C*berghost Sammelthread
-
Mahlzeit,
C*berghost ist denke ich mal für viele "das Bekannteste" VPN Netzwerk, was auch auf diversen PFSENSE Geräten laufen dürfte.
Leider (oder gottseidank?) hat der Dienstanbieter die Eigenheit sehr häufig seine Einstellungen (Verschlüsselungsalgorythmen, Ports) zu ändern, sodass dann keine Verbindung mehr möglich ist.
Daher starte ich hier mal einen Sammelthread, wo ich versuche immer die Angaben aktuell zu halten, um den Dienst auf PFSense lauffähig zu halten und werde bei Änderungen seitens des Anbieters die Lösungsmöglichkeit hier hineinschreiben.Server mode: Peer to Peer (SSL/TLS)
Protocol: UDP
Device mode: tun
Interface: JE NACH EUREM ANSCHLUSS AUSWÄHLEN
Local port: LEER LASSEN
Server host or address: 1-ch.cg-dialup.net (oder 1-at.cg…. ; 1-pl.cg.... ; 1-gb.cg.....)
Server port: 443
Proxy host or address: LEER LASSEN
Proxy Auth. - Extra options : none
Server hostname resolution: HAKEN SETZENTLS authentication: Kein Haken
Peer Certificate Authority: JE NACH EURER KONFIGURATION
Client Certificate: JE NACH EURER KONFIGURATION
Encryption Algorithm: AES-256-CBC
Auth digest algorithm: RSA-SHA256 (256-bit)
Hardware Crypto: JE NACH EURER HARDWARE
Compression: Enabled with adaptive compression
Topology: net30 – isolated / 30 network per clientCustom options:
auth-user-pass SPEICHERORT EURES USERDATEN FILES EINGEBEN
resolv-retry infinite
redirect-gateway def1
persist-key
persist-tun
cipher AES-256-CBC
auth MD5
keepalive 5 60
ping-timer-rem
explicit-exit-notify 2
script-security 2
remote-cert-tls server
route-delay 5
tun-mtu 1500
fragment 1300
mssfix 1300
verb 4
Verbosity level: 4LETZTE ÄNDERUNGEN:
~Februar 2016: Server Port von 9081 auf 443 geändert -> Keine Verbindung mehr auf 9081 möglich, Port zu 443 ändern, um Verbindung zu erhalten.
04.07.2016: Auth digest algorithm von MD5 auf RSA-SHA256 geändert -> Folge: Ständige Verbindungsabbrüche mit MD5, Verschlüsselungsalgorhytmus auf RSA-SHA256 ändern (falls nicht in Liste verfügbar, PFSENSE updaten).
06.09.2016: Verbindung war dauerhaft instabil, Host (XY-XY.cg-dialup.net) nicht erreichbar gewesen, erst nach Neustart der Firewall. Habe nun die Konfiguration wir oben fett markiert angepasst und die Custom-Options komplett überarbeitet, bis jetzt ist alles stabil.07.05.2020
In Custom Options muss comp-lzo entfernt werden. Unter Openvpn -> Clients -> Compression -> OMIT Preference (Use OPENVPN Default) auswählen. Hier NICHT MEHR Adaptive LZO auswählen, hierdurch käme KEINERLEI funktionelle VPN Verbindung mehr zustande. -
RESERVIERT FÜR ZUKÜNFTIGE ERGÄNZUNGEN