OPNsense Forum
International Forums => German - Deutsch => Topic started by: firebl on April 01, 2020, 01:21:03 am
-
Guten Tag zusammen,
ich nutze Opnsense und baue per pppoe über einen Vigor165 eine DSL Verbindung auf. Von Unterwegs greife ich per OpenVPN und DDNS auf das Netzwerk zu. Seit dem Upgrade von 19.7 zu 20.7 bekomme ich von Ausserhalb nur noch TLS Fehler. Was genau hat sich durch das Upgrade verändert? Sind Einstellungen hinzu gekommen?
Ein Neuaufsetzen der Opnsense kommt aus Zeitgründen aktuell nicht in Frage, daher hoffe ich, das dieses Problem vlt auch so gelöst werden kann.
Viele Grüße
Johannes
-
Glaskugel gerade in Wartung, was für TLS Fehler im Detail bekommst du denn?
-
Es geht um 20.1.x, oder?
Grüsse
Franco
-
Korrekt es geht um 20.1
Das mit der Glaskugel ist korrekt. Ich hoffte darauf, dass es da eine bekannte Änderung o.Ä. beim Übergang zu dieser Version gibt.
Der Fehler aus Client sicht ist Error message: mbed TLS:SSL read error: X509 - Certificate verification failed. e.g. CRL, CA or signature check failed.
Bei den Clients habe ich bereits die VPN Verbindung gelöscht und mit einem neu herunter geladenen Client-Export-Verzeichnis wieder erstellt. Keine Besserung.
Hier scheint also eine Einstellung in der Opnsense verändert worden zu sein durch das Update.
€dit:
Die Windows OpenVPN-App zeigt an, dass das Zertifikat abgelaufen sei. Wie kann ich das erneuern?
-
So ein paar mehr Angaben wären nett.
Welches Zertifikat. Das Server oder das der CA?
-
Hallo,
ich habe das Problem selbst finden können :)
Es hatte garnichts mit dem Upgrade zu tun, der Zeitpunkt war Zufall.
Ich nutze eine interne CA für die TLS authentifizierung. Deren root Zertifikat ist ungefähr zum gleichen Zeitpunkt abgelaufen, da ich nur 365 Tage gewählt hatte. Daher wurde auch das Benutzer Zertifikat des OpenVPN Nutzers ungültig.
Nachdem ich kurzerhand die CA sowie den Benutzer neuerstellt habe, läuft der VPN jetzt wieder :)
Das Zertifikat des Web access ist auch abgelaufen, lässt sich dies irgendwie erneuern?
-
Das Zertifikat des Web access ist auch abgelaufen, lässt sich dies irgendwie erneuern?
Ja du kannst ein neues Zertifikat so wie du es für den VPN gemacht hast generien mit deiner bestehen CA. Und unter System -> Einstellungen -> Verwaltung
Punkt: SSL Zertifikat
kannst du das Zertifikat für die Webgui / Webserver setzen.