[SOLVED] Pfsense OPENVPN to Strato HiDrive

A Former User

Jemand eine Idee? Ich habe jetzt das Zertifikat unter TLS hinterlegt. Trotzdem wird keine Verbindung aufgebaut...

JeGr

Welches Zertifikat wo hinterlegt?

A Former User

In der Anleitung, die leider nicht mehr erreichbar ist, wurde der TLS Auth Key ganz unten eingegeben und nicht unter TLS Key. Ich hab das angepasst. Funktioniert leider immer noch nicht Wenn ich einen OPENVPN Client einrichte, muss ich noch irgendetwas anderes auf der Firewall machen, damit der die Verbindung aufbaut?

JeGr

Prinzipiell nicht, die Konfiguration als Client ist relativ straight. Wenn da was von der Strato Anleitung nicht klappt, dann eher weil die ggf. alte Versionen annehmen? Ansonsten sollte sich die relativ ähnlich nachbauen lassen, ich hab jetzt allerdings noch nicht so wirklich reingeschaut.

A Former User

Ich habe jetzt versucht die Konfig:
dev tun
client
remote openvpn.hidrive.strato.com
auth-user-pass
auth-retry interact
ca ca.drive.strato.com.crt
tls-auth tls-auth.key
ns-cert-type server

einfach einzustellen und sehe jetzt dieses. Ansonsten ist die Verbindung down. Ich habe eigentlich alles andere auf Standard gelassen.

Ich sitz da jetzt schon seit 1,5 Monaten dran

JeGr

@blubb1992 said in Pfsense OPENVPN to Strato HiDrive:

einfach einzustellen und sehe jetzt dieses. Ansonsten ist die Verbindung down. Ich habe eigentlich alles andere auf Standard gelassen.

Und wie bzw. was ist "einfach einzustellen"? Es ist ja fein, dass Strato das als Konfig postet, aber was hast du in der Sense eingestellt?

A Former User

@jegr said in Pfsense OPENVPN to Strato HiDrive:

ie bzw. was ist “einfach einzustellen”? Es ist ja fein, dass Strato das als Konfig po

Sry, dass ich erst jetzt antworte. Ich habe mal die Screens gepostet:

Ich Danke Dir :)

A Former User

Hallo,

kann mir niemand irgendeinen Hinweis geben?

VG
Blubb1992

Gladius

Die von Strato angegebenen Verbindungsparameter sind OK wenn sie mit

openvpn --config xyz.ovpn

in der Konsole z. B. auf dem PC ausgeführt werden?

Wie sieht das Protokoll beim Verbindungsaufbau aus?

A Former User

@gladius

Hi Gladius,

also ich hab mal die CONFIG von Strato auf dem Handy importiert (in einen OpenVPN-Client) und da läuft es. Ich vermute, ich muss auf der Firewall noch iwas einstellen.

Ich hoffe das Protokoll ist so übersichtlich genug. Meine statische IP habe ich mal in die 150.111.111.154 geändert, da die ja irrelevant sein sollte.

Jul 9 19:44:32	openvpn	11137	OpenVPN 2.4.4 amd64-portbld-freebsd11.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Mar 16 2018
Jul 9 19:44:32	openvpn	11137	library versions: OpenSSL 1.0.2m-freebsd 2 Nov 2017, LZO 2.10
Jul 9 19:44:32	openvpn	11475	WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jul 9 19:44:32	openvpn	11475	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 9 19:44:32	openvpn	11475	TCP/UDP: Preserving recently used remote address: [AF_INET]85.214.3.71:1194
Jul 9 19:44:32	openvpn	11475	UDPv4 link local (bound): [AF_INET]150.111.111.154:0
Jul 9 19:44:32	openvpn	11475	UDPv4 link remote: [AF_INET]85.214.3.71:1194
Jul 9 19:45:32	openvpn	11475	[UNDEF] Inactivity timeout (--ping-restart), restarting
Jul 9 19:45:32	openvpn	11475	SIGUSR1[soft,ping-restart] received, process restarting
Jul 9 19:45:42	openvpn	11475	WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jul 9 19:45:42	openvpn	11475	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 9 19:45:42	openvpn	11475	TCP/UDP: Preserving recently used remote address: [AF_INET]85.214.3.71:1194
Jul 9 19:45:42	openvpn	11475	UDPv4 link local (bound): [AF_INET]150.111.111.154:0
Jul 9 19:45:42	openvpn	11475	UDPv4 link remote: [AF_INET]85.214.3.71:1194
Jul 9 19:46:06	openvpn	11475	event_wait : Interrupted system call (code=4)
Jul 9 19:46:06	openvpn	11475	SIGTERM[hard,] received, process exiting
Jul 9 19:46:06	openvpn	61970	WARNING: file '/var/etc/openvpn/client1.up' is group or others accessible
Jul 9 19:46:06	openvpn	61970	OpenVPN 2.4.4 amd64-portbld-freebsd11.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Mar 16 2018
Jul 9 19:46:06	openvpn	61970	library versions: OpenSSL 1.0.2m-freebsd 2 Nov 2017, LZO 2.10
Jul 9 19:46:06	openvpn	62123	WARNING: using --pull/--client and --ifconfig together is probably not what you want
Jul 9 19:46:06	openvpn	62123	WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jul 9 19:46:06	openvpn	62123	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 9 19:46:06	openvpn	62123	TCP/UDP: Preserving recently used remote address: [AF_INET]85.214.3.71:1194
Jul 9 19:46:06	openvpn	62123	UDPv4 link local (bound): [AF_INET]150.111.111.154:0
Jul 9 19:46:06	openvpn	62123	UDPv4 link remote: [AF_INET]85.214.3.71:1194
Jul 9 19:46:12	openvpn	62123	event_wait : Interrupted system call (code=4)
Jul 9 19:46:12	openvpn	62123	SIGTERM[hard,] received, process exiting
Jul 9 19:46:12	openvpn	67091	WARNING: file '/var/etc/openvpn/client1.up' is group or others accessible
Jul 9 19:46:12	openvpn	67091	OpenVPN 2.4.4 amd64-portbld-freebsd11.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Mar 16 2018
Jul 9 19:46:12	openvpn	67091	library versions: OpenSSL 1.0.2m-freebsd 2 Nov 2017, LZO 2.10
Jul 9 19:46:12	openvpn	67227	WARNING: using --pull/--client and --ifconfig together is probably not what you want
Jul 9 19:46:12	openvpn	67227	WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jul 9 19:46:12	openvpn	67227	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 9 19:46:12	openvpn	67227	TCP/UDP: Preserving recently used remote address: [AF_INET]85.214.3.71:1194
Jul 9 19:46:12	openvpn	67227	UDPv4 link local (bound): [AF_INET]150.111.111.154:0
Jul 9 19:46:12	openvpn	67227	UDPv4 link remote: [AF_INET]85.214.3.71:1194
Jul 9 19:47:13	openvpn	67227	[UNDEF] Inactivity timeout (--ping-restart), restarting
Jul 9 19:47:13	openvpn	67227	SIGUSR1[soft,ping-restart] received, process restarting
Jul 9 19:47:23	openvpn	67227	WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jul 9 19:47:23	openvpn	67227	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 9 19:47:23	openvpn	67227	TCP/UDP: Preserving recently used remote address: [AF_INET]85.214.3.71:1194
Jul 9 19:47:23	openvpn	67227	UDPv4 link local (bound): [AF_INET]150.111.111.154:0
Jul 9 19:47:23	openvpn	67227	UDPv4 link remote: [AF_INET]85.214.3.71:1194
Jul 9 19:48:23	openvpn	67227	[UNDEF] Inactivity timeout (--ping-restart), restarting
Jul 9 19:48:23	openvpn	67227	SIGUSR1[soft,ping-restart] received, process restarting
Jul 9 19:48:33	openvpn	67227	WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jul 9 19:48:33	openvpn	67227	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 9 19:48:33	openvpn	67227	TCP/UDP: Preserving recently used remote address: [AF_INET]85.214.3.71:1194
Jul 9 19:48:33	openvpn	67227	UDPv4 link local (bound): [AF_INET]150.111.111.154:0
Jul 9 19:48:33	openvpn	67227	UDPv4 link remote: [AF_INET]85.214.3.71:1194

Ich habe beim OpenVPN-Client auf dem Handy auch mal ins Log geschaut und die Einstellungen da mal abgeschrieben. Also zu dem Screenshots oben ergeben sich noch die Änderungen:

• Verschlüsselungsalgorithmus: BF-CBC 128 Bit.
• Entferntes IPv4 Netzwerk: 10.144.0.0/24
• IPv4-Tunnel-Netzwerk: 10.22.22.0/24

Falls ich noch etwas liefern soll, sagt Bescheid :)

Ich danke :)

Gladius

@blubb1992

Hast du das Zertifikat von Strato mittels Cert. Manager importiert und dich bei der Konfiguration
des Clients darauf bezogen?

Ich würde bei der Konfiguration des Clients in pfSense auch erst einmal
nur die cipher BF-128-CBC angeben und auf NCP verzichten.

Ein Vergleich der unter /var/etc/openvpn erstellten Konfiguration mit der von Strato
gelieferten wäre auch nützlich.

LG

A Former User

@gladius

Ja das habe ich importiert und angegeben. NCP habe ich deaktiviert, was nichts geändert hat. Hat leider bisschen gedauert, bis ich raus hatte wie ich an die Config komme :D

So das ist die exportiere config:

dev ovpnc1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher BF-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 150.111.111.154
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote openvpn.hidrive.strato.com 1194
ifconfig 10.22.22.2 10.22.22.1
auth-user-pass /var/etc/openvpn/client1.up
auth-retry nointeract
route 10.144.0.0 255.255.255.0
ca /var/etc/openvpn/client1.ca 
tls-auth /var/etc/openvpn/client1.tls-auth 1
ncp-disable
passtos
resolv-retry infinite
topology subnet

das ist die von Strato:

dev tun
client
remote openvpn.hidrive.strato.com
auth-user-pass
auth-retry interact
ca ca.drive.strato.com.crt
tls-auth tls-auth.key
ns-cert-type server

es scheint ja paar Unterschiede zu geben, aber iwie kann ich diese nicht nachvollziehen, da ich ja alles eingestellt habe, so wie es in der conf steht.

Danke :)

Gladius

@blubb1992

Schau mal in diesem Blog unter der Rubrik TLS-Auth

Stato verwendet TLS-Auth in einer Weise, die von pfSense bei der Konfiguration des Clients in einer speziellen Weise
angegeben werden muß. Verfahre bitte wie im Blog beschrieben.

Ich hoffe dieser Tip kann dir weiterhelfen.

LG

A Former User

@gladius

Guten Morgen,

genau die Anleitung hab ich durchgearbeitet :D Aber dank des Exportes hab ich mal geschaut, wie es in der PFSENSE eigenen vpn config steht.

Dort steht tls-auth /var/etc/openvpn/client1.tls-auth 1 und die 1 für Client wenn ich jetzt in der GUI TLS-Auth ausschalte und dann als erweiterte Config tls-auth /var/etc/openvpn/client1.tls-auth (ohne eine Ziffer) angebe, funktioniert es :)

Danke für Deine Hilfe :)

Gladius

@blubb1992 said in [SOLVED] Pfsense OPENVPN to Strato HiDrive:

Danke für Deine Hilfe

Nichts zu danken. Für Hilfeleistungen sind wir doch im Forum gern bereit und dieser
spezielle Fall des Umganges mit TLS-Auth von Strato beim OpenVPN-Client mit
pfSense verdient es im Gedächtnis zu bleiben. Da wäre ich auch drüber gestolpert.

LG