VPN Zertifikat Error

[superwinni2]

Hatte meine "Peer CA" noch immer auf die RootCA und nicht auf die Intermediate welche dann das Server Zert ausstellt.
Damit hatte ich jetzt plötzliche ähnliche Probleme wie du obwohl ein laufendes Setup bereits seit Jahren läuft. Habs jetzt aber auch wieder hinbekommen.

fg

Hi Mks

Finde es echt toll von dir, dass auch du uns von deinen Sorgen berichtest, kannst du uns und vorallem den zukünftigen Lesern kurz in ein paar Sätzen erklären was genau dein Problem war?
Vielleicht auch ne Fehlermeldung dazu? Ist es zufällig die gleiche wie bei mir gewesen?
Und das aller aller wichtigste bitte: verrate uns was du als Lösung gemacht hast...
Ein Forum lebt von Austausch solcher Informationen und für mich persönlich gibt es nichts schlimmeres wie wenn jemand schreibt "jops hatte das problem, habe es aber in den griff bekommen" ohne das auf das problem oder die lösung eingegangen wird...
Und wenn die lösung (wie bei mir am anfang) heißt "Habe ein neues CA erstellt das unabhängig von meiner root-CA agiert" dann möge auch die vollkommen in ordnung sein :)

LG

Gesendet von meinem LG-H815 mit Tapatalk

[Mks]

Hi,

in aller Kürze.

Ich betreibe eine externe CA.
Neben der RootCa befinden sich darunter weitere CAs zB für VPN.

Daher folgende Chain:
RootCA->VPNCA--ServerCert
                        \--VPNClient certs

Bisher waren meine Setting das bei Opnsense als Peer Ca noch die RootCA als PeerCA konfiguriert war.
Ohne dem war es nicht möglich die Configs zu exportieren.
Zusätzlich die Certificate Depth noch auf 1

Habe eine OpenVPN inline config, die sich foldermaßen aufbaut:
<Settings>
<VPNCA_cert>
<RootCA_cert>
<Client_cert>
<ClientCertificate Depth key>
<Static TLS Key>

Läuft so seit Jahren auf Android und Windows ohne Probleme.

Hab jetzt noch ein IOS Device bekommen, und siehe da plötzlich gab es einen Fehler

VERIFY ERROR: depth=0, error=unable to get local issuer certificate

, siehe auch https://forum.opnsense.org/index.php?topic=11974

Seltsamerweise auf Android oder Windows aber kein Problem mit der gleichen Client config

Nach Umstellung der PeerCA auf die VPNCA, was ja nur so eingestellt war das vor ein paar Jahren das exportieren der config ohne nicht möglich war, hat die Verbindung geklappt (selbe Client config).
Hat mich aber ein paar Stunden gekostet da ja auf Android und Windows alles funktioniert hat.

Bei der Certificate depth hab ich jetzt Two, scheint aber egal zu sein, funktioniert unabhängig dieser Einstellung.
Hab im Moment etwas wenig Zeit das im Detail zu analysieren, es scheint aber eine Unterschied zu geben bei Verbindungen von Android/Windows/IOS zumindest bei der Prüfung von den Chains.

lg

[superwinni2]

Hi Mks

Deine Struktur klingt ja genau so wie bei mir :)
Und nicht nur das... Dein Fehlerbild sieht ebenfalls sehr ähnlich aus...

Und du hast (im Gegensatz zu mir) einfach den Fehler ignoriert, das der Export der Configs nicht geht. So wie es sich liest, war dies bei dir auch nur eine einmalige Sache und du hast doch damit abgefunden....
Dies war bei mir jedoch ein "no-go" da ich keine Lust habe das mir alle VPNs abreißen nur weil ich mal ne config exportieren muss...

Also Lösung würde ich dir den gleichen Vorschlag machen wie das was ich gemacht habe: Importiere eine neue CA und füge die Kette komplett in den Import hinzu. Dieses "Ketten-CA" dann als PeerCA benutzen und nun kannst du exportieren und verbinden und hast zudem keine Fehler mehr wegen deinen Zertifikaten (und es läuft so wie es laufen sollte)

Lösungsversuch2:
Also wenn der Fehler auf dem iOS Gerät auftaucht, dann vermute ich, dass man vielleicht das Zertifikat explizit importieren und sich vertrauen muss...

Gesendet von meinem LG-H815 mit Tapatalk

[Mks]

Hi,

Und du hast (im Gegensatz zu mir) einfach den Fehler ignoriert, das der Export der Configs nicht geht. So wie es sich liest, war dies bei dir auch nur eine einmalige Sache und du hast doch damit abgefunden....

Habe damals 2017 keine andere Möglichkeit gefunden.
Da bisher alles mit Android und Windows funktioniert hat hab ich das dann irgendwann einfach vergessen. Die Anzahl der Exports bzw sich verbindenden Cients ist bei mir überschaubar.

Importiere eine neue CA und füge die Kette komplett in den Import hinzu. Dieses "Ketten-CA" dann als PeerCA benutzen und nun kannst du exportieren und verbinden und hast zudem keine Fehler mehr wegen deinen Zertifikaten (und es läuft so wie es laufen sollte)

Das war eh immer so, nur das ich für den Export die PeerCA auf die RootCA stellen musste und ich vergessen habe zurück auf die VPNCA zu stellen.

lg

[superwinni2]

Habe damals 2017 keine andere Möglichkeit gefunden.
Da bisher alles mit Android und Windows funktioniert hat hab ich das dann irgendwann einfach vergessen. Die Anzahl der Exports bzw sich verbindenden Cients ist bei mir überschaubar.

Klar :) ist ja auch nicht schlimm... Meine Gedanken waren damals am Anfang "naja dann geht es wohl nicht anderst" aber wirklich damit zufrieden geben wollte ich mich nicht... Und dann habe ich professionelle Hilfe gesucht und diese auch erhalten :)


Genau dieses zurück stellen... Wie schnell vergisst man genau diese Sache und wie schnell ist dann das Gemecker groß, dass etwas nicht funktioniert... Da war mir das Risiko einfach gesagt viel zu groß... Bei mir stecken hier beispielsweise noch andere Standorte dahinter und nicht nur einzelne Clients... Da musste es doch eine Lösung für geben.. Und die gibt es :)

Deswegen: Importiere die "neuen Ketten-CAs" und trinke das nächste Mal von der gesparten Zeit wegen dem Hin und her stellen nen Kaffee :D
Dürfte kein Benutzer bemerken wenn es so ist wie bei mir, ausser dass die VPN kurz abreißt da der Dienst neugestartet wird...

Gesendet von meinem LG-H815 mit Tapatalk

[superwinni2]

Nach der Hochmut kommt der Fall  :-[

Habe es nun erneut probiert und nun funktioniert der export schon wieder nicht... Kann doch nicht sein....

Aktuell sieht die Lage wie folgt aus:

Code Select Expand

+--------------------------------------------------------------------------------------------------------------------+ 
|PeerCA  |VPN Verbindung                                                           | Client Export                   | 
|------------------------------------------------------------------------------------------------------------------- | 
|        |                                                                         |                                 | 
|        |                                                                         |                                 | 
|UnterCA |VERIFY ERROR: depth=2, error=self signed certificate in certificate chain| Klappt                          | 
|        |                                                                         |                                 | 
|Kette   |(mit Config von UnterCA) Alles in Ordnung                                | Geht nicht                      | 
|        |                                                                         |                                 | 
|HauptCA |(mit Config von UnterCA) Alles in Ordnung                                | Geht nicht                      | 
+--------------------------------------------------------------------------------------------------------------------+ 

Also im Endeffekt alles wie am Anfang... Keine Ahnung ob ich irgendwo zu hastig war und dann eine alte Config genommen hatte...
Vielleicht ja ja noch jemand nen Tipp...