
ja beim Server Zertifikat einen Hacken bei Server Authetifizierung setzen soll, das habe ich auch getan nur wenn ich speichere und das Zertifikat wieder editieren
möchte ist der Hacken jedesmal entfernt?????
Könnte das Problem daher kommen ?? oder sonstige Vorschläge
Vielen Dank für die Hilfe
Hallo....
also wenn du Speicherst ist der Haken deswegen wieder draußen weil das dann quasi schon das Fenster für das nächste Zertifikat ist, nicht weil er es nicht speichert. Außerdem musst du unter SSL VPN das Server Zertifikat auswählen was du angelegt hast ...
Mfg
also wenn du Speicherst ist der Haken deswegen wieder draußen weil das dann quasi schon das Fenster für das nächste Zertifikat ist, nicht weil er es nicht speichert. Außerdem musst du unter SSL VPN das Server Zertifikat auswählen was du angelegt hast ...
Mfg
Danke
Das habe ich mir auch gedacht. Also ich erstelle 2 Zertifikate 1 für Server 1 für den User soweit so gut.
Ich habe ja dann über den Werkzeugschlüssel Button die möglichkeit das Zertifikat zu editieren.. und siehe
da ist beim Server Zertifikat kein Haken bei Server Authetifiziehrung???
hast du eine Lösung?
mfg
Das habe ich mir auch gedacht. Also ich erstelle 2 Zertifikate 1 für Server 1 für den User soweit so gut.
Ich habe ja dann über den Werkzeugschlüssel Button die möglichkeit das Zertifikat zu editieren.. und siehe
da ist beim Server Zertifikat kein Haken bei Server Authetifiziehrung???
hast du eine Lösung?
mfg
Ob der Haken gesetzt ist oder nicht, wird im Webinterface beim Editieren des Zertifikats nicht angezeigt. Die "Fehler"-Meldungen oben sind nur Warnungen, die sie getrost ignorieren können.
Posten Sie doch bitte einmal das komplette Log der Firewall bzw des Clients. Sie können das auch per Email an support@securepoint.de schicken.
Posten Sie doch bitte einmal das komplette Log der Firewall bzw des Clients. Sie können das auch per Email an support@securepoint.de schicken.
Hallo
vielen dank bei der hilfe, hat bestens geklappt
nur eine kleine Frage noch bin nicht so der experte im VPN Bereich
wie muss ich nach erfolgreicher VPN verbindung nun die Appliance
konfigurieren damit ich aif die verschiedenen Freigaben von den anderen Rechnern
im Netz zugreifen kann???
vielen dank bei der hilfe, hat bestens geklappt
nur eine kleine Frage noch bin nicht so der experte im VPN Bereich
wie muss ich nach erfolgreicher VPN verbindung nun die Appliance
konfigurieren damit ich aif die verschiedenen Freigaben von den anderen Rechnern
im Netz zugreifen kann???
Auf welche Rechner können Sie nicht zugreifen? Auf die im internen Netz des Clients oder auf die hinter dem VPN-Tunnel?
Wenn Ersteres haben Sie vermutlich eine Default-Route in den Tunnel gesetzt. Das geschieht gerne, wenn eine Regel à la "openvpn -> internet -> any" oder "openvpn -> internal interface -> any" gebaut wird.
Können Sie hingegen keine Clients im entfernten Netz erreichen, fehlen Ihnen vermutlich die Firewall-Regeln dafür. Dann müssen Sie einfach welche unter Firewall -> Portfilter anlegen:
openvpn -> internal network -> any -> ACCEPT
Wenn Ersteres haben Sie vermutlich eine Default-Route in den Tunnel gesetzt. Das geschieht gerne, wenn eine Regel à la "openvpn -> internet -> any" oder "openvpn -> internal interface -> any" gebaut wird.
Können Sie hingegen keine Clients im entfernten Netz erreichen, fehlen Ihnen vermutlich die Firewall-Regeln dafür. Dann müssen Sie einfach welche unter Firewall -> Portfilter anlegen:
openvpn -> internal network -> any -> ACCEPT
Danke
ich soll eigentlich von zu hause mit dem Laptop ins Firmennetz
die Verbindung bekomme ja mittlerweile hin (dank Hilfe)
Ich habe laut dem Howto eine Netzwerkgruppe erstellt und dieser Gruppe
dann ein Netzwerk Objekt mit der Zone Open VPN hinzugefügt...
in der FW habe ich dann folgende Regel ....
die besagte Gruppe -> internal Network -> any -> ACCEPT
Sollte das nicht reichen?
ich soll eigentlich von zu hause mit dem Laptop ins Firmennetz
die Verbindung bekomme ja mittlerweile hin (dank Hilfe)
Ich habe laut dem Howto eine Netzwerkgruppe erstellt und dieser Gruppe
dann ein Netzwerk Objekt mit der Zone Open VPN hinzugefügt...
in der FW habe ich dann folgende Regel ....
die besagte Gruppe -> internal Network -> any -> ACCEPT
Sollte das nicht reichen?
Aktivieren Sie für diese Regel bitte das Logging, starten den OpenVPN-Server neu, starten den Tunnel und pingen dann einen Host hinter der Firewall. Sehen Sie im Live-Log der Appliance verworfene oder akzeptierte Pakete?
Mich würde btw immer noch das komplette Log eines Verbindungsaufbaus interessieren (sowohl vom Client, als auch von der Firewall)
Mich würde btw immer noch das komplette Log eines Verbindungsaufbaus interessieren (sowohl vom Client, als auch von der Firewall)
OK ich gehe davon aus, dass Sie das Logging wie oben beschrieben aktiviert haben und dann in den Tunnel gepingt haben. Da im Log der Firewall allerdings nichts zu sehen ist (weder ein verworfenes noch ein akzeptiertes Paket) gehe ich davon aus, dass Ihr Client das garnicht erst in den Tunnel schickt.
Blöde Frage: Welche IP hat Ihr Client in dessen lokalen Netz? Ich hoffe nichts im Subnetz 192.168.175.0/24.
Dann könnten noch AV-Produkte und/oder Personal Firewalls verhindern, dass Pakete an den Tunnel weitergereicht werden.
Blöde Frage: Welche IP hat Ihr Client in dessen lokalen Netz? Ich hoffe nichts im Subnetz 192.168.175.0/24.
Dann könnten noch AV-Produkte und/oder Personal Firewalls verhindern, dass Pakete an den Tunnel weitergereicht werden.
Zum einen könnten Sie auf dem Router vor Ihrem Client die Pakete mitschneiden. Das geht auch mit Wireshark direkt auf Ihrem Rechner (wenn die Pakete dann an die MAC ihres Routes gesendet werden, gehts nicht in den Tunnel).
Zum Finden des Problems könnte es auch helfen besagte AV/Firewall-Produkte temporär zu deaktivieren.
Zum Finden des Problems könnte es auch helfen besagte AV/Firewall-Produkte temporär zu deaktivieren.
Das ganze klappt jetzt einwandfrei, war mein Fehler....
Hatte da es sich um ein Linux Fileserver handelt vergessen die Hosts
anzupassen und folglich konnte er den Namen nicht auflösen
und ich war zu bl...d es einfach per IP zu versuchen..
Vielen Dank für deine Hilfe
Hatte da es sich um ein Linux Fileserver handelt vergessen die Hosts
anzupassen und folglich konnte er den Namen nicht auflösen
und ich war zu bl...d es einfach per IP zu versuchen..
Vielen Dank für deine Hilfe