OpenVPN von pfsene to Mikrotik Version 6 bzw. Version 7

be1001 · Jan 3, 2024, 6:59 PM

Hallo

ich habe mehrere OpenVPN Verbindungen von pfsense zu Mikrotikroutern betrieben.
D.h. bis pfsense Version 2.7.0 war alles in Ordnung.
Bei meinen Eltern und Schwiegereltern steht jeweils ein Mikrotikrouter mit einer O2 Simkarte und von diesem wurde eine Verbindung über OpenVPN Client
zu einem OpenVPN Server auf meiner pfsense aufgebaut.
Alles war in Ordnung, ich konnte von allen 3 Standorten auf mein Netzwerk zugreifen.

Nach dem Update auf 2.7.1 bzw. mittlerweile 2.7.2 bekomme ich kein OpenVPn mehr zum laufen. Interessanterweise hat es vorher mit
Mikrotik Version 6 und 7 geklappt, ein Router hatte bereits die Firmware 7.0x mittlerweile ist 7.13 drauf.

Auf der pfsense habe ich extra eine neue CA eingerichtet. Danach ein Server Zertifikat und ein User Zertifikat.
Aktuell habe ich die höchste Verschlüsselung gewählt, mit Key Size 8192 und SHA512

Danach habe ich einen neuen OpenVPN Server angelegt, mit TCP V4 port 24787 (war mein alter Port, der in der Firewall bereits freigeschalten war), habe
als Servermode "Peer to Peer SSL/TLS" angegeben und TLS Schlüssel nutzen deaktiviert. Danach habe ich meine neue CA und das ServerZertifikat eingetragen.
Data Encryption Algorithms = AES-128-CBC
Auth Hashwert Algorithmus = SHA1

Leider weis ich nicht wie ich über SSH die Config ausdrucken kann sonst würde ich die komplette Config posten.

Danach habe ich das User Zertifikat auf den Mikrotik übertragen und die Clienteinstellungen gemacht.

Leider kommt keine Verbindung zustande. Was kann ich tun, oder gibt es eine neue Anleitung für eine Verbindung von pfsense zu Mikrotik

Wer weiss eine Lösung.
Danke

viragomann · Jan 3, 2024, 9:02 PM

@be1001 said in OpenVPN von pfsene to Mikrotik Version 6 bzw. Version 7:

Leider weis ich nicht wie ich über SSH die Config ausdrucken kann sonst würde ich die komplette Config posten.

Die Konfigs liegen in Unterverzeichnissen in /var/etc/openvpn. Via SCP kannst du sie auf deinen Rechner holen.

Leider kommt keine Verbindung zustande. Was kann ich tun, oder gibt es eine neue Anleitung für eine Verbindung von pfsense zu Mikrotik

Interessanter wären die Logs von beiden.
Auf der pfSense in /var/log/openvpn.log.

be1001 · Jan 4, 2024, 3:07 PM

@viragomann
Hallo,

ich hab im Log der Pfsense gesehen, das eine ich eine Duplizierung habe. Darf ich die CA die ich bereits für meinen OpenVPN der WindowsClients erstellt wurde nur einmal verwenden?
Ich habe zwar ein neues ServerZetifikat und User Zertifikat für den Mikrotik erstellt, habe aber das selbe CA benutzt.

viragomann · Jan 4, 2024, 3:27 PM

@be1001
Die CA wird verwendet, um Server- und Client-Zertifikate zu generieren. Du kannst damit so viele Zertifikate generieren, wie du benötigst.

Es sollte aber für jeden Server eine eigene CA verwendet werden. Also
CA 1 für Server 1 und für dessen Clients.
CA 2 für Server 2 und dessen Clients.

Ein Client-Zertifikat darf nur einmal verwendet werden. Also wenn sich mehrere Clients mit einem Server verbinden sollen, braucht es für jeden ein eigenes Zertifikat, aber von derselben CA.

slu · Jan 4, 2024, 4:49 PM

@be1001 said in OpenVPN von pfsene to Mikrotik Version 6 bzw. Version 7:

Nach dem Update auf 2.7.1 bzw. mittlerweile 2.7.2 bekomme ich kein OpenVPn mehr zum laufen.

Was sagt denn die Log?

Ist es das Problem?
https://forum.netgate.com/topic/185282/openssl-error-0a000076-ssl-routines-no-suitable-signature-algorithm