Messages

1

Virtual private networks / Re: OpenVPN S2S - Routing Problem?

« on: May 21, 2023, 10:54:04 pm »

Except the automatically generated rules, there are 2 rules:


       Protocol   Source   Port   Destination   Port   Gateway   Schedule   Description    
                                                                                                                           Automatically generated rules   
        IPv4 *   LAN net   *   *   *   *   *                                       Default allow LAN to any rule      
        IPv6 *   LAN net   *   *   *   *   *                                      Default allow LAN IPv6 to any rule      

The OpenVPN & Floating Rule are the same like IPv4, just with Source any aswell.

2

Virtual private networks / OpenVPN S2S - Routing Problem?

« on: May 21, 2023, 09:33:36 pm »

Hello together,

I already wrote in the german section, but until now I could not fix my problem.

I have a OpenVPN S2S Connection to a Sophos UTM9. The connection is up and working.

I have following networks:
UTM9 Clientside: 192.168.50.0/24 (SSL Server - OpenVPN)
Transportnet 10.242.2.0/24
OPNsense client side 192.168.95.0/24 OpenVPN client

I can ping from:
Clients UTM -> OPNsense Clients and Transportnet etc.
OPNsense default adapter to UTM Clients (I guess its the OpenVPN adapter 10.242.2.x)
OPNsense Clients to OPNsense OpenVPN adapter 192.168.95.1 -> 10.242.2.x

I cant ping:
OPNsense clients to Transportnet UTM Adapter or Clientnet of UTM

The interesting thing is, if I switch of OPNsense Firewall (in the advanced setting) I can ping to all UTM Clients.
This is not possible even with each adapter any to any connection allowed on top of the rules.

I guess its just a small option setting which I cannot find. Does anyone have an idea or solution?

3

German - Deutsch / Re: Traffic Weiterleitung LAN / VPN

« on: May 18, 2023, 10:44:00 pm »

Einen schönen guten Abend.
Leider bin ich bei dem Problem noch nicht weiter gekommen.
Ich hatte jetzt noch mal probiert, von LAN - OpenVPN Adapter zu pingen. Also von .95.1 zu 10.242.2.2 geht. Von 10.242.2.1 geht nicht vom LAN Interface.

Kann es sein, dass ich da irgendwo noch ein GW oder so einstellen muss?  Wenn ja, hat jemand eine Idee wo?

4

German - Deutsch / Re: Traffic Weiterleitung LAN / VPN

« on: May 15, 2023, 04:21:02 pm »

Hallo FraLem,

vielen Dank für den Tipp. Aktuell ist im NAT 1:1 Übersetzung zwischen der VPN Schnittstelle mit .50.0/24 Netz zu .95.0/24 als BINAT. Source ist .95.0/24 Netz und Destination ist any.
Sonst bei Outgoing NAT ist auf Auto.
Habe ich da etwas vergessen oder übersehen?

Interessant ist, dass wenn ich die Firewall komplett deaktiviere unter Settings-Advanced  die Pings in alle Richtungen funktionieren . In der Beschreibung steht dabei, dass auch NAT komplett deaktiviert wird.

5

German - Deutsch / Traffic Weiterleitung LAN / VPN

« on: May 13, 2023, 04:53:29 pm »

Hallo Zusammen,

ich hänge aktuell bei einem - ich glaub Verständnis Problem.
Ich hab eine S2S OpenVPN Verbindung zwischen Opnsense und Sophos UTM9.
Die Verbindung steht und ich kann von der Opnsense per SSH und Diagnose Ping die gegenüberliegende Seite pingen. Also die TunnelIP und dahinterliegende IPs.
Sobald ich aber über den LAN Port hinter der OPNSense pingen möchte oder diesen bei der Diagnose angebe, kommen die Pings nicht durch.
Von der UTM Seite ist das OPN Netz pingbar.
Ich nehme an, wenn ich von der OPNsense Konsole pinge, wird direkt der OpenVPN gewählt für den Ping und ich hänge irgendwo beim Routing von .95.0 Netz zu 10.242.2.0.

Wenn ich die Firewallfilterung komplett ausschalte kann ich von dem 95.0 Netz pingen.
Ich hab unter den floating / LAN und OpenVPN Interface any to any regeln drin.

UTM9 Netz: 192.168.50.0/24
Transportnetz 10.242.2.0/24
OPNsense 192.168.95.0/24

Hat da jemand einen Tipp für mich?

6

German - Deutsch / Re: OpevVPN S2S - Sophos UTM9 SSL Authentifizierungsproblem

« on: May 09, 2023, 03:14:27 pm »

So auch das Problem ist gelöst. Gefunden habe ich die Lösung bei Youtube.
https://www.youtube.com/watch?v=jRmY4Cb8tzk

Die Lösung besteht darin im Client in der erweiterten Konfig nochmal den Befehl "--data-ciphers AES-128-CBC" mitzugeben. Warum dies nicht standardmäßig erfolgt obwohl das ja in der Konfig eingestellt ist verstehe ich jetzt nicht.

7

German - Deutsch / Re: OpevVPN S2S - Sophos UTM9 SSL Authentifizierungsproblem / Problem mit TUN

« on: May 09, 2023, 08:47:49 am »

Ich habe anscheinend die Lösung gefunden. Anscheinend war das vorgestellte D beim Passwort zuviel. Es war aber nicht ersichtlich, dass es nicht dazu gehört, da kein Sonderzeichen dabei war.
Drauf gekommen bin ich über den Beitrag im Sophos Forum.

https://community.sophos.com/utm-firewall/f/vpn-site-to-site-and-remote-access/118330/open-vpn-to-utm---site-to-site/429629#429629

Ich hab jetzt aber leider das nächste Problem mit der Verbindung:

Code: [Select]

2023-05-09T13:34:04 Error openvpn_client1 Failed to open tun/tap interface
2023-05-09T13:34:04 Error openvpn_client1 ERROR: Failed to apply push options
2023-05-09T13:34:04 Error openvpn_client1 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305') if you want to connect to this server.
2023-05-09T13:34:02 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-05-09T13:34:02 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

8

German - Deutsch / OpevVPN S2S - Sophos UTM9 SSL Authentifizierungsproblem

« on: May 08, 2023, 11:45:44 pm »

Hallo Zusammen,

ich beschäftige mich seit ein paar Tagen mit Opnsense, da es langfristig die UTM9 ersetzen soll.
Soweit komme ich auch klar damit. Ich hab nur aktuell ein Autentifizierungsproblem mit der Anbindung S2S.
Ich habe dazu schon diverse Suchmaschinen und Foren durchstöbert, komme aber leider nicht weiter und hoffe es kann mir jemand einen Tipp geben.

Folgendes habe ich versucht:
Server UTM9 aktuelle Version - Site-to-Site VPN eingerichtet mit folgenden Settings:
Schnittstelle Any, TCP, Port definiert. Verschlüsselungsalgorithmus AES-128-CBC, SHA1, 2048 Bit, Serverzertifikat = selbes wie bei Userlogins (die funktionieren ohne Probleme).

Dann habe ich mir die Config heruntergeladen und mit dem Windows Texteditor geöffnet der alle Sonderzeichen auch darstellt.

Bei Opnsense  23.1.7_3 habe ich dann den Zertifikatbereich über ca_cert in ein CA Zertifikat importiert, sowie das obenstehende Userzertifikat mit untenstehenden private key angelegt.
Dann die Verbindung als Client mit dem Zertifikaten und den gleichen Einstellungen für Verschlüsslung wie in der UTM9 versehen.

Als Benutzer habe ich REF_AaaUse1 und Passwort  in der Config Datei  zwischen den Sonderzeichen DREF_SSLSER.....

Wenn ich versuche eine Verbindung aufzubauen, bekomme ich immer folgende Logs - also soweit ich das sehe scheitert es am "Auth_Failed"...
Bin echt ratlos.

Log von UTM9

Code: [Select]

TCP connection established with [AF_INET]217.*:52392 (via [AF_INET]217.*:443)
2023:05:08-23:30:23  openvpn[555]: 217*:52392 TLS: Initial packet from [AF_INET]217.*:52392 (via [AF_INET]217.*:443), sid=cd1.. d9a..
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 VERIFY OK: depth=0, C=de, L=, O=, CN=REF_SslSerS2svac....
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 VERIFY OK: depth=1, C=de, L=, O=, CN= VPN CA, emailAddress=...
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 VERIFY OK: depth=1, C=de, L=, O=, CN= VPN CA, emailAddress=...
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 VERIFY OK: depth=0, C=de, L=, O=, CN=REF_SslSerS2svache...
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 TLS: Username/Password authentication deferred for username 'REF_AaaUse1' [CN SET]
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1572', remote='link-mtu 1571'
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher AES-128-CBC'
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Downgrading LZO - client does not send compression headers
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
2023:05:08-23:30:23 openvpn[555]: 217.*:52392 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 [REF_AaaUse1] Peer Connection Initiated with [AF_INET]217.*:52392 (via [AF_INET]217.*:443)
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 PUSH: Received control message: 'PUSH_REQUEST'
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 Delayed exit in 5 seconds
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 SENT CONTROL [REF_AaaUse1]: 'AUTH_FAILED' (status=1)
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 Connection reset, restarting [0]
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 SIGUSR1[soft,connection-reset] received, client-instance restarting

Warning Log von Opnsense:

Code: [Select]

023-05-08T23:30:23 Warning openvpn_client1 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2023-05-08T23:30:22 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-05-08T23:30:22 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2023-05-08T23:30:22 Warning openvpn_client1 WARNING: using --pull/--client and --ifconfig together is probably not what you want
2023-05-08T23:30:22 Warning openvpn_client1 WARNING: file '/var/etc/openvpn/client1.up' is group or others accessible
2023-05-08T23:30:22 Warning openvpn_client1 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.