Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense OpenVPN Client Konfiguration

    Scheduled Pinned Locked Moved Deutsch
    12 Posts 2 Posters 10.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O Offline
      orcape
      last edited by

      Hi hudriwudri5 ,

      du hast unter speeddrive.de …..

      weiters hab ich ein ta.key und ca.crt File bekommen

      …..Key und Certifikat für den Client bekommen.
      Der gehört in die pfSense Client-config des Tunnels.
      Du erstellst einen neuen Key und ein Zertifikat in der pfSense und wunderst Dich das es nicht funktioniert.
      Wenn Du schon ein neues Certifikat anlegst, müsstest Du das dann nach speeddrive.de exportieren, wenn das überhaupt geht.

      Gruß orcape

      1 Reply Last reply Reply Quote 0
      • H Offline
        hudriwudri5
        last edited by

        Hallo orcape,

        ich dachte mit dem Importieren im Certificat Manager mache ich genau das,dass ich key + certifikat zur Verfügung stelle. - deshalb hab ich dieses importierte Zeritikat auch als client Certificate verwendet.
        Soweit wäre es für mich auch logisch gewesen. Aber was mache ich mit den restlichen Feldern?
        z.B. Peer Certificate Authority - da muss ich was angeben, und mein lokales Zertifikat schien mir noch unmöglicher.
        wenn ich mir die erstellten files ansehe, dann steht in
        client3.ca + client3.cert –> ca.crt
        client3.key --> ta.key
        Das bedeutet doch, dass es nicht neu erstellt wurde sondern wirklich "nur" importiert wurde?

        1 Reply Last reply Reply Quote 0
        • O Offline
          orcape
          last edited by

          Hi hudriwudri5 ,

          poste doch bitte mal das OpenVPN-Log. Auf den Bildern ist da Null zu erkennen und vergrößern lassen die sich nicht.

          Gruß orcape

          1 Reply Last reply Reply Quote 0
          • H Offline
            hudriwudri5
            last edited by

            Hallo ocape,

            hier der Log

            
mit verb 3
Apr 22 18:38:18 pfsense openvpn[16412]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Apr 22 18:38:18 pfsense openvpn[16412]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Apr 22 18:38:18 pfsense openvpn[16412]: Cannot load private key file /var/etc/openvpn/client3.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Apr 22 18:38:18 pfsense openvpn[16412]: Error: private key password verification failed
Apr 22 18:38:18 pfsense openvpn[16412]: Exiting

mit verb 5
Apr 22 19:14:50 pfsense openvpn[55426]: Current Parameter Settings:
Apr 22 19:14:50 pfsense openvpn[55426]:   config = '/var/etc/openvpn/client3.conf'
Apr 22 19:14:50 pfsense openvpn[55426]:   mode = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   show_ciphers = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   show_digests = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   show_engines = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   genkey = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   key_pass_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   show_tls_ciphers = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]: Connection profiles [default]:
Apr 22 19:14:50 pfsense openvpn[55426]:   proto = udp
Apr 22 19:14:50 pfsense openvpn[55426]:   local = '192.168.50.2'
Apr 22 19:14:50 pfsense openvpn[55426]:   local_port = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote = 'vpn.speeddrive.de'
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_port = 1194
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_float = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   bind_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   bind_local = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   connect_retry_seconds = 5
Apr 22 19:14:50 pfsense openvpn[55426]:   connect_timeout = 10
Apr 22 19:14:50 pfsense openvpn[55426]:   connect_retry_max = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_server = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_port = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_retry = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]: Connection profiles END
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_random = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ipchange = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   dev = 'ovpnc3'
Apr 22 19:14:50 pfsense openvpn[55426]:   dev_type = 'tun'
Apr 22 19:14:50 pfsense openvpn[55426]:   dev_node = '/dev/tun3'
Apr 22 19:14:50 pfsense openvpn[55426]:   lladdr = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   topology = 1
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_ipv6 = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_local = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_remote_netmask = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_noexec = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_nowarn = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_local = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_netbits = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_remote = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   shaper = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu = 1500
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_defined = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   link_mtu = 1500
Apr 22 19:14:50 pfsense openvpn[55426]:   link_mtu_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_extra = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_extra_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   fragment = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   mtu_discover_type = -1
Apr 22 19:14:50 pfsense openvpn[55426]:   mtu_test = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   mlock = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   keepalive_ping = 10
Apr 22 19:14:50 pfsense openvpn[55426]:   keepalive_timeout = 60
Apr 22 19:14:50 pfsense openvpn[55426]:   inactivity_timeout = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   ping_send_timeout = 10
Apr 22 19:14:50 pfsense openvpn[55426]:   ping_rec_timeout = 60
Apr 22 19:14:50 pfsense openvpn[55426]:   ping_rec_timeout_action = 2
Apr 22 19:14:50 pfsense openvpn[55426]:   ping_timer_remote = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   remap_sigusr1 = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   explicit_exit_notification = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   persist_tun = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   persist_local_ip = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   persist_remote_ip = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   persist_key = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   mssfix = 1450
Apr 22 19:14:50 pfsense openvpn[55426]:   passtos = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   resolve_retry_seconds = 1000000000
Apr 22 19:14:50 pfsense openvpn[55426]:   username = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   groupname = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   chroot_dir = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   cd_dir = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   writepid = '/var/run/openvpn_client3.pid'
Apr 22 19:14:50 pfsense openvpn[55426]:   up_script = '/usr/local/sbin/ovpn-linkup'
Apr 22 19:14:50 pfsense openvpn[55426]:   down_script = '/usr/local/sbin/ovpn-linkdown'
Apr 22 19:14:50 pfsense openvpn[55426]:   down_pre = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   up_restart = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   up_delay = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   daemon = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   inetd = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   log = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   suppress_timestamps = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   nice = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   verbosity = 5
Apr 22 19:14:50 pfsense openvpn[55426]:   mute = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   gremlin = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   status_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   status_file_version = 1
Apr 22 19:14:50 pfsense openvpn[55426]:   status_file_update_freq = 60
Apr 22 19:14:50 pfsense openvpn[55426]:   occ = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   rcvbuf = 65536
Apr 22 19:14:50 pfsense openvpn[55426]:   sndbuf = 65536
Apr 22 19:14:50 pfsense openvpn[55426]:   sockflags = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   fast_io = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   lzo = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   route_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   route_default_gateway = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   route_default_metric = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   route_noexec = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay_window = 30
Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   route_nopull = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   route_gateway_via_dhcp = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   max_routes = 100
Apr 22 19:14:50 pfsense openvpn[55426]:   allow_pull_fqdn = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   management_addr = '/var/etc/openvpn/client3.sock'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_port = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   management_user_pass = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_log_history_cache = 250
Apr 22 19:14:50 pfsense openvpn[55426]:   management_echo_buffer_size = 100
Apr 22 19:14:50 pfsense openvpn[55426]:   management_write_peer_info_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_client_user = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_client_group = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_flags = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   shared_secret_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   key_direction = 2
Apr 22 19:14:50 pfsense openvpn[55426]:   ciphername_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ciphername = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   authname_defined = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   authname = 'SHA1'
Apr 22 19:14:50 pfsense openvpn[55426]:   prng_hash = 'SHA1'
Apr 22 19:14:50 pfsense openvpn[55426]:   prng_nonce_secret_len = 16
Apr 22 19:14:50 pfsense openvpn[55426]:   keysize = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   engine = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   replay = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   mute_replay_warnings = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   replay_window = 64
Apr 22 19:14:50 pfsense openvpn[55426]:   replay_time = 15
Apr 22 19:14:50 pfsense openvpn[55426]:   packet_id_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   use_iv = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   test_crypto = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_server = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_client = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   key_method = 2
Apr 22 19:14:50 pfsense openvpn[55426]:   ca_file = '/var/etc/openvpn/client3.ca'
Apr 22 19:14:50 pfsense openvpn[55426]:   ca_path = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   dh_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   cert_file = '/var/etc/openvpn/client3.cert'
Apr 22 19:14:50 pfsense openvpn[55426]:   priv_key_file = '/var/etc/openvpn/client3.key'
Apr 22 19:14:50 pfsense openvpn[55426]:   pkcs12_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   cipher_list = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_verify = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_export_cert = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_remote = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   crl_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ns_cert_type = 64
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_eku = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_timeout = 2
Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_bytes = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_packets = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_seconds = 3600
Apr 22 19:14:50 pfsense openvpn[55426]:   handshake_window = 60
Apr 22 19:14:50 pfsense openvpn[55426]:   transition_window = 3600
Apr 22 19:14:50 pfsense openvpn[55426]:   single_session = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   push_peer_info = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_exit = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_auth_file = '/var/etc/openvpn/client3.tls-auth'
Apr 22 19:14:50 pfsense openvpn[55426]:   server_network = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_netmask = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_network_ipv6 = ::
Apr 22 19:14:50 pfsense openvpn[55426]:   server_netbits_ipv6 = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_ip = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_netmask = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_pool_start = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_pool_end = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_start = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_end = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_netmask = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_persist_filename = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_persist_refresh_freq = 600
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_base = ::
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_netbits = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   n_bcast_buf = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   tcp_queue_limit = 64
Apr 22 19:14:50 pfsense openvpn[55426]:   real_hash_size = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   virtual_hash_size = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   client_connect_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   learn_address_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   client_disconnect_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   client_config_dir = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ccd_exclusive = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tmp_dir = '/tmp'
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_local = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_remote_netmask = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_local = ::/0
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_remote = ::
Apr 22 19:14:50 pfsense openvpn[55426]:   enable_c2c = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   duplicate_cn = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   cf_max = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   cf_per = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   max_clients = 1024
Apr 22 19:14:50 pfsense openvpn[55426]:   max_routes_per_client = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_verify_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_verify_script_via_file = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ssl_flags = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   port_share_host = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   port_share_port = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   client = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   pull = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_file = '/var/etc/openvpn/client3.pw'
Apr 22 19:14:50 pfsense openvpn[55426]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Apr 22 19:14:50 pfsense openvpn[55426]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client3.sock
Apr 22 19:14:50 pfsense openvpn[55426]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Apr 22 19:14:50 pfsense openvpn[55426]: Cannot load private key file /var/etc/openvpn/client3.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Apr 22 19:14:50 pfsense openvpn[55426]: Error: private key password verification failed
Apr 22 19:14:50 pfsense openvpn[55426]: Exiting

direkter Link auf die Bilder 
[url]http://techculture.pisch.at/images/stories/Technik/Software/ca.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/cert.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/client1.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/client2.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/client3.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/systemlog.png[/url]

und hier nochmal (ohne Bilder) das, was ich gemacht hab:
OpenVPN: Client
[code]
Server Mode: Peer to Peer (SSL/TLS)
Protocol: UDP
Device mode: tun
Interface WAN
local Port: leer
Server host or address: vpn.speeddrive.de
Server Port: 1194
Proxy host or address: leer
Proxy port: leer
Proxy auth method: none
Server host name resolution: nein

TLS Authentication: 
   Enable authentication of TLS packets: ja
          ta.key Inhalt hineinkopiert
Peer Certificate Authority:  speeddrive.de  (das importierte ca.crt)
Client Certificate:    xxxxx_speeddrive.de * In Use  (das importierte ca.crt + ta.key)
Encryption algorithm: None (No Encryption)
Hardware Crypto: No Hardware Crypto Acceleration

Tunnel Network: leer
Remote Interface: leer
Limit outgoing bandwith: leer
Compression: nein
Type-of-Service: nein

Advanced:
auth-user-pass /var/etc/openvpn/client3.pw
ns-cert-type server
#mssfix
#persist-key
#persist-tun
#resolv-retry infinite
#tun-mtu 1440
[/code]

mir ist klar, dass erst einmal ein Problem besteht den key zu lesen - sagt er ja schön brav. - Aber ich hab keine Ahnung, wo und wie ich die Parameter, die ich bekommen hab in der Oberfläche eintragen muss.
und ob das mit dem auth-user-pass  auch wirklich so funktioniert, wie ich die Beschreibung verstanden hab. Ein File, welches in der 1\. Zeile die UserID und in der 2\. Zeile das Passwort beinhaltet. - so hab ich es angelegt und hoffe, dass durch diese Zeile die Authentifizierung automatisch erfolgt.

einstweilen Danke!

[/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i]
            1 Reply Last reply Reply Quote 0
            • O Offline
              orcape
              last edited by

              Hi hudriwudri5,

              was die Key-Fehlermeldung betrifft ist Dir klar. Ich habe auch einige Anläufe gebraucht bis alles funktioniert hat.
              Hier sind mal meine gewesenen Probleme….
              Vielleicht kannst Du Dir ja auch schon aus den Routingtabellen und den Logs etwas ableiten, hier arbeitet die pfSense aber als Server und das remote Netz (Client) ist ein Linksys-Router.....

              http://www.administrator.de/index.php?content=179344
              http://www.dd-wrt.com/phpBB2/viewtopic.php?t=152940&postdays=0&postorder=asc&start=0

              Im Admin-Forum sind auch einige Erklärungen zum Aufbau eines OpenVPN zu finden.
              Ich tippe aber in erster Linie auf ein Zertifikatsproblem.
              Wenn man die Authentifikation auf dem Server abschalten könnte, dann wüsstest Du zumindest wo´s klemmt.

              Gruß orcape

              1 Reply Last reply Reply Quote 0
              • H Offline
                hudriwudri5
                last edited by

                Hallo Forum,

                kurzer Statusbericht und Hoffnung auf weitere Hilfe:

                Ich hab es jetzt geschafft, dass eine VPN-Verbindung aufgebaut wird - war eigendlich ein ganz banler Fehler: Client Certificate konnte nicht authentifiziert werden - kein Wunder, denn ich hab ja für gelieferten key kein Passwort.
                Nachdem ich mein lokales Zertifikat verwendet hab - das kann ich ja lesen, hat es geklappt.
                Schlussendlich wird dieses überhaupt nicht verwendet.
                somit habe ich jetzt folgende Konfiguration:

                
Server Mode: Peer to Peer (SSL/TLS)
Protocol: UDP
Device mode: tun
Interface WAN
local Port: leer
Server host or address: vpn.speeddrive.de
Server Port: 1194
Proxy host or address: leer
Proxy port: leer
Proxy auth method: none
Server host name resolution: ja

TLS Authentication: 
   Enable authentication of TLS packets: ja
          ta.key Inhalt hineinkopiert
Peer Certificate Authority:  speeddrive.de  (das importierte ca.crt)
Client Certificate:    webConfigurator default
Encryption algorithm: BF-CBC (128-bit)
Hardware Crypto: BSD cryptodev engine

Tunnel Network: leer
Remote Interface: leer
Limit outgoing bandwith: leer
Compression: nein
Type-of-Service: nein

Advanced:
verb 3
engine cryptodev
tun-mtu 1440
fragment 1400
mssfix
auth-user-pass /var/etc/openvpn/client3.pw
ns-cert-type server
#redirect-gateway
auth-nocache
user nobody
group nobody

                und das generiert dann diese conf:

                
dev ovpnc3
dev-type tun
dev-node /dev/tun3
writepid /var/run/openvpn_client3.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.50.2
engine cryptodev
tls-client
client
lport 0
management /var/etc/openvpn/client3.sock unix
remote vpn.speeddrive.de 1194
ca /var/etc/openvpn/client3.ca
cert /var/etc/openvpn/client3.cert
key /var/etc/openvpn/client3.key
tls-auth /var/etc/openvpn/client3.tls-auth 1
resolv-retry infinite
verb 3
engine cryptodev
tun-mtu 1440
fragment 1400
mssfix
auth-user-pass /var/etc/openvpn/client3.pw
ns-cert-type server
auth-nocache
user nobody
group nogroup

                die Verbindung steht:
                http://techculture.pisch.at/images/stories/Technik/Software/openvpn_client.png

                es werden auch Routen eingetragen
                http://techculture.pisch.at/images/stories/Technik/Software/route.png

                aber es funktioniert kein Ping, und schon gar nicht das mounten des Online Drives
                obwohl ich für OpenVPN alles zulasse
                http://techculture.pisch.at/images/stories/Technik/Software/openvpn_rules.png

                ein tracepath auf 192.168.72.85 (interpretiere ich zumindest so)

                
user@client:~$ tracepath 192.168.72.1
 1:  client.virtual.domain.de (192.168.51.3)                 0.115ms pmtu 1500
 1:  pfsense.virtual.domain.de (192.168.51.1)               0.371ms
 1:  pfsense.virtual.domain.de (192.168.51.1)               0.816ms
 2:  pfsense.virtual.domain.de (192.168.51.1)               0.369ms pmtu 1440
 2:  no reply
 3:  no reply
31:  no reply
     Too many hops: pmtu 1440
     Resume: pmtu 1440

                da die mtu auf 1440 geändert wird, nehme ich an, dass es im Tunnel ist
                aber es findet das Ziel nicht.

                Vielleicht hat ja jemand eine Idee woran es noch haken könnte.

                1 Reply Last reply Reply Quote 0
                • O Offline
                  orcape
                  last edited by

                  Hi,
                  wie sehen die LAN-Rules aus –-> OpenVPN ?

                  Gruß orcape

                  1 Reply Last reply Reply Quote 0
                  • H Offline
                    hudriwudri5
                    last edited by

                    Hallo orcape,

                    nicht mal mit diesen Regeln geht es

                    
        Proto Source  Port Destination Port Gateway Queue Shedule
LAN     *     *        *   *            *      *     none    
OpenVPN *     *        *   *            *      *     none

                    und was ich nicht verstehe, dass der Tunnel scheinbar funktionstüchtig ist, denn sonst könnten sich doch nicht die Bytes Sent und Bytes Received unter Status/OpenVPN ändern?!

                    Hab es auch schon von einer anderen pfSense probiert (einer, bei der schon ein VPN Client (aber wo anders hin) funktioniert - genau das gleiche Verhalten.

                    1 Reply Last reply Reply Quote 0
                    • H Offline
                      hudriwudri5
                      last edited by

                      Hab gestern eine Antwort vom Dienstanbieter bekommen:

                      wenn Sie den Tunnel erfolgreich auf Ihrer PFSence aufgebaut haben. Könne Sie von der PFSence direkt auf den Speeddrive mit der URL: "xxxx.openvpn.speeddrive.de" zugreifen. Sollten Sie den Zugang auch für Systeme hinter Ihrer PFSence nutzen wollen, so müssten Sie die dahinter liegenden Systeme mittels NAT Maskieren. Hintergrund: Unser Tunnel System kennt Ihr privates LAN Netz nicht, sondern nur die dem Tunnelendpunkt zugewiesene IP. Deswegen gibt es für die Antwortpakete keine Rückroute!

                      Aber ich kann auf der pfSense ja auch nicht pingen - oder verstehe ich da noch immer was falsch? - Die Clients hinter der pfSense müssten dann ja implizit über das Routing und NAT funktionieren?

                      1 Reply Last reply Reply Quote 0
                      • O Offline
                        orcape
                        last edited by

                        Hi,

                        versuchs mal mit einer WAN-Rule zusätzlich zu deiner OpenVPN-Rule.
                        any-to-any Tunnelport.

                        Gruss orcape

                        1 Reply Last reply Reply Quote 0
                        • H Offline
                          hudriwudri5
                          last edited by

                          Hi orcape,

                          auf der WAN Seite hab ich natürlich den Port geöffnet

                          
        Proto Source  Port Destination Port Gateway Queue Shedule
WAN     *     *        *   *           1194    *     none

                          ohne diese Regel geht's sowieso nicht - da kämen dann ja überhaupt keine Daten rein und raus.

                          Nachdem ich mir die Antwort vom Dienstanbieter noch ungefähr 10x durchgelesen hab, glaube ich, ich muss da irgendwas bei Otubound NAT einstellen - aber da werde ich überhaupt nicht schlau, was und wie.
                          Irgendwie kann ich ja nachvollziehen, dass die Retourroute nicht klar ist, bei mir wird ja vor der pfSense nochmal NAT gemacht; aber ganz klar ist es mir doch nicht, denn wenn ich den Tunnel auf einem Windows Client hinter der pfSense mache (also NAT durch pfSense und NAT durch ADSL-Router) funktioniert es ja perfekt.

                          Und bei den OpenVPN Client/Server, mit denen ich 2 Standorte miteinander verbinde, gehe ich auch über einen ADSL-Router (mit NAT) und beiden Clients funktioniert der VPN Tunnel zum Onlinespeicher, und das Pingen, aber auf den jeweiligen pfSense bekomme ich es nicht hin.

                          lg. hudriwudri

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.