OpevVPN S2S - Sophos UTM9 SSL Authentifizierungsproblem

Started by Punkte, May 08, 2023, 11:45:44 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 08, 2023, 11:45:44 PM Last Edit: May 08, 2023, 11:50:06 PM by Punkte
Hallo Zusammen,

ich beschäftige mich seit ein paar Tagen mit Opnsense, da es langfristig die UTM9 ersetzen soll.
Soweit komme ich auch klar damit. Ich hab nur aktuell ein Autentifizierungsproblem mit der Anbindung S2S.
Ich habe dazu schon diverse Suchmaschinen und Foren durchstöbert, komme aber leider nicht weiter und hoffe es kann mir jemand einen Tipp geben.

Folgendes habe ich versucht:
Server UTM9 aktuelle Version - Site-to-Site VPN eingerichtet mit folgenden Settings:
Schnittstelle Any, TCP, Port definiert. Verschlüsselungsalgorithmus AES-128-CBC, SHA1, 2048 Bit, Serverzertifikat = selbes wie bei Userlogins (die funktionieren ohne Probleme).

Dann habe ich mir die Config heruntergeladen und mit dem Windows Texteditor geöffnet der alle Sonderzeichen auch darstellt.

Bei Opnsense  23.1.7_3 habe ich dann den Zertifikatbereich über ca_cert in ein CA Zertifikat importiert, sowie das obenstehende Userzertifikat mit untenstehenden private key angelegt.
Dann die Verbindung als Client mit dem Zertifikaten und den gleichen Einstellungen für Verschlüsslung wie in der UTM9 versehen.

Als Benutzer habe ich REF_AaaUse1 und Passwort  in der Config Datei  zwischen den Sonderzeichen DREF_SSLSER.....

Wenn ich versuche eine Verbindung aufzubauen, bekomme ich immer folgende Logs - also soweit ich das sehe scheitert es am "Auth_Failed"...
Bin echt ratlos.

Log von UTM9
Code Select

TCP connection established with [AF_INET]217.*:52392 (via [AF_INET]217.*:443)
2023:05:08-23:30:23  openvpn[555]: 217*:52392 TLS: Initial packet from [AF_INET]217.*:52392 (via [AF_INET]217.*:443), sid=cd1.. d9a..
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 VERIFY OK: depth=0, C=de, L=, O=, CN=REF_SslSerS2svac....
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 VERIFY OK: depth=1, C=de, L=, O=, CN= VPN CA, emailAddress=...
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 VERIFY OK: depth=1, C=de, L=, O=, CN= VPN CA, emailAddress=...
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 VERIFY OK: depth=0, C=de, L=, O=, CN=REF_SslSerS2svache...
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 TLS: Username/Password authentication deferred for username 'REF_AaaUse1' [CN SET]
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1572', remote='link-mtu 1571'
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher AES-128-CBC'
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Downgrading LZO - client does not send compression headers
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
2023:05:08-23:30:23 openvpn[555]: 217.*:52392 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
2023:05:08-23:30:23  openvpn[555]: 217.*:52392 [REF_AaaUse1] Peer Connection Initiated with [AF_INET]217.*:52392 (via [AF_INET]217.*:443)
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 PUSH: Received control message: 'PUSH_REQUEST'
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 Delayed exit in 5 seconds
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 SENT CONTROL [REF_AaaUse1]: 'AUTH_FAILED' (status=1)
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 Connection reset, restarting [0]
2023:05:08-23:30:24  openvpn[555]: 217.*:52392 SIGUSR1[soft,connection-reset] received, client-instance restarting


Warning Log von Opnsense:
Code Select

023-05-08T23:30:23 Warning openvpn_client1 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2023-05-08T23:30:22 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-05-08T23:30:22 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2023-05-08T23:30:22 Warning openvpn_client1 WARNING: using --pull/--client and --ifconfig together is probably not what you want
2023-05-08T23:30:22 Warning openvpn_client1 WARNING: file '/var/etc/openvpn/client1.up' is group or others accessible
2023-05-08T23:30:22 Warning openvpn_client1 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.
May 09, 2023, 08:47:49 AM #1 Last Edit: May 09, 2023, 01:36:29 PM by Punkte
Ich habe anscheinend die Lösung gefunden. Anscheinend war das vorgestellte D beim Passwort zuviel. Es war aber nicht ersichtlich, dass es nicht dazu gehört, da kein Sonderzeichen dabei war.
Drauf gekommen bin ich über den Beitrag im Sophos Forum.

https://community.sophos.com/utm-firewall/f/vpn-site-to-site-and-remote-access/118330/open-vpn-to-utm---site-to-site/429629#429629

Ich hab jetzt aber leider das nächste Problem mit der Verbindung:

Code Select
2023-05-09T13:34:04 Error openvpn_client1 Failed to open tun/tap interface
2023-05-09T13:34:04 Error openvpn_client1 ERROR: Failed to apply push options
2023-05-09T13:34:04 Error openvpn_client1 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305') if you want to connect to this server.
2023-05-09T13:34:02 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-05-09T13:34:02 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 09, 2023, 03:14:27 PM #2
So auch das Problem ist gelöst. Gefunden habe ich die Lösung bei Youtube.
https://www.youtube.com/watch?v=jRmY4Cb8tzk

Die Lösung besteht darin im Client in der erweiterten Konfig nochmal den Befehl "--data-ciphers AES-128-CBC" mitzugeben. Warum dies nicht standardmäßig erfolgt obwohl das ja in der Konfig eingestellt ist verstehe ich jetzt nicht.
Print
Go Up Pages1
User actions