PfSense OpenVPN Client Konfiguration



  • Hallo Forum!

    Ich hab eine Online Festplatte bei speeddrive.de, auf welchen ich über einen OpenVPN Tunnel zugreife. Bisher hab ich den Tunnel auf jedem Client geöffnet und auf die Daten zugegriffen. Aber mein Ziel wäre es den Tunnel über pfSense zu öffnen und somit alle Clients implizit über Routing den Zugriff zu ermöglichen.
    Allerdings schaffe ich es nicht das Ganze unter pfSense zum Laufen zu bekommen. Ich muss auch gestehen, dass ich nicht gerade ein Profi bin - ganz im Gegenteil. - Hab mich durch's Internet gewühlt, aber nichts gefunden, was mir geholfen hat.
    Vom Anbieter bekam ich folgende Konfiguration: (welche wie gesagt unter Windows anstandslos funktioniert)

    speeddrive.ovpn:

    client
    dev tun
    proto udp
    tun-mtu 1440
    fragment 1400
    mssfix
    remote vpn.speeddrive.de 1194
    auth-user-pass
    auth-retry interact
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca ca.crt 
    tls-auth ta.key 1
    ns-cert-type server
    
    verb 3
    
    # Downgrade privileges after initialization (non-Windows only)
    #user nobody
    #group nobody
    
    

    weiters hab ich ein ta.key und ca.crt File bekommen

    So hab ich es probiert:
    unter System/Cert Manager/CAs lege ich einen neuen CA an

    unter Certificates lege ich ein neues Zertifikat an

    weiters hab ich für die Authentifizierung folgendes File unter /var/etc/openvpn/ erstellt
    client3.pw

    User_von_speeddrive
    Password_im_Klartext
    

    und dann unter VPN/OpenVPN/Client



    und dann hab ich unter den Advanced Configuration folgende Einträge gemacht:

    auth-user-pass /var/etc/openvpn/client3.pw
    ns-cert-type server
    
    ```alle restlichen sind mittels # auskommentiert
    
    und dann bekomme ich folgenden Fehler
    ![](http://techculture.pisch.at/images/stories/Technik/Software/systemlog.png)
    
    Irgend etwas mache ich da sicherlich komplett falsch; nur was?


  • Hi hudriwudri5 ,

    du hast unter speeddrive.de …..

    weiters hab ich ein ta.key und ca.crt File bekommen

    …..Key und Certifikat für den Client bekommen.
    Der gehört in die pfSense Client-config des Tunnels.
    Du erstellst einen neuen Key und ein Zertifikat in der pfSense und wunderst Dich das es nicht funktioniert.
    Wenn Du schon ein neues Certifikat anlegst, müsstest Du das dann nach speeddrive.de exportieren, wenn das überhaupt geht.

    Gruß orcape



  • Hallo orcape,

    ich dachte mit dem Importieren im Certificat Manager mache ich genau das,dass ich key + certifikat zur Verfügung stelle. - deshalb hab ich dieses importierte Zeritikat auch als client Certificate verwendet.
    Soweit wäre es für mich auch logisch gewesen. Aber was mache ich mit den restlichen Feldern?
    z.B. Peer Certificate Authority - da muss ich was angeben, und mein lokales Zertifikat schien mir noch unmöglicher.
    wenn ich mir die erstellten files ansehe, dann steht in
    client3.ca + client3.cert –> ca.crt
    client3.key --> ta.key
    Das bedeutet doch, dass es nicht neu erstellt wurde sondern wirklich "nur" importiert wurde?



  • Hi hudriwudri5 ,

    poste doch bitte mal das OpenVPN-Log. Auf den Bildern ist da Null zu erkennen und vergrößern lassen die sich nicht.

    Gruß orcape



  • Hallo ocape,

    hier der Log

    
    mit verb 3
    Apr 22 18:38:18 pfsense openvpn[16412]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
    Apr 22 18:38:18 pfsense openvpn[16412]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Apr 22 18:38:18 pfsense openvpn[16412]: Cannot load private key file /var/etc/openvpn/client3.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
    Apr 22 18:38:18 pfsense openvpn[16412]: Error: private key password verification failed
    Apr 22 18:38:18 pfsense openvpn[16412]: Exiting
    
    mit verb 5
    Apr 22 19:14:50 pfsense openvpn[55426]: Current Parameter Settings:
    Apr 22 19:14:50 pfsense openvpn[55426]:   config = '/var/etc/openvpn/client3.conf'
    Apr 22 19:14:50 pfsense openvpn[55426]:   mode = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   show_ciphers = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   show_digests = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   show_engines = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   genkey = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   key_pass_file = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   show_tls_ciphers = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]: Connection profiles [default]:
    Apr 22 19:14:50 pfsense openvpn[55426]:   proto = udp
    Apr 22 19:14:50 pfsense openvpn[55426]:   local = '192.168.50.2'
    Apr 22 19:14:50 pfsense openvpn[55426]:   local_port = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote = 'vpn.speeddrive.de'
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_port = 1194
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_float = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   bind_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   bind_local = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   connect_retry_seconds = 5
    Apr 22 19:14:50 pfsense openvpn[55426]:   connect_timeout = 10
    Apr 22 19:14:50 pfsense openvpn[55426]:   connect_retry_max = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_server = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_port = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   socks_proxy_retry = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]: Connection profiles END
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_random = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   ipchange = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   dev = 'ovpnc3'
    Apr 22 19:14:50 pfsense openvpn[55426]:   dev_type = 'tun'
    Apr 22 19:14:50 pfsense openvpn[55426]:   dev_node = '/dev/tun3'
    Apr 22 19:14:50 pfsense openvpn[55426]:   lladdr = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   topology = 1
    Apr 22 19:14:50 pfsense openvpn[55426]:   tun_ipv6 = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_local = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_remote_netmask = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_noexec = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_nowarn = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_local = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_netbits = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_remote = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   shaper = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu = 1500
    Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_defined = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   link_mtu = 1500
    Apr 22 19:14:50 pfsense openvpn[55426]:   link_mtu_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_extra = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   tun_mtu_extra_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   fragment = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   mtu_discover_type = -1
    Apr 22 19:14:50 pfsense openvpn[55426]:   mtu_test = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   mlock = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   keepalive_ping = 10
    Apr 22 19:14:50 pfsense openvpn[55426]:   keepalive_timeout = 60
    Apr 22 19:14:50 pfsense openvpn[55426]:   inactivity_timeout = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   ping_send_timeout = 10
    Apr 22 19:14:50 pfsense openvpn[55426]:   ping_rec_timeout = 60
    Apr 22 19:14:50 pfsense openvpn[55426]:   ping_rec_timeout_action = 2
    Apr 22 19:14:50 pfsense openvpn[55426]:   ping_timer_remote = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   remap_sigusr1 = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   explicit_exit_notification = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   persist_tun = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   persist_local_ip = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   persist_remote_ip = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   persist_key = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   mssfix = 1450
    Apr 22 19:14:50 pfsense openvpn[55426]:   passtos = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   resolve_retry_seconds = 1000000000
    Apr 22 19:14:50 pfsense openvpn[55426]:   username = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   groupname = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   chroot_dir = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   cd_dir = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   writepid = '/var/run/openvpn_client3.pid'
    Apr 22 19:14:50 pfsense openvpn[55426]:   up_script = '/usr/local/sbin/ovpn-linkup'
    Apr 22 19:14:50 pfsense openvpn[55426]:   down_script = '/usr/local/sbin/ovpn-linkdown'
    Apr 22 19:14:50 pfsense openvpn[55426]:   down_pre = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   up_restart = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   up_delay = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   daemon = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   inetd = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   log = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   suppress_timestamps = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   nice = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   verbosity = 5
    Apr 22 19:14:50 pfsense openvpn[55426]:   mute = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   gremlin = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   status_file = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   status_file_version = 1
    Apr 22 19:14:50 pfsense openvpn[55426]:   status_file_update_freq = 60
    Apr 22 19:14:50 pfsense openvpn[55426]:   occ = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   rcvbuf = 65536
    Apr 22 19:14:50 pfsense openvpn[55426]:   sndbuf = 65536
    Apr 22 19:14:50 pfsense openvpn[55426]:   sockflags = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   fast_io = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   lzo = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_script = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_default_gateway = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_default_metric = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_noexec = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay_window = 30
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_delay_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_nopull = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   route_gateway_via_dhcp = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   max_routes = 100
    Apr 22 19:14:50 pfsense openvpn[55426]:   allow_pull_fqdn = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_addr = '/var/etc/openvpn/client3.sock'
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_port = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_user_pass = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_log_history_cache = 250
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_echo_buffer_size = 100
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_write_peer_info_file = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_client_user = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_client_group = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   management_flags = 256
    Apr 22 19:14:50 pfsense openvpn[55426]:   shared_secret_file = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   key_direction = 2
    Apr 22 19:14:50 pfsense openvpn[55426]:   ciphername_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   ciphername = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   authname_defined = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   authname = 'SHA1'
    Apr 22 19:14:50 pfsense openvpn[55426]:   prng_hash = 'SHA1'
    Apr 22 19:14:50 pfsense openvpn[55426]:   prng_nonce_secret_len = 16
    Apr 22 19:14:50 pfsense openvpn[55426]:   keysize = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   engine = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   replay = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   mute_replay_warnings = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   replay_window = 64
    Apr 22 19:14:50 pfsense openvpn[55426]:   replay_time = 15
    Apr 22 19:14:50 pfsense openvpn[55426]:   packet_id_file = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   use_iv = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   test_crypto = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   tls_server = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   tls_client = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   key_method = 2
    Apr 22 19:14:50 pfsense openvpn[55426]:   ca_file = '/var/etc/openvpn/client3.ca'
    Apr 22 19:14:50 pfsense openvpn[55426]:   ca_path = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   dh_file = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   cert_file = '/var/etc/openvpn/client3.cert'
    Apr 22 19:14:50 pfsense openvpn[55426]:   priv_key_file = '/var/etc/openvpn/client3.key'
    Apr 22 19:14:50 pfsense openvpn[55426]:   pkcs12_file = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   cipher_list = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   tls_verify = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   tls_export_cert = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   tls_remote = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   crl_file = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   ns_cert_type = 64
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_ku[i] = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   remote_cert_eku = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   tls_timeout = 2
    Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_bytes = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_packets = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   renegotiate_seconds = 3600
    Apr 22 19:14:50 pfsense openvpn[55426]:   handshake_window = 60
    Apr 22 19:14:50 pfsense openvpn[55426]:   transition_window = 3600
    Apr 22 19:14:50 pfsense openvpn[55426]:   single_session = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   push_peer_info = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   tls_exit = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   tls_auth_file = '/var/etc/openvpn/client3.tls-auth'
    Apr 22 19:14:50 pfsense openvpn[55426]:   server_network = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   server_netmask = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   server_network_ipv6 = ::
    Apr 22 19:14:50 pfsense openvpn[55426]:   server_netbits_ipv6 = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_ip = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_netmask = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_pool_start = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   server_bridge_pool_end = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_start = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_end = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_netmask = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_persist_filename = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_pool_persist_refresh_freq = 600
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_base = ::
    Apr 22 19:14:50 pfsense openvpn[55426]:   ifconfig_ipv6_pool_netbits = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   n_bcast_buf = 256
    Apr 22 19:14:50 pfsense openvpn[55426]:   tcp_queue_limit = 64
    Apr 22 19:14:50 pfsense openvpn[55426]:   real_hash_size = 256
    Apr 22 19:14:50 pfsense openvpn[55426]:   virtual_hash_size = 256
    Apr 22 19:14:50 pfsense openvpn[55426]:   client_connect_script = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   learn_address_script = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   client_disconnect_script = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   client_config_dir = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   ccd_exclusive = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   tmp_dir = '/tmp'
    Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_local = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_remote_netmask = 0.0.0.0
    Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_defined = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_local = ::/0
    Apr 22 19:14:50 pfsense openvpn[55426]:   push_ifconfig_ipv6_remote = ::
    Apr 22 19:14:50 pfsense openvpn[55426]:   enable_c2c = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   duplicate_cn = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   cf_max = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   cf_per = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   max_clients = 1024
    Apr 22 19:14:50 pfsense openvpn[55426]:   max_routes_per_client = 256
    Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_verify_script = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_verify_script_via_file = DISABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   ssl_flags = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   port_share_host = '[UNDEF]'
    Apr 22 19:14:50 pfsense openvpn[55426]:   port_share_port = 0
    Apr 22 19:14:50 pfsense openvpn[55426]:   client = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   pull = ENABLED
    Apr 22 19:14:50 pfsense openvpn[55426]:   auth_user_pass_file = '/var/etc/openvpn/client3.pw'
    Apr 22 19:14:50 pfsense openvpn[55426]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
    Apr 22 19:14:50 pfsense openvpn[55426]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client3.sock
    Apr 22 19:14:50 pfsense openvpn[55426]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Apr 22 19:14:50 pfsense openvpn[55426]: Cannot load private key file /var/etc/openvpn/client3.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
    Apr 22 19:14:50 pfsense openvpn[55426]: Error: private key password verification failed
    Apr 22 19:14:50 pfsense openvpn[55426]: Exiting
    
    direkter Link auf die Bilder 
    [url]http://techculture.pisch.at/images/stories/Technik/Software/ca.png[/url]
    [url]http://techculture.pisch.at/images/stories/Technik/Software/cert.png[/url]
    [url]http://techculture.pisch.at/images/stories/Technik/Software/client1.png[/url]
    [url]http://techculture.pisch.at/images/stories/Technik/Software/client2.png[/url]
    [url]http://techculture.pisch.at/images/stories/Technik/Software/client3.png[/url]
    [url]http://techculture.pisch.at/images/stories/Technik/Software/systemlog.png[/url]
    
    und hier nochmal (ohne Bilder) das, was ich gemacht hab:
    OpenVPN: Client
    [code]
    Server Mode: Peer to Peer (SSL/TLS)
    Protocol: UDP
    Device mode: tun
    Interface WAN
    local Port: leer
    Server host or address: vpn.speeddrive.de
    Server Port: 1194
    Proxy host or address: leer
    Proxy port: leer
    Proxy auth method: none
    Server host name resolution: nein
    
    TLS Authentication: 
       Enable authentication of TLS packets: ja
              ta.key Inhalt hineinkopiert
    Peer Certificate Authority:  speeddrive.de  (das importierte ca.crt)
    Client Certificate:    xxxxx_speeddrive.de * In Use  (das importierte ca.crt + ta.key)
    Encryption algorithm: None (No Encryption)
    Hardware Crypto: No Hardware Crypto Acceleration
    
    Tunnel Network: leer
    Remote Interface: leer
    Limit outgoing bandwith: leer
    Compression: nein
    Type-of-Service: nein
    
    Advanced:
    auth-user-pass /var/etc/openvpn/client3.pw
    ns-cert-type server
    #mssfix
    #persist-key
    #persist-tun
    #resolv-retry infinite
    #tun-mtu 1440
    [/code]
    
    mir ist klar, dass erst einmal ein Problem besteht den key zu lesen - sagt er ja schön brav. - Aber ich hab keine Ahnung, wo und wie ich die Parameter, die ich bekommen hab in der Oberfläche eintragen muss.
    und ob das mit dem auth-user-pass  auch wirklich so funktioniert, wie ich die Beschreibung verstanden hab. Ein File, welches in der 1\. Zeile die UserID und in der 2\. Zeile das Passwort beinhaltet. - so hab ich es angelegt und hoffe, dass durch diese Zeile die Authentifizierung automatisch erfolgt.
    
    einstweilen Danke!
    
    [/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i][/i]
    


  • Hi hudriwudri5,

    was die Key-Fehlermeldung betrifft ist Dir klar. Ich habe auch einige Anläufe gebraucht bis alles funktioniert hat.
    Hier sind mal meine gewesenen Probleme….
    Vielleicht kannst Du Dir ja auch schon aus den Routingtabellen und den Logs etwas ableiten, hier arbeitet die pfSense aber als Server und das remote Netz (Client) ist ein Linksys-Router.....

    http://www.administrator.de/index.php?content=179344
    http://www.dd-wrt.com/phpBB2/viewtopic.php?t=152940&postdays=0&postorder=asc&start=0

    Im Admin-Forum sind auch einige Erklärungen zum Aufbau eines OpenVPN zu finden.
    Ich tippe aber in erster Linie auf ein Zertifikatsproblem.
    Wenn man die Authentifikation auf dem Server abschalten könnte, dann wüsstest Du zumindest wo´s klemmt.

    Gruß orcape



  • Hallo Forum,

    kurzer Statusbericht und Hoffnung auf weitere Hilfe:

    Ich hab es jetzt geschafft, dass eine VPN-Verbindung aufgebaut wird - war eigendlich ein ganz banler Fehler: Client Certificate konnte nicht authentifiziert werden - kein Wunder, denn ich hab ja für gelieferten key kein Passwort.
    Nachdem ich mein lokales Zertifikat verwendet hab - das kann ich ja lesen, hat es geklappt.
    Schlussendlich wird dieses überhaupt nicht verwendet.
    somit habe ich jetzt folgende Konfiguration:

    
    Server Mode: Peer to Peer (SSL/TLS)
    Protocol: UDP
    Device mode: tun
    Interface WAN
    local Port: leer
    Server host or address: vpn.speeddrive.de
    Server Port: 1194
    Proxy host or address: leer
    Proxy port: leer
    Proxy auth method: none
    Server host name resolution: ja
    
    TLS Authentication: 
       Enable authentication of TLS packets: ja
              ta.key Inhalt hineinkopiert
    Peer Certificate Authority:  speeddrive.de  (das importierte ca.crt)
    Client Certificate:    webConfigurator default
    Encryption algorithm: BF-CBC (128-bit)
    Hardware Crypto: BSD cryptodev engine
    
    Tunnel Network: leer
    Remote Interface: leer
    Limit outgoing bandwith: leer
    Compression: nein
    Type-of-Service: nein
    
    Advanced:
    verb 3
    engine cryptodev
    tun-mtu 1440
    fragment 1400
    mssfix
    auth-user-pass /var/etc/openvpn/client3.pw
    ns-cert-type server
    #redirect-gateway
    auth-nocache
    user nobody
    group nobody
    
    

    und das generiert dann diese conf:

    
    dev ovpnc3
    dev-type tun
    dev-node /dev/tun3
    writepid /var/run/openvpn_client3.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher BF-CBC
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local 192.168.50.2
    engine cryptodev
    tls-client
    client
    lport 0
    management /var/etc/openvpn/client3.sock unix
    remote vpn.speeddrive.de 1194
    ca /var/etc/openvpn/client3.ca
    cert /var/etc/openvpn/client3.cert
    key /var/etc/openvpn/client3.key
    tls-auth /var/etc/openvpn/client3.tls-auth 1
    resolv-retry infinite
    verb 3
    engine cryptodev
    tun-mtu 1440
    fragment 1400
    mssfix
    auth-user-pass /var/etc/openvpn/client3.pw
    ns-cert-type server
    auth-nocache
    user nobody
    group nogroup
    
    

    die Verbindung steht:
    http://techculture.pisch.at/images/stories/Technik/Software/openvpn_client.png

    es werden auch Routen eingetragen
    http://techculture.pisch.at/images/stories/Technik/Software/route.png

    aber es funktioniert kein Ping, und schon gar nicht das mounten des Online Drives
    obwohl ich für OpenVPN alles zulasse
    http://techculture.pisch.at/images/stories/Technik/Software/openvpn_rules.png

    ein tracepath auf 192.168.72.85 (interpretiere ich zumindest so)

    
    user@client:~$ tracepath 192.168.72.1
     1:  client.virtual.domain.de (192.168.51.3)                 0.115ms pmtu 1500
     1:  pfsense.virtual.domain.de (192.168.51.1)               0.371ms
     1:  pfsense.virtual.domain.de (192.168.51.1)               0.816ms
     2:  pfsense.virtual.domain.de (192.168.51.1)               0.369ms pmtu 1440
     2:  no reply
     3:  no reply
    31:  no reply
         Too many hops: pmtu 1440
         Resume: pmtu 1440
    
    

    da die mtu auf 1440 geändert wird, nehme ich an, dass es im Tunnel ist
    aber es findet das Ziel nicht.

    Vielleicht hat ja jemand eine Idee woran es noch haken könnte.



  • Hi,
    wie sehen die LAN-Rules aus –-> OpenVPN ?

    Gruß orcape



  • Hallo orcape,

    nicht mal mit diesen Regeln geht es

    
            Proto Source  Port Destination Port Gateway Queue Shedule
    LAN     *     *        *   *            *      *     none    
    OpenVPN *     *        *   *            *      *     none 
    
    

    und was ich nicht verstehe, dass der Tunnel scheinbar funktionstüchtig ist, denn sonst könnten sich doch nicht die Bytes Sent und Bytes Received unter Status/OpenVPN ändern?!

    Hab es auch schon von einer anderen pfSense probiert (einer, bei der schon ein VPN Client (aber wo anders hin) funktioniert - genau das gleiche Verhalten.



  • Hab gestern eine Antwort vom Dienstanbieter bekommen:

    wenn Sie den Tunnel erfolgreich auf Ihrer PFSence aufgebaut haben. Könne Sie von der PFSence direkt auf den Speeddrive mit der URL: "xxxx.openvpn.speeddrive.de" zugreifen. Sollten Sie den Zugang auch für Systeme hinter Ihrer PFSence nutzen wollen, so müssten Sie die dahinter liegenden Systeme mittels NAT Maskieren. Hintergrund: Unser Tunnel System kennt Ihr privates LAN Netz nicht, sondern nur die dem Tunnelendpunkt zugewiesene IP. Deswegen gibt es für die Antwortpakete keine Rückroute!

    Aber ich kann auf der pfSense ja auch nicht pingen - oder verstehe ich da noch immer was falsch? - Die Clients hinter der pfSense müssten dann ja implizit über das Routing und NAT funktionieren?



  • Hi,

    versuchs mal mit einer WAN-Rule zusätzlich zu deiner OpenVPN-Rule.
    any-to-any Tunnelport.

    Gruss orcape



  • Hi orcape,

    auf der WAN Seite hab ich natürlich den Port geöffnet

    
            Proto Source  Port Destination Port Gateway Queue Shedule
    WAN     *     *        *   *           1194    *     none 
    
    

    ohne diese Regel geht's sowieso nicht - da kämen dann ja überhaupt keine Daten rein und raus.

    Nachdem ich mir die Antwort vom Dienstanbieter noch ungefähr 10x durchgelesen hab, glaube ich, ich muss da irgendwas bei Otubound NAT einstellen - aber da werde ich überhaupt nicht schlau, was und wie.
    Irgendwie kann ich ja nachvollziehen, dass die Retourroute nicht klar ist, bei mir wird ja vor der pfSense nochmal NAT gemacht; aber ganz klar ist es mir doch nicht, denn wenn ich den Tunnel auf einem Windows Client hinter der pfSense mache (also NAT durch pfSense und NAT durch ADSL-Router) funktioniert es ja perfekt.

    Und bei den OpenVPN Client/Server, mit denen ich 2 Standorte miteinander verbinde, gehe ich auch über einen ADSL-Router (mit NAT) und beiden Clients funktioniert der VPN Tunnel zum Onlinespeicher, und das Pingen, aber auf den jeweiligen pfSense bekomme ich es nicht hin.

    lg. hudriwudri


Locked