Messages

Wozu brauche ich bei presharedkey ein Zertifikat? Der User mit dem ich testen will hat ein Zertifikat


Gesendet von iPhone mit Tapatalk Pro

Upppsss...
Hab übersehen, dass es für Pre-Shared-Key eingerichtet ist.
Ich schaue heute oder morgen mal, wie es bei mir ist. Habe testweise bei mir vor längerer Zeit testweise ein OpenVPN Server für Standortvernetzung eingerichtet.


Was hast du denn am Ende damit vor?

Danke dir :)

Werde das heute Abend oder in den nächsten Tagen ausprobieren.

Hi,

dir fehlt ein Client Zertifikat, wenn du ein erstellt hast siehst du es auf deinem Letzten Bild unten zum Download.

In dieser Anleitung steht das ganz gut Beschrieben.
https://scarymachines.de/openvpn-server-mit-opnsense/

Beste Grüße

[[UPDATE]]

Hi :) ,

ich habe mich jetzt doch dazu entschieden einen Transparenten HTTP und HTTPS Proxy zu verwenden.
Dieser funktioniert auch gut, bis auf das keine Windows Updates mehr möglich sind.

Ich habe bereits flgende Domains so in die "Nicht abzufangende SSL-Seiten" eingetragen:

    windowsupdate.microsoft.com
    .windowsupdate.microsoft.com
    .windowsupdate.microsoft.com
    .update.microsoft.com
    .update.microsoft.com
    .windowsupdate.com
    download.windowsupdate.com
    download.microsoft.com
    .download.windowsupdate.com
    test.stats.update.microsoft.com
    ntservicepack.microsoft.com

Leider ohne Erfolg. Beim Update kommt weiterhin der Fehler  "(0x801901f7)".

Hat jemand eine Idee?

Danke euch :)


[UPDATE]

Im Cache Protokoll vom Proxy kommt beim Update Versuch folgende Meldung öfters.

Code Select Expand

2019/03/06 13:32:11 kid1| Error negotiating SSL on FD 15: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)

Solution

https://forum.opnsense.org/index.php?topic=11904.msg54173#msg54173

danke:)

habe jetzt erstmal das Web Interface auf http umgestellt, damit läuft es.

Bin jetzt gerade dabei, dass auch Android Geräte die wpad.dat nutzen.

Aber makiere das hier erstmal als gelöst :)

Hello,

My Clients can't get the wpad.dat over http just over https
Where and how can i change that?

Thank you

Greetings :)

Hi,

meines Wissen solltest du das nicht so schalten, da du damit den TOTP aushebelst, weil die LocalDatabase Nutzer sich dann ja auch per WebUI anmelden können.

Stelle es lieber nur auf TOTP und aktiviere den Haken "Deaktiviere integrierte Authentifizierung", dadurch kannst du dich dann nur noch per SSH mit root anmelden.

Wichtig:
Du braucht vorher einen anderen Admin Nutzer mit TOTP Login

Beste Grüße

Nimm doch nen let's Encrypt certificate auf deiner Firewall.

Danke dir :)
gibts dazu vielleicht eine einfach zu verstehende Anleitung?

Außerdem hängt die FW "intern" hinter einem anderen Router und hat somit nichts kein öffentlichen Namen worauf ich das Zertifikat austellen könnte. Oder irre ich mich Total?  :D

Hallo zusammen,

ich bin gerade dabei den WebProxy so einzurichten, dass dieser per WPAD verteilt wird.
Dies funktioniert auch zum Teil. Wenn ich einen Browser nutze, welcher dem Zertifikat der OPNsense vertraut, kann dieser sich die Wpad Datei problemlos holen und damit arbeiten.

Ich kann nur im fertigen System nicht jeden Client sagen, dass er dem Zertifikat vertrauen soll.

Gibt es eine möglichkeit, dass die Wpad Datei auch per http abrufbar ist?
Wenn ich im Internet Explorer "http://ipderFirewall/wpad.dat" eingebe, werde ich wieder auf "https://ipderFirewall/wpad.dat" geleitet, und habe dann wieder das Zertifikatsproblem.

Vielleicht hatte hier ja jemand schon ein ähnliches Problem

Beste Grüße  :)

[UPDATE:]

Hi,

entweder hab ichs übersehen oder es steht da echt nicht :)
Welche IP's haben denn die Clients, wenn diese Verbunden sind?

Ein Standard Gateway sollte eigentlich bei der VPN config mitgegeben werden (falls es gebraucht wird)

Funktioniert es denn, wenn du eine IP aus dem Netz der OPNsense aufrufst?

Beste Grüße :)


UPDATE:
Vielleicht hilft dir dieser Thread weiter
https://forum.opnsense.org/index.php?topic=11722.0

Hi,

ich hatte letztens das selbe Problem, habe den Verschlüsselungsalg. auf beiden Seiten verändert, gespeichert und danach wieder zurückgesetzt.

Nach der Vorgehensweise ging es wieder.

Vielleicht klappts ja bei dir auch :)

> Damit das aber einfach wartbar bleibt würde ich gerne die FritzBox behalten.

Das was du oben möchtest, funktioniert aber mit keiner FritzBox ;)[/pre]

Mit eventueller Portweiterleitung, für VPN, in der FritzBox könnte man es eventuell doch hintereinander Nutzen.

Mit einem anderen Router und OpnSense (für Übergangszwecke) läuft es bei mir.

Zusatzinfo:

In Kombination mit dem Postfix Plugin (welches manuell umkonfiguriert werden muss) ergibt sich daraus ein ein Spam Filter, welcher die Mails nicht ablehnt, sondern umleitet.

Beispiel:
-Eine Mail mit .exe Anhang kommt rein
-Rspamd erkennt den Anhang und setzt am Anfang des Betreffs ein "SPAM" davor
-Postfix lehnt diese Mail nicht ab, sondern Leitet alle Mails mit "SPAM" am Anfang des Betreffs auch eine andere Mail-Adresse

Vielleicht sucht ja jemand genau so etwas :)

Hi,

laut diesem Thread
https://github.com/opnsense/update/issues/38
hilft anscheinend nur eine frische Installation mit wiederherstellen der Konfiguration.

Hoffe das Hilft dir weiter

beste Grüße :)