OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of apn »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - apn

Pages: [1]
1
German - Deutsch / Re: Probleme mit LDAP SSL an Synology
« on: October 25, 2024, 02:10:26 pm »
wollte kurz bescheid geben, dass es geklappt hat.

  • hab auf dem PDC die AD certificate services installiert und einen Root CA daraus gemacht
  • das Root CA Cert exportiert (ohne key)
  • (zum üben) autoenroll für die client computer eingerichtet
  • auf der Syn die CSR händisch erstellt (weil über das DSM die SANs nicht eingetragen werden, und auch die Zertifikatsvorlageninfos fehlen)
  • Cert mit certreq erstellt und in die Syn als Standard- und AD-Cert importiert
  • in OPNsense das Root CA Cert als Authority importiert
  • in der OPNsense WebGUI eine CSR an die CA erstellt (bin aber damit noch nicht zufrieden, weil auch hier die alternativen SANs fehlen und ich es noch nicht als SSL Cert benutzen kann)
  • Cert mit certreq erstellt und in OPNsense importiert, aber vorher den CSR Eintrag entfernt
jetzt klappt es mit der Verbindung zwischen OPNsense und Syn.

anscheindend ist das importierte Root CA Cert weiterhin wichtig. entfern ich es, klappt LDAP nicht mehr (vllt weil das CSR darauf verwiesen hat). das muss ich noch lösen, und andere kleine dinge, wie zb warum die Zertifikate 2 Jahre halten, obwohl ich 5 in der Vorlage eingetragen habe.

zum schluss vielen dank, und die frage natürlich: ob bedarf besteht, das, wenns fertig ist, als howto im forum zusammenzufassen (von einem rookie)?

2
German - Deutsch / Re: Probleme mit LDAP SSL an Synology
« on: October 01, 2024, 05:08:27 pm »
wow, danke jens und patrick,
ich fühle mich gerade wie VW beim falschen spiel mit (co2)zertifikathandel erwischt.
ich habe mich da nicht um die CAs gekümmert, dachte der PDC ist sowieso immer down.
aber das passt aufs auge.

btw. meine lokale domain ist schön brav eine sub meiner existierenden web domain, wobei beide nichts voneinander wissen (alle anderen empfehlungen, die gefühlt auch alle zwei jahre von der ICANN kommen, waren nicht so rund, vorallem weil ich in der firma wegen blabla.intern schon probleme hatte).

ich probier das die tage aus (hatte mit so einer schnellen und passenden antwort nicht so bald gerechnet) und geb bescheid.
vielen dank

3
German - Deutsch / [solved] Probleme mit LDAP SSL an Synology
« on: October 01, 2024, 04:08:39 pm »
moin,
ich versuche für OpenVPN meine nutzer direkt mit LDAP aus einer Synology (s02) zu ziehen, die ich als ein RODC (read only domain controller) betreibe. Der PDC ist eine MS windows core server (s01)  (der die meiste zeit aus ist).

die konfiguration System: Zugang: Server bekommt in den System: Protokolldateien: Allgemeinimmer diese Fehlermeldung:
Code: [Select]
2024-10-01T13:47:29   Error   opnsense   LDAP bind error [error:0A000086:SSL routines::certificate verify failed (unable to get local issuer certificate); Can't contact LDAP server]
führe ich aber direkt in der shell von OPNsense
ldapsearch aus, bekomme ich alle benutzer aufgelistet:
Code: [Select]
ldapsearch -v -H "ldaps://s02.aaa.bbb.cc:636" -b "OU=Benutzer,OU=abc,DC=aaa,DC=bbb,DC=cc" -s one -D "test@aaa.bbb.cc" -w "xxx"

openssl wieder rum bringt den gleichen fehler für die synology s02:
Code: [Select]
openssl s_client -connect s02..aaa.bbb.cc:636 -showcerts

CONNECTED(00000003)
depth=0 CN = s02.aaa.bbb.cc
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = s02.aaa.bbb.cc
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = s02.aaa.bbb.cc
verify return:1
---
Certificate chain
 0 s:CN = s02.aaa.bbb.cc
   i:CN = aaa.bbb.cc
-----BEGIN CERTIFICATE-----
MII ... zQ==
-----END CERTIFICATE-----
---
Server certificate
subject=CN = s02.aaa.bbb.cc

issuer=CN = aaa.bbb.cc

---
Acceptable client certificate CA names
CN = aaa.bbb.cc
Requested Signature Algorithms: RSA+SHA256:RSA-PSS+SHA256:RSA-PSS+SHA256:ECDSA+SHA256:Ed25519:RSA+SHA384:RSA-PSS+SHA384:RSA-PSS+SHA384:ECDSA+SHA384:Ed448:RSA+SHA512:RSA-PSS+SHA512:RSA-PSS+SHA512:ECDSA+SHA512:RSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA256:RSA-PSS+SHA256:RSA-PSS+SHA256:ECDSA+SHA256:Ed25519:RSA+SHA384:RSA-PSS+SHA384:RSA-PSS+SHA384:ECDSA+SHA384:Ed448:RSA+SHA512:RSA-PSS+SHA512:RSA-PSS+SHA512:ECDSA+SHA512
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1610 bytes and written 425 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)
^---- das angezeigte (MII ... zQ==) Zertifikat ist das vom Synology Directory Server autogen Cert

testweise habe ich auf dem rechner Apache Directory Studio getestet, der wiederrum keine probleme mit der LDAP verbindung hat.

mir fehlt anscheinend irgendwo ein zertifikat.
 
aus der Synology habe ich das Synology Directory Server autogen Cert, und aus Verzweiflung auch das (root) Standardzertifikat, unter System: Sicherheit: Zertifikate hinzugefügt.

verbinde ich OPNsense mit dem windows server klappt das mit StartTLS ohne probleme (SSL habe ich das nicht eingerichtet).

die suche im netz und im forum ergab nichts, einzig was ähnliches habe ich nur hier (https://forum.opnsense.org/index.php?topic=17948 ) gefunden, was mir rätsel aufgibt.

ich hoffe jemand weiss einen helfenden rat.
danke

Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2