OPNsense Forum
International Forums => German - Deutsch => Topic started by: superwinni2 on January 20, 2020, 12:02:30 pm
-
Hallo zusammen
bräuchte mal eure Hilfe.. Irgendwo stehe ich auf dem Schlauch... kann leider nicht sehen wo...
Ich möchte 2 OPNsense via OpenVPN miteinander verbinden. (OPNsense1 <-> OPNsense2)
Habe ich bereits 2 mal im Einsatz aber bei der dritten scheitert es kläglich.. Warum ist nun die Frage...
Beide OPNsense laufen auf 19.7.9_1 habe es jedoch auch schon mit 19.7 und 19.7.9 probiert.. leider ohne Erfolg.
Habe zu aller erst ein Zertifikat "pwopnsense" erstellt. CA ist die OPNsense1 selbst.
Dann den VPN Server:
Server Mode: PtP (SSL/TLS)
Protocol: UDP
Device Mode: tun
TLS Authentication: gesetzt. Schlüssel automatisch generiert.
Peer CA: OPNsense-RootCA
Server Certificate: OPNsense-VPN-Server-Cert ( dieses Zert. benutze ich bei allen VPN Servern)
DH: 2048 bit
Encryptoion: AES-256-CBC
Auth: SHA512 (512-bit)
Certificate Depth: One
IPv4 Tunnel Network: 172.16.160.0/30
Disable IPv6: gesetzt
Dynamic IP: gesetzt
Address Pool: gesetzt
Hier noch der code wie er in der Console steht:
dev ovpns12
verb 1
dev-type tun
dev-node /dev/tun12
writepid /var/run/openvpn_server12.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local 6.7.8.9
tls-server
ifconfig 172.16.160.1 172.16.160.2
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'OPNsenseVPNServer' 1"
lport 7226
management /var/etc/openvpn/server12.sock unix
ca /var/etc/openvpn/server12.ca
cert /var/etc/openvpn/server12.cert
key /var/etc/openvpn/server12.key
dh /usr/local/etc/dh-parameters.2048.sample
crl-verify /var/etc/openvpn/server12.crl-verify
comp-lzo no
persist-remote-ip
float
Alles was ich nicht erwähnt habe ich Standard bzw. nicht gesetzt.
Habe dann entsprechend den Client Export gestartet. (Hostname und Port ist entsprechend auch korrekt.)
Ging ebenfalls ohne Probleme.
Diese Config dann via Texteditor geöffnet und in die OPNsense2 die CA und das "pwopnsense" Zertifikat mit dem Key hinzugefügt.
Als OpenVPNClient eingetippelt:
Server Mode: PtP (SSL/TLS
Remote server: ausgefüllt
TLS Authentication: gesetzt. Key von oben hinzugefügt.
Peer Certificate Authority: OPNsense-RootCA
Client Certificate: pwopnsense (das was ich oben hinzugefügt habe)
Encryptopn: AES-256-CBC
Auth: SHA512 (512-bit)
IPv4 Tunnel Network: 172.16.160.0/30
Hier der Code wie er im Client steht:
dev ovpnc1
verb 3
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
tls-client
client
nobind
management /var/etc/openvpn/client1.sock unix
remote vpn.guenthart.net 7226
ifconfig 172.16.160.2 172.16.160.1
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key
comp-lzo no
resolv-retry infinite
Auch hier gilt: Alle was nicht erwähnt, ist Standard bzw. nicht gesetzt.
So nun zu dem Fehler:
Wenn ich nun versuche den VPN Client starte, bekomme ich folgende Fehlermeldungen auf dem Server:
TLS: Initial packet from [AF_INET6]::ffff:1.2.3.4:47547, sid=e5580a97 a3ec3564
Authenticate/Decrypt packet error: packet HMAC authentication failed
TLS Error: incoming packet authentication failed from [AF_INET6]::ffff:1.2.3.4:47547
TLS: Initial packet from [AF_INET6]::ffff:1.2.3.4:47547, sid=e5580a97 a3ec3564
Authenticate/Decrypt packet error: packet HMAC authentication failed
TLS Error: incoming packet authentication failed from [AF_INET6]::ffff:1.2.3.4:47547
Laut internet steht überall, dass hier der "TLS Auth Key" nicht richtig ist. Ich habe ihn allerdings nun inzwischen 20 mal verglichen... er ist gleich.
Dann habe ich mir gedacht, ich deaktiviere die TLS Authentifikation.
Dann erhalte ich folgenden Fehler:
TLS: Initial packet from [AF_INET6]::ffff:1.2.3.4:33039, sid=5d8de41e 05841a4f
TLS Error: cannot locate HMAC in incoming packet from [AF_INET6]::ffff:1.2.3.4:33039
Ich verstehe irgendwie nicht wo genau das Problem liegt...
Ich hoffe mir kann jemand von euch helfen.
Danke und Gruß