OpenVPN Konfiguration
disposableHero 16.08.2024 - 08:26 802 3
disposableHero
Addicted
|
Hallo zusammen, ich habe ein Problem mit der client-seitigen Konfiguration einer OpenVPN Verbindung. Ich bekomme von einem Kunden drei Dateien: client.opvn client.p12 client.pem wenn ich die Verbindung aufbauen will mit: # openvpn client.opvn
bekomme ich folgenden output (echten hostname und IP ausgetauscht auf vpn.server.tld und ip-adresse-1) 2024-08-16 08:01:09 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.
2024-08-16 08:01:09 OpenVPN 2.6.10 x86_64-suse-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD]
2024-08-16 08:01:09 library versions: OpenSSL 3.1.4 24 Oct 2023, LZO 2.10
Enter Private Key Password: •••••••••
2024-08-16 08:01:14 TCP/UDP: Preserving recently used remote address: [AF_INET]ip-adresse-1:1194
2024-08-16 08:01:14 Socket Buffers: R=[212992->212992] S=[212992->212992]
2024-08-16 08:01:14 UDPv4 link local: (not bound)
2024-08-16 08:01:14 UDPv4 link remote: [AF_INET]ip-adresse-1:1194
2024-08-16 08:01:15 TLS: Initial packet from [AF_INET]ip-adresse-1:1194, sid=a0278cf8 c827db2e
2024-08-16 08:01:18 VERIFY OK: depth=1, CN=CA 657762 SINEMA RC
2024-08-16 08:01:18 VERIFY KU OK
2024-08-16 08:01:18 Validating certificate extended key usage
2024-08-16 08:01:18 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-08-16 08:01:18 VERIFY EKU OK
2024-08-16 08:01:18 VERIFY OK: depth=0, CN=vpn.server.tld
2024-08-16 08:01:18 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bits RSA, signature: RSA-SHA256, peer temporary key: 253 bits X25519
2024-08-16 08:01:18 [vpn.server.tld] Peer Connection Initiated with [AF_INET]ip-adresse-1:1194
2024-08-16 08:01:18 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
2024-08-16 08:01:18 TLS: tls_multi_process: initial untrusted session promoted to trusted
2024-08-16 08:01:19 SENT CONTROL [vpn.server.tld]: 'PUSH_REQUEST' (status=1)
2024-08-16 08:01:19 AUTH: Received control message: AUTH_FAILED
2024-08-16 08:01:19 SIGTERM[soft,auth-failure] received, process exiting
Inhalt client.opvn: dev tun
client
cipher AES-128-CBC
auth SHA256
auth-nocache
nobind
verb 3
max-routes 33
route-delay 2
remote-cert-tls server
tls-version-min 1.2
remote vpn.server.tld 1194 udp
remote ip-adresse-1 1194 udp
remote ip-adresse-2 1194 udp
remote vpn.server.tld 5443 tcp
remote ip-adresse-1 5443 tcp
remote ip-adresse-2 5443 tcp
<pkcs12>
-----BEGIN CERTIFICATE-----
vie1eZeil3n
fAnCy-kryph0
-----END CERTIFICATE-----
</pkcs12>
Inhalt client.p12: vie1eZeil3n
fAnCy-kryph0
Inhalt client.pem: <cert>
-----BEGIN CERTIFICATE-----
vie1eZeil3n
fAnCy-kryph0
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,3A8819ED35563DCB6FBCD17BF7729C6F
vie1eZeil3n
fAnCy-kryph0
-----END RSA PRIVATE KEY-----
</key>
<ca>
-----BEGIN CERTIFICATE-----
vie1eZeil3n
fAnCy-kryph0
-----END CERTIFICATE-----
</ca>
diese Konfiguration funktioniert mit dem OpenVPN Connect Client aber eben nicht mit dem CLI openvpn client meiner Linux Maschine. Wenn ich die Config im NetworkManager importiere (unter Plasma6) funktioniert es auch nicht, aber da bin ich echt zu blöd das Log zu finden. Da kommt jedenfalls ein Timeout. # openvpn --version: OpenVPN 2.6.10 x86_64-suse-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD]
library versions: OpenSSL 3.1.4 24 Oct 2023, LZO 2.10
Originally developed by James Yonan
Copyright (C) 2002-2024 OpenVPN Inc <sales@openvpn.net>
Compile time defines: enable_async_push=no enable_comp_stub=no enable_crypto_ofb_cfb=yes enable_dco=no enable_dco_arg=auto enable_debug=yes enable_dependency_tracking=no enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=needless enable_fragment=yes enable_iproute2=yes enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_pam_dlopen=no enable_pedantic=no enable_pkcs11=yes enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=yes enable_werror=no enable_win32_dll=yes enable_wolfssl_options_h=yes enable_x509_alt_username=yes with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_openssl_engine=auto with_sysroot=no
Hat jemand eine Idee?
|
COLOSSUS
AdministratorGNUltra
|
Bei OpenVPN wirst du nur im Server-Log ueber Ursache des fehlschlagenden Auth-Versuches informiert werden - der Client kriegt keine Information darueber, was genau nicht gepasst hat.
|
disposableHero
Addicted
|
Ich habs befürchtet. Leider habe ich keinen Zugriff auf den Server. Das wird eine Prozedur werden ...
Danke jedenfalls für den Hinweis!
|
disposableHero
Addicted
|
da ich mich mit dem OpenVPN Connect Client am Android Phone erfolgreich verbinden kann, ist mir die Idee gekommen den VPN via Hotspot durchzuleiten. Geht mit einem Proxy. Danke Internet :-) Ich kann mich dann auch mit ssh USER@FINAL_DEST -o "ProxyCommand=nc -X connect -x PROXYHOST:PROXYPORT %h %p"
mit angepassten Parametern auch gut auf das auf der anderen Seite laufende Gerät verbinden und erfolgreich einloggen. Soweit so gut. das SSH Gerät ist ein Raspi der lokal auf eine weiteres Gerät mit einem laufenden Webinterface verbunden ist. Ich habe in meiner SSH Config ein LocalForward LOCALPORT CLIENT_MIT_WEB-IF_IP:80
drinnen. Da habe ich noch ein ProxyJump PROXY_IP
eingefügt. Im Firefox noch den Proxy eingetragen und *JUBEL!* es geht, ich komme auf das Webinterface am letzten Ende der laaaangen Kette  Somit habe ich einen funktionierenden Workaround. Gerade habe ich die Server-Logs bekommen, das schaue ich mir gleich an. Mal schauen was der sagt. edit: das einzige, was für mich jetzt raussticht ist die Meldung: OpenVPNManager;"No valid client with CN ""xxxxxxxxx"""
jemand eine Idee?
|
Anmeldung