Prost Mahlzeit! :?
Nachdem ich heute unsere Appliance von einer 2007NX endlich auf eine 10.3.1 hochgestuft habe funktioniert unser OpenVPN nicht mehr!
Die alten Einstellungen habe ich normal mit einem re-import übernommen und angeglichen, selbst da verbesserte Mail-Handling funktionierte nach einer halben Stunde Forschung wieder fehlerfrei.
Tja, nur das OpenVPN / SSL-VPN will nicht mehr...
nach einer Minute erfolglosem Probieren beendet der Client (auf Ubuntu 10.04), das Server-Log spricht von einer: TLS Negociation Error
Achja, und zu allem Überfluss funtioniert die Web-Configoberfläche nicht:
Ein Aufruf von https://UnsereFirewall:11115/ zeigt zwar das Loginfenster, der Adminlogin wird auch angenommen, aber beim Laden der Netzwerk-Objekte geht nichts mehr... :-(
Weiß jemand Rat?
Danke schon mal, ich bekomme langsam graue Haare...
E.Kelm
OpenVPN funktioniert nach Upgrade von 2007NX auf 10.3.1 nicht mehr!
Moderator: Securepoint
OpenVPN funktioniert nach Upgrade von 2007NX auf 10.3.1 nicht mehr!
Understanding is a three edged sword.
Auf der Konsole ausführen hilft schonmal gegen das Login-Problem.
Das openVPN-Thema müsste man dann weiter erforschen. (Kommen an der FW überhaupt Pakete an? Läuft der openVPN-Dienst der Firewall? Was sagt das Log?)
Code: Alles auswählen
config convertDas openVPN-Thema müsste man dann weiter erforschen. (Kommen an der FW überhaupt Pakete an? Läuft der openVPN-Dienst der Firewall? Was sagt das Log?)
Danke schonmal für den Hinweis für die WebGUI, das klappt schon mal :-)
Ich habe auch schon weitergeforscht:
Ein beispielhafter Logausschnitt ist hier
Nach dem letzten Logeintrag des OpenVPN-Servers passiert nicht mehr, außer, dass noch eingehende Pakete auf er externen Schnittstelle registiert werden...
Das heisst für mich, dass die TLS-Pakete zwar eingehen, dann aber irgendwas nicht funktioniert...
Der Login hatte bislang immer mit einer solchen OpenVPN-Clientconfig funktioniert:
Danke für die Mühe!
E. Kelm
Ich habe auch schon weitergeforscht:
Ein beispielhafter Logausschnitt ist hier
Code: Alles auswählen
Oct 25 12:54:01 FireWall openvpn[26525]: FireWall.local MULTI: multi_create_instance called
Oct 25 12:54:01 FireWall openvpn[26525]: FireWall.local remote.host.ip:48549 Re-using SSL/TLS context
Oct 25 12:54:01 FireWall openvpn[26525]: FireWall.local remote.host.ip:48549 LZO compression initialized
Oct 25 12:54:01 FireWall openvpn[26525]: FireWall.local remote.host.ip:48549 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Oct 25 12:54:01 FireWall openvpn[26525]: FireWall.local remote.host.ip:48549 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Oct 25 12:54:01 FireWall openvpn[26525]: FireWall.local remote.host.ip:48549 Local Options hash (VER=V4): '530fdded'
Oct 25 12:54:01 FireWall openvpn[26525]: FireWall.local remote.host.ip:48549 Expected Remote Options hash (VER=V4): '41690919'
Oct 25 12:54:01 FireWall openvpn[26525]: FireWall.local remote.host.ip:48549 TLS: Initial packet from remote.host.ip:48549, sid=7302307d c70c96d4
Das heisst für mich, dass die TLS-Pakete zwar eingehen, dann aber irgendwas nicht funktioniert...
Der Login hatte bislang immer mit einer solchen OpenVPN-Clientconfig funktioniert:
Code: Alles auswählen
# Beispielconfig OpenVPN 2.0.9 und 2.1.0
tls-client
client
dev tun
tun-mtu 1500
mssfix
proto udp
#float
remote our.externeal.ip 1194
nobind
persist-key
persist-tun
ca CA_Certificate.pem
cert ovClient_Usercert.pem
key ovClient_usercert.pem
ns-cert-type server
comp-lzo
verb 1
mute 20
auth-nocache
auth-user-pass
E. Kelm
Zuletzt geändert von rkkh-ffm am Mo 25.10.2010, 13:18, insgesamt 1-mal geändert.
Understanding is a three edged sword.
Sagt das Client log nur "Remote IP..." und dann wieder "TLS handshake failed to occur..." oder kommt da noch mehr?
Ansonsten ist es immer eine gute Idee, die LZO-Compression zu deaktivieren
Auf der Firewall machen Sie das unter VPN -> SSL-VPN, auf dem Client löschen Sie die Zeile
Ansonsten ist es immer eine gute Idee, die LZO-Compression zu deaktivieren
Auf der Firewall machen Sie das unter VPN -> SSL-VPN, auf dem Client löschen Sie die Zeile
Code: Alles auswählen
comp-lzoHallo, ich hab die Sachen jetzt (fast) gelöst.
Noch mal kurz:
Der Logausschnitt ist vom Logserver auf den unserer SP loggt.
nach dem letzten Eintag kam 60 Sek. nichts mehr, dann
Das Abschalten der lzo-compression hatte auch keine Wirkung, ABER:
Das eigentliche Problem konnt ich nun wie folgt eingrenzen:
Unsere SecurePoint Firewall (kurz SP genannt) hat mehrere IP-Adressen auf dem externen Interface, nennen wir sie mal das Netz 192.0.0.128/27
Die primäre IP auf dem externen Interface ist die 192.0.0.157, der OpenVPN-Server lief bis zum Upgrade klaglos auf der sekundären IP 192.0.0.158 (auch mit lzo-cmp
).
(Diese Information hatt ich bislang unterschlagen... :oops: )
Ein (immer noch) funktionierender PPTP-Dienst läuft auf 192.0.0.130, aber dazu später mehr...
Der OpenVPN-Dienst ist aber an ALLE Interfaces gebunden, eine testweiser Zugriff vom internen Netz hatte gestern auch auf anhieb geklappt!
Ich habe jetzt in meiner Verzweifelung habe ich heute morgen auch die primäre externe IP-Adresse für OpenVPN-Zugriff freigegeben und: HOPPLA, es geht.
Aber eben nur auf der primären!
(Ein ähnliches Problem hatte ich vor einiger Zeit mit dem PPTP-Dienst, dere sich abern nicht[/] an die primäre Adresse binden lassen wollte!)
Soweit, so gut, aber wie schaffe ich es jetzt, den OpenVPN-Dienst an die gewünschte sekundäre IP zu binden, dass der Dienst auch funktioniert? (Ändern der primären IP ist keine Option
)
Danke schonmal!
E. Kelm
Noch mal kurz:
Der Logausschnitt ist vom Logserver auf den unserer SP loggt.
nach dem letzten Eintag kam 60 Sek. nichts mehr, dann
Code: Alles auswählen
Oct 25 11:55:07 Firewall openvpn[26525]: Firewall.local remote.host.ip:48359 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 25 11:55:07 Firewall openvpn[26525]: Firewall.local remote.host.ip:48359 TLS Error: TLS handshake failed
Oct 25 11:55:07 Firewall openvpn[26525]: Firewall.local remote.host.ip:48359 SIGUSR1[soft,tls-error] received, client-instance restarting
Das eigentliche Problem konnt ich nun wie folgt eingrenzen:
Unsere SecurePoint Firewall (kurz SP genannt) hat mehrere IP-Adressen auf dem externen Interface, nennen wir sie mal das Netz 192.0.0.128/27
Die primäre IP auf dem externen Interface ist die 192.0.0.157, der OpenVPN-Server lief bis zum Upgrade klaglos auf der sekundären IP 192.0.0.158 (auch mit lzo-cmp
).(Diese Information hatt ich bislang unterschlagen... :oops: )
Ein (immer noch) funktionierender PPTP-Dienst läuft auf 192.0.0.130, aber dazu später mehr...
Der OpenVPN-Dienst ist aber an ALLE Interfaces gebunden, eine testweiser Zugriff vom internen Netz hatte gestern auch auf anhieb geklappt!
Ich habe jetzt in meiner Verzweifelung habe ich heute morgen auch die primäre externe IP-Adresse für OpenVPN-Zugriff freigegeben und: HOPPLA, es geht.
Aber eben nur auf der primären!
(Ein ähnliches Problem hatte ich vor einiger Zeit mit dem PPTP-Dienst, dere sich abern nicht[/] an die primäre Adresse binden lassen wollte!)
Soweit, so gut, aber wie schaffe ich es jetzt, den OpenVPN-Dienst an die gewünschte sekundäre IP zu binden, dass der Dienst auch funktioniert? (Ändern der primären IP ist keine Option
)Danke schonmal!
E. Kelm
Understanding is a three edged sword.
Hallo,
Sie haben 2 Möglichkeiten:
Sie Setzen die Parameter "Binden an Interface" in der GUI auf all und fügen am Ende des Templates "/etc/openvpn.conf" den folgenden Eintrag:
local "Sekundäre-IP"
ein. Oder Sie fügen am Ende den Parameter "multihome" ein.
Sie haben 2 Möglichkeiten:
Sie Setzen die Parameter "Binden an Interface" in der GUI auf all und fügen am Ende des Templates "/etc/openvpn.conf" den folgenden Eintrag:
local "Sekundäre-IP"
ein. Oder Sie fügen am Ende den Parameter "multihome" ein.
There are 10 types of people in the world... those who understand binary and those who don\'t.
Hallo!
E. Kelm
Funktioniert perfekt! Vielen Dank!carsten hat geschrieben: ...
Sie Setzen die Parameter "Binden an Interface" in der GUI auf all und fügen am Ende des Templates "/etc/openvpn.conf" den folgenden Eintrag:
local "Sekundäre-IP"
ein. ...
E. Kelm
Understanding is a three edged sword.
Noch ein Nachtrag,
wenn Sie die ID des Templates (erste Zeile) nicht ändern, kann es passieren, dass das Template beim Update überschrieben wird.
wenn Sie die ID des Templates (erste Zeile) nicht ändern, kann es passieren, dass das Template beim Update überschrieben wird.
There are 10 types of people in the world... those who understand binary and those who don\'t.
Mahlzeit! :-)
Da das Update aber recht schnell nach der Upgradeinstallation kam, konnte ich mich erinnern...
Nichts desto trotz: besten Dank für die Info!
E.Kelm
Ja, hab ich auch schon gemerkt!carsten hat geschrieben: Noch ein Nachtrag,
wenn Sie die ID des Templates (erste Zeile) nicht ändern, kann es passieren, dass das Template beim Update überschrieben wird.
Da das Update aber recht schnell nach der Upgradeinstallation kam, konnte ich mich erinnern...
Nichts desto trotz: besten Dank für die Info!
E.Kelm
Zuletzt geändert von rkkh-ffm am Di 09.11.2010, 15:40, insgesamt 1-mal geändert.
Understanding is a three edged sword.