OPNsense Forum
International Forums => German - Deutsch => Topic started by: PhillU on June 22, 2019, 11:51:48 am
-
Hallo alle zusammen,
und zwar habe ich ein Problem mit dem Aufbauen einer openVPN Verbindung.
Ziel ist es später im Produktivbetrieb die opnSense zum Laufen zu bringen und bereite diese lokal vor.
Nun bin ich auf ein Problem gestoßen, was ich nicht so recht nachvollziehen kann und bisher keine der bekannten Lösungen
funktioniert hat.
Ich hatte auch relativ viel dazu gefunden vor allem zu beginn diesen Jahres.
Folgende Parameter vom System:
Hardware: Zotac ZBox Ci327
Netzwerk:
- WAN -> Ist im lokalen LAN bei mir (192.168.0.20) via DHCP
- LAN -> Hängt an einem separaten Switch (172.16.0.0/16)
Am WAN Port habe ich "Blockiere private Netze" Deaktiviert und auch das "Bogon-Netze" erstmal deaktiviert, damit das mit
den IP Adressen erstmal funktioniert. Wird dann später beim Einsatz wieder aktiviert, wenn sie dann direkt im Modem hängt.
Die Zeitzone ist auch korrekt auf Berlin eingestellt (+0200).
Nun habe ich mithilfe des Assistenten und auch direkt ohne Assistent mehrere male den openVPN Dienst konfiguriert.
- Tunnelnetzwerk: 172.17.0.0/16
- Lokales IPv4 Netzwerk; 172.16.0.0/16
- DH Parameterlänge: 4096
- Verschlüsselungsalgorithmus: AES-256-CBC
- Authentifizierungs-Digestalgorithmus: SHA512
- Zertifikatstiefe: 1 (Client + Server)
- IPv6 deaktivieren: checked
- Adresspool: checked
Bei den Zertifikaten habe ich alle selbst erstellt.
- 1 Austeller erstellt (4096, SHA512)
- 1 Zertifikat (4096, SHA512, Server Zeritifkat) -> Für den VPN Dienst
- 1 Zertifikat (4096, SHA512, Client Zeritifkat) -> Für den Benutzer Dienst
Nun zu den Firewall Regeln:
- WAN: IPv4 UDP * * WAN Adresse 1194 (OpenVPN) *
- openVPN: IPv4 * 172.17.0.0/16 * * * *
- LAN: IPv4 * LAN Netzwerk * * * * Default allow LAN to any rule
Wenn ich nun via Exporter für einen Benutzer das Format als Datei direkt exportiere und an einem anderen hinterlege,
und mich via normalen LAN auf die opnSense verbinden möchte, kommt der Fehler wie in der Überschrift.
Das komische hierbei ist, wenn ich während er versucht sich zu verbinden, in die Übersicht von dem
openVPN Dienst schaue, nach den aktiven Verbindungen, ist diese deutlich zu erkennen.
Eintrag:
Common Name Reale Adresse Virtuelle Adresse Verbunden seit Bytes gesendet Bytes Empfangen
UNDEF 192.168.0.146:63445 2019-06-22 11:44:50 458 bytes 258 bytes
Jedoch kommt trotzdem die Meldung.
Ich hatte dies vorhin mit direkt einer PfSense Installation genauso hinterlegt, und da kann sich der selbe Computer ohne
Probleme verbinden.
So nun noch wie sieht der obere Teil der openVPN Datei aus:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA512
client
resolv-retry infinite
remote 192.168.0.20 1194 udp
lport 0
auth-user-pass
<ca>
...
Ich hoffe es sind soweit alle nötigen Daten, um vielleicht etwas zu erkennen wo ich mich vertan haben könnte.
Grüße
Phill
-
kannst du mal die einstellung bei dem export des opnevpn clienst posten
-
Hallo. Kein Problem:
- Ferner Zugriffsserver: ** VPN:UDP:1194
- Export type : Nur Datei
- Hostname: 192.168.0.20
- Port: 1194
- Use random local port: checked
- Validate server subject: unchecked
- Windows Certificate System Store: unchecked
- Disable password save: unchecked
- Custom config: Leer
Und unten gibt es dann genau 1 Benutzer welcher Verlinkt ist auch mit dem passenden Zertifikat dahinter.
-
Hast du das ganze wirklich mal vom WAN der Kiste getestet oder immer nur vom LAN aus - was nicht sinnvoll ist, wenn du genau dort bist wo du dich per VPN eigentlich einwählen willst?
-
Guten Morgen,
ich habe dies bisher nicht von dem WAN Anschluss her testen können, da ich für einen "Test" den Firmenanschluss nicht
lahm legen kann.
Gibt es eine Möglichkeit diesen sozusagen zu "simulieren"? Hatte gehofft, dass es mit dem Aufbau der Struktur, wie ich oben beschrieben habe, soweit ein Test und vorab Einrichtung funktionieren könnte.
Grüße
Phill