Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense OpenVPN Client Konfiguration

    Scheduled Pinned Locked Moved Deutsch
    12 Posts 2 Posters 10.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H Offline
      hudriwudri5
      last edited by

      Hallo Forum!

      Ich hab eine Online Festplatte bei speeddrive.de, auf welchen ich über einen OpenVPN Tunnel zugreife. Bisher hab ich den Tunnel auf jedem Client geöffnet und auf die Daten zugegriffen. Aber mein Ziel wäre es den Tunnel über pfSense zu öffnen und somit alle Clients implizit über Routing den Zugriff zu ermöglichen.
      Allerdings schaffe ich es nicht das Ganze unter pfSense zum Laufen zu bekommen. Ich muss auch gestehen, dass ich nicht gerade ein Profi bin - ganz im Gegenteil. - Hab mich durch's Internet gewühlt, aber nichts gefunden, was mir geholfen hat.
      Vom Anbieter bekam ich folgende Konfiguration: (welche wie gesagt unter Windows anstandslos funktioniert)

      speeddrive.ovpn:

      client
dev tun
proto udp
tun-mtu 1440
fragment 1400
mssfix
remote vpn.speeddrive.de 1194
auth-user-pass
auth-retry interact
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt 
tls-auth ta.key 1
ns-cert-type server

verb 3

# Downgrade privileges after initialization (non-Windows only)
#user nobody
#group nobody

      weiters hab ich ein ta.key und ca.crt File bekommen

      So hab ich es probiert:
      unter System/Cert Manager/CAs lege ich einen neuen CA an

      unter Certificates lege ich ein neues Zertifikat an

      weiters hab ich für die Authentifizierung folgendes File unter /var/etc/openvpn/ erstellt
      client3.pw

      User_von_speeddrive
Password_im_Klartext

      und dann unter VPN/OpenVPN/Client



      und dann hab ich unter den Advanced Configuration folgende Einträge gemacht:

      auth-user-pass /var/etc/openvpn/client3.pw
ns-cert-type server

```alle restlichen sind mittels # auskommentiert

und dann bekomme ich folgenden Fehler
![](http://techculture.pisch.at/images/stories/Technik/Software/systemlog.png)

Irgend etwas mache ich da sicherlich komplett falsch; nur was?
      1 Reply Last reply Reply Quote 0
      • O Offline
        orcape
        last edited by

        Hi hudriwudri5 ,

        du hast unter speeddrive.de …..

        weiters hab ich ein ta.key und ca.crt File bekommen

        …..Key und Certifikat für den Client bekommen.
        Der gehört in die pfSense Client-config des Tunnels.
        Du erstellst einen neuen Key und ein Zertifikat in der pfSense und wunderst Dich das es nicht funktioniert.
        Wenn Du schon ein neues Certifikat anlegst, müsstest Du das dann nach speeddrive.de exportieren, wenn das überhaupt geht.

        Gruß orcape

        1 Reply Last reply Reply Quote 0
        • H Offline
          hudriwudri5
          last edited by

          Hallo orcape,

          ich dachte mit dem Importieren im Certificat Manager mache ich genau das,dass ich key + certifikat zur Verfügung stelle. - deshalb hab ich dieses importierte Zeritikat auch als client Certificate verwendet.
          Soweit wäre es für mich auch logisch gewesen. Aber was mache ich mit den restlichen Feldern?
          z.B. Peer Certificate Authority - da muss ich was angeben, und mein lokales Zertifikat schien mir noch unmöglicher.
          wenn ich mir die erstellten files ansehe, dann steht in
          client3.ca + client3.cert –> ca.crt
          client3.key --> ta.key
          Das bedeutet doch, dass es nicht neu erstellt wurde sondern wirklich "nur" importiert wurde?

          1 Reply Last reply Reply Quote 0
          • O Offline
            orcape
            last edited by

            Hi hudriwudri5 ,

            poste doch bitte mal das OpenVPN-Log. Auf den Bildern ist da Null zu erkennen und vergrößern lassen die sich nicht.

            Gruß orcape

            1 Reply Last reply Reply Quote 0
            • H Offline
              hudriwudri5
              last edited by

              Hallo ocape,

              hier der Log

              
mit verb 3
Apr 22 18:38:18 pfsense openvpn[16412]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Apr 22 18:38:18 pfsense openvpn[16412]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Apr 22 18:38:18 pfsense openvpn[16412]: Cannot load private key file /var/etc/openvpn/client3.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Apr 22 18:38:18 pfsense openvpn[16412]: Error: private key password verification failed
Apr 22 18:38:18 pfsense openvpn[16412]: Exiting

mit verb 5
Apr 22 19:14:50 pfsense openvpn[55426]: Current Parameter Settings:
Apr 22 19:14:50 pfsense openvpn[55426]:   config = '/var/etc/openvpn/client3.conf'
Apr 22 19:14:50 pfsense openvpn[55426]:   mode = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   show_ciphers = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   show_digests = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   show_engines = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   genkey = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   key_pass_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   show_tls_ciphers = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]: Connection profiles [default]:
Apr 22 19:14:50 pfsense openvpn[55426]:   proto = udp
Apr 22 19:14:50 pfsense openvpn[55426]:   local = '192.168.50.2'
Apr 22 19:14:50 pfsense openvpn[55426]:   local_port = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote = 'vpn.speeddrive.de'
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_port = 1194
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_float = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   bind_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   bind_local = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   connect_retry_seconds = 5
Apr 22 19:14:50 pfsense openvpn[55426]:   connect_timeout = 10
Apr 22 19:14:50 pfsense openvpn[55426]:   connect_retry_max = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_server = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_port = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_retry = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]: Connection profiles END
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_random = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ipchange = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   dev = 'ovpnc3'
Apr 22 19:14:50 pfsense openvpn[55426]:   dev_type = 'tun'
Apr 22 19:14:50 pfsense openvpn[55426]:   dev_node = '/dev/tun3'
Apr 22 19:14:50 pfsense openvpn[55426]:   lladdr = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   topology = 1
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_ipv6 = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_local = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_remote_netmask = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_noexec = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_nowarn = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_local = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_netbits = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_remote = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   shaper = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu = 1500
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_defined = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   link_mtu = 1500
Apr 22 19:14:50 pfsense openvpn[55426]:   link_mtu_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_extra = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_extra_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   fragment = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   mtu_discover_type = -1
Apr 22 19:14:50 pfsense openvpn[55426]:   mtu_test = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   mlock = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   keepalive_ping = 10
Apr 22 19:14:50 pfsense openvpn[55426]:   keepalive_timeout = 60
Apr 22 19:14:50 pfsense openvpn[55426]:   inactivity_timeout = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   ping_send_timeout = 10
Apr 22 19:14:50 pfsense openvpn[55426]:   ping_rec_timeout = 60
Apr 22 19:14:50 pfsense openvpn[55426]:   ping_rec_timeout_action = 2
Apr 22 19:14:50 pfsense openvpn[55426]:   ping_timer_remote = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   remap_sigusr1 = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   explicit_exit_notification = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   persist_tun = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   persist_local_ip = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   persist_remote_ip = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   persist_key = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   mssfix = 1450
Apr 22 19:14:50 pfsense openvpn[55426]:   passtos = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   resolve_retry_seconds = 1000000000
Apr 22 19:14:50 pfsense openvpn[55426]:   username = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   groupname = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   chroot_dir = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   cd_dir = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   writepid = '/var/run/openvpn_client3.pid'
Apr 22 19:14:50 pfsense openvpn[55426]:   up_script = '/usr/local/sbin/ovpn-linkup'
Apr 22 19:14:50 pfsense openvpn[55426]:   down_script = '/usr/local/sbin/ovpn-linkdown'
Apr 22 19:14:50 pfsense openvpn[55426]:   down_pre = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   up_restart = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   up_delay = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   daemon = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   inetd = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   log = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   suppress_timestamps = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   nice = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   verbosity = 5
Apr 22 19:14:50 pfsense openvpn[55426]:   mute = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   gremlin = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   status_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   status_file_version = 1
Apr 22 19:14:50 pfsense openvpn[55426]:   status_file_update_freq = 60
Apr 22 19:14:50 pfsense openvpn[55426]:   occ = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   rcvbuf = 65536
Apr 22 19:14:50 pfsense openvpn[55426]:   sndbuf = 65536
Apr 22 19:14:50 pfsense openvpn[55426]:   sockflags = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   fast_io = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   lzo = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   route_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   route_default_gateway = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   route_default_metric = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   route_noexec = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay_window = 30
Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   route_nopull = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   route_gateway_via_dhcp = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   max_routes = 100
Apr 22 19:14:50 pfsense openvpn[55426]:   allow_pull_fqdn = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   management_addr = '/var/etc/openvpn/client3.sock'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_port = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   management_user_pass = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_log_history_cache = 250
Apr 22 19:14:50 pfsense openvpn[55426]:   management_echo_buffer_size = 100
Apr 22 19:14:50 pfsense openvpn[55426]:   management_write_peer_info_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_client_user = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_client_group = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   management_flags = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   shared_secret_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   key_direction = 2
Apr 22 19:14:50 pfsense openvpn[55426]:   ciphername_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ciphername = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   authname_defined = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   authname = 'SHA1'
Apr 22 19:14:50 pfsense openvpn[55426]:   prng_hash = 'SHA1'
Apr 22 19:14:50 pfsense openvpn[55426]:   prng_nonce_secret_len = 16
Apr 22 19:14:50 pfsense openvpn[55426]:   keysize = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   engine = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   replay = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   mute_replay_warnings = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   replay_window = 64
Apr 22 19:14:50 pfsense openvpn[55426]:   replay_time = 15
Apr 22 19:14:50 pfsense openvpn[55426]:   packet_id_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   use_iv = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   test_crypto = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_server = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_client = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   key_method = 2
Apr 22 19:14:50 pfsense openvpn[55426]:   ca_file = '/var/etc/openvpn/client3.ca'
Apr 22 19:14:50 pfsense openvpn[55426]:   ca_path = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   dh_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   cert_file = '/var/etc/openvpn/client3.cert'
Apr 22 19:14:50 pfsense openvpn[55426]:   priv_key_file = '/var/etc/openvpn/client3.key'
Apr 22 19:14:50 pfsense openvpn[55426]:   pkcs12_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   cipher_list = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_verify = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_export_cert = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_remote = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   crl_file = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ns_cert_type = 64
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_eku = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_timeout = 2
Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_bytes = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_packets = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_seconds = 3600
Apr 22 19:14:50 pfsense openvpn[55426]:   handshake_window = 60
Apr 22 19:14:50 pfsense openvpn[55426]:   transition_window = 3600
Apr 22 19:14:50 pfsense openvpn[55426]:   single_session = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   push_peer_info = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_exit = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tls_auth_file = '/var/etc/openvpn/client3.tls-auth'
Apr 22 19:14:50 pfsense openvpn[55426]:   server_network = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_netmask = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_network_ipv6 = ::
Apr 22 19:14:50 pfsense openvpn[55426]:   server_netbits_ipv6 = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_ip = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_netmask = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_pool_start = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_pool_end = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_start = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_end = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_netmask = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_persist_filename = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_persist_refresh_freq = 600
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_base = ::
Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_netbits = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   n_bcast_buf = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   tcp_queue_limit = 64
Apr 22 19:14:50 pfsense openvpn[55426]:   real_hash_size = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   virtual_hash_size = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   client_connect_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   learn_address_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   client_disconnect_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   client_config_dir = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   ccd_exclusive = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   tmp_dir = '/tmp'
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_local = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_remote_netmask = 0.0.0.0
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_defined = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_local = ::/0
Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_remote = ::
Apr 22 19:14:50 pfsense openvpn[55426]:   enable_c2c = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   duplicate_cn = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   cf_max = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   cf_per = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   max_clients = 1024
Apr 22 19:14:50 pfsense openvpn[55426]:   max_routes_per_client = 256
Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_verify_script = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_verify_script_via_file = DISABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   ssl_flags = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   port_share_host = '[UNDEF]'
Apr 22 19:14:50 pfsense openvpn[55426]:   port_share_port = 0
Apr 22 19:14:50 pfsense openvpn[55426]:   client = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   pull = ENABLED
Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_file = '/var/etc/openvpn/client3.pw'
Apr 22 19:14:50 pfsense openvpn[55426]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Apr 22 19:14:50 pfsense openvpn[55426]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client3.sock
Apr 22 19:14:50 pfsense openvpn[55426]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Apr 22 19:14:50 pfsense openvpn[55426]: Cannot load private key file /var/etc/openvpn/client3.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Apr 22 19:14:50 pfsense openvpn[55426]: Error: private key password verification failed
Apr 22 19:14:50 pfsense openvpn[55426]: Exiting

direkter Link auf die Bilder 
[url]http://techculture.pisch.at/images/stories/Technik/Software/ca.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/cert.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/client1.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/client2.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/client3.png[/url]
[url]http://techculture.pisch.at/images/stories/Technik/Software/systemlog.png[/url]

und hier nochmal (ohne Bilder) das, was ich gemacht hab:
OpenVPN: Client
[code]
Server Mode: Peer to Peer (SSL/TLS)
Protocol: UDP
Device mode: tun
Interface WAN
local Port: leer
Server host or address: vpn.speeddrive.de
Server Port: 1194
Proxy host or address: leer
Proxy port: leer
Proxy auth method: none
Server host name resolution: nein

TLS Authentication: 
   Enable authentication of TLS packets: ja
          ta.key Inhalt hineinkopiert
Peer Certificate Authority:  speeddrive.de  (das importierte ca.crt)
Client Certificate:    xxxxx_speeddrive.de * In Use  (das importierte ca.crt + ta.key)
Encryption algorithm: None (No Encryption)
Hardware Crypto: No Hardware Crypto Acceleration

Tunnel Network: leer
Remote Interface: leer
Limit outgoing bandwith: leer
Compression: nein
Type-of-Service: nein

Advanced:
auth-user-pass /var/etc/openvpn/client3.pw
ns-cert-type server
#mssfix
#persist-key
#persist-tun
#resolv-retry infinite
#tun-mtu 1440
[/code]

mir ist klar, dass erst einmal ein Problem besteht den key zu lesen - sagt er ja schön brav. - Aber ich hab keine Ahnung, wo und wie ich die Parameter, die ich bekommen hab in der Oberfläche eintragen muss.
und ob das mit dem auth-user-pass  auch wirklich so funktioniert, wie ich die Beschreibung verstanden hab. Ein File, welches in der 1\. Zeile die UserID und in der 2\. Zeile das Passwort beinhaltet. - so hab ich es angelegt und hoffe, dass durch diese Zeile die Authentifizierung automatisch erfolgt.

einstweilen Danke!

[/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i]
              1 Reply Last reply Reply Quote 0
              • O Offline
                orcape
                last edited by

                Hi hudriwudri5,

                was die Key-Fehlermeldung betrifft ist Dir klar. Ich habe auch einige Anläufe gebraucht bis alles funktioniert hat.
                Hier sind mal meine gewesenen Probleme….
                Vielleicht kannst Du Dir ja auch schon aus den Routingtabellen und den Logs etwas ableiten, hier arbeitet die pfSense aber als Server und das remote Netz (Client) ist ein Linksys-Router.....

                http://www.administrator.de/index.php?content=179344
                http://www.dd-wrt.com/phpBB2/viewtopic.php?t=152940&postdays=0&postorder=asc&start=0

                Im Admin-Forum sind auch einige Erklärungen zum Aufbau eines OpenVPN zu finden.
                Ich tippe aber in erster Linie auf ein Zertifikatsproblem.
                Wenn man die Authentifikation auf dem Server abschalten könnte, dann wüsstest Du zumindest wo´s klemmt.

                Gruß orcape

                1 Reply Last reply Reply Quote 0
                • H Offline
                  hudriwudri5
                  last edited by

                  Hallo Forum,

                  kurzer Statusbericht und Hoffnung auf weitere Hilfe:

                  Ich hab es jetzt geschafft, dass eine VPN-Verbindung aufgebaut wird - war eigendlich ein ganz banler Fehler: Client Certificate konnte nicht authentifiziert werden - kein Wunder, denn ich hab ja für gelieferten key kein Passwort.
                  Nachdem ich mein lokales Zertifikat verwendet hab - das kann ich ja lesen, hat es geklappt.
                  Schlussendlich wird dieses überhaupt nicht verwendet.
                  somit habe ich jetzt folgende Konfiguration:

                  
Server Mode: Peer to Peer (SSL/TLS)
Protocol: UDP
Device mode: tun
Interface WAN
local Port: leer
Server host or address: vpn.speeddrive.de
Server Port: 1194
Proxy host or address: leer
Proxy port: leer
Proxy auth method: none
Server host name resolution: ja

TLS Authentication: 
   Enable authentication of TLS packets: ja
          ta.key Inhalt hineinkopiert
Peer Certificate Authority:  speeddrive.de  (das importierte ca.crt)
Client Certificate:    webConfigurator default
Encryption algorithm: BF-CBC (128-bit)
Hardware Crypto: BSD cryptodev engine

Tunnel Network: leer
Remote Interface: leer
Limit outgoing bandwith: leer
Compression: nein
Type-of-Service: nein

Advanced:
verb 3
engine cryptodev
tun-mtu 1440
fragment 1400
mssfix
auth-user-pass /var/etc/openvpn/client3.pw
ns-cert-type server
#redirect-gateway
auth-nocache
user nobody
group nobody

                  und das generiert dann diese conf:

                  
dev ovpnc3
dev-type tun
dev-node /dev/tun3
writepid /var/run/openvpn_client3.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.50.2
engine cryptodev
tls-client
client
lport 0
management /var/etc/openvpn/client3.sock unix
remote vpn.speeddrive.de 1194
ca /var/etc/openvpn/client3.ca
cert /var/etc/openvpn/client3.cert
key /var/etc/openvpn/client3.key
tls-auth /var/etc/openvpn/client3.tls-auth 1
resolv-retry infinite
verb 3
engine cryptodev
tun-mtu 1440
fragment 1400
mssfix
auth-user-pass /var/etc/openvpn/client3.pw
ns-cert-type server
auth-nocache
user nobody
group nogroup

                  die Verbindung steht:
                  http://techculture.pisch.at/images/stories/Technik/Software/openvpn_client.png

                  es werden auch Routen eingetragen
                  http://techculture.pisch.at/images/stories/Technik/Software/route.png

                  aber es funktioniert kein Ping, und schon gar nicht das mounten des Online Drives
                  obwohl ich für OpenVPN alles zulasse
                  http://techculture.pisch.at/images/stories/Technik/Software/openvpn_rules.png

                  ein tracepath auf 192.168.72.85 (interpretiere ich zumindest so)

                  
user@client:~$ tracepath 192.168.72.1
 1:  client.virtual.domain.de (192.168.51.3)                 0.115ms pmtu 1500
 1:  pfsense.virtual.domain.de (192.168.51.1)               0.371ms
 1:  pfsense.virtual.domain.de (192.168.51.1)               0.816ms
 2:  pfsense.virtual.domain.de (192.168.51.1)               0.369ms pmtu 1440
 2:  no reply
 3:  no reply
31:  no reply
     Too many hops: pmtu 1440
     Resume: pmtu 1440

                  da die mtu auf 1440 geändert wird, nehme ich an, dass es im Tunnel ist
                  aber es findet das Ziel nicht.

                  Vielleicht hat ja jemand eine Idee woran es noch haken könnte.

                  1 Reply Last reply Reply Quote 0
                  • O Offline
                    orcape
                    last edited by

                    Hi,
                    wie sehen die LAN-Rules aus –-> OpenVPN ?

                    Gruß orcape

                    1 Reply Last reply Reply Quote 0
                    • H Offline
                      hudriwudri5
                      last edited by

                      Hallo orcape,

                      nicht mal mit diesen Regeln geht es

                      
        Proto Source  Port Destination Port Gateway Queue Shedule
LAN     *     *        *   *            *      *     none    
OpenVPN *     *        *   *            *      *     none

                      und was ich nicht verstehe, dass der Tunnel scheinbar funktionstüchtig ist, denn sonst könnten sich doch nicht die Bytes Sent und Bytes Received unter Status/OpenVPN ändern?!

                      Hab es auch schon von einer anderen pfSense probiert (einer, bei der schon ein VPN Client (aber wo anders hin) funktioniert - genau das gleiche Verhalten.

                      1 Reply Last reply Reply Quote 0
                      • H Offline
                        hudriwudri5
                        last edited by

                        Hab gestern eine Antwort vom Dienstanbieter bekommen:

                        wenn Sie den Tunnel erfolgreich auf Ihrer PFSence aufgebaut haben. Könne Sie von der PFSence direkt auf den Speeddrive mit der URL: "xxxx.openvpn.speeddrive.de" zugreifen. Sollten Sie den Zugang auch für Systeme hinter Ihrer PFSence nutzen wollen, so müssten Sie die dahinter liegenden Systeme mittels NAT Maskieren. Hintergrund: Unser Tunnel System kennt Ihr privates LAN Netz nicht, sondern nur die dem Tunnelendpunkt zugewiesene IP. Deswegen gibt es für die Antwortpakete keine Rückroute!

                        Aber ich kann auf der pfSense ja auch nicht pingen - oder verstehe ich da noch immer was falsch? - Die Clients hinter der pfSense müssten dann ja implizit über das Routing und NAT funktionieren?

                        1 Reply Last reply Reply Quote 0
                        • O Offline
                          orcape
                          last edited by

                          Hi,

                          versuchs mal mit einer WAN-Rule zusätzlich zu deiner OpenVPN-Rule.
                          any-to-any Tunnelport.

                          Gruss orcape

                          1 Reply Last reply Reply Quote 0
                          • H Offline
                            hudriwudri5
                            last edited by

                            Hi orcape,

                            auf der WAN Seite hab ich natürlich den Port geöffnet

                            
        Proto Source  Port Destination Port Gateway Queue Shedule
WAN     *     *        *   *           1194    *     none

                            ohne diese Regel geht's sowieso nicht - da kämen dann ja überhaupt keine Daten rein und raus.

                            Nachdem ich mir die Antwort vom Dienstanbieter noch ungefähr 10x durchgelesen hab, glaube ich, ich muss da irgendwas bei Otubound NAT einstellen - aber da werde ich überhaupt nicht schlau, was und wie.
                            Irgendwie kann ich ja nachvollziehen, dass die Retourroute nicht klar ist, bei mir wird ja vor der pfSense nochmal NAT gemacht; aber ganz klar ist es mir doch nicht, denn wenn ich den Tunnel auf einem Windows Client hinter der pfSense mache (also NAT durch pfSense und NAT durch ADSL-Router) funktioniert es ja perfekt.

                            Und bei den OpenVPN Client/Server, mit denen ich 2 Standorte miteinander verbinde, gehe ich auch über einen ADSL-Router (mit NAT) und beiden Clients funktioniert der VPN Tunnel zum Onlinespeicher, und das Pingen, aber auf den jeweiligen pfSense bekomme ich es nicht hin.

                            lg. hudriwudri

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.