It is currently 23.11.2017 07:23


All times are UTC




Post new topic Reply to topic  [ 6 posts ] 
Author Message
 Post subject: VPNClient mit Passwort geht nicht
PostPosted: 28.06.2016 21:36 
DES
DES

Joined: 28.06.2016 16:41
Posts: 6
Hallo,

ich hoffe, Ihr könnt mir einen Tipp geben!

Ich habe eine funktionierende Client Konfiguration. Diese wollte ich mit Passwort Verwendung erweitern, was aber nicht funktioniert.

Bin so vorgegangen, um die Dateien in der Konfigurationsdatei zu integrieren (step 9):
https://www.digitalocean.com/community/ ... n-debian-8
und dann habe ich nur die Schlüsselgenerierung auf den build-key-pass Aufruf geändert und die neuen Dateien an die Basis Konfiguration angehängt, alles mit einem neuen Namen.
Diese neue Konfiguration geht nicht, die alte funktioniert immer noch.

Im Client wird nun ein Passwort abgefragt. Wenn es richtig eingegeben wird, scheitert die Anmeldung bei TLS irgendwo, wenn es falsch angegeben wird, muss man die Eingabe wiederholen.

Hier ist das Log:
Code:
Tue Jun 28 18:33:55 2016 MANAGEMENT: >STATE:1467131635,WAIT,,,
Tue Jun 28 18:34:55 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun 28 18:34:55 2016 TLS Error: TLS handshake failed
Tue Jun 28 18:34:55 2016 SIGUSR1[soft,tls-error] received, process restarting
Tue Jun 28 18:34:55 2016 MANAGEMENT: >STATE:1467131695,RECONNECTING,tls-error,,
Tue Jun 28 18:34:55 2016 Restart pause, 2 second(s)
Tue Jun 28 18:34:55 2016 MANAGEMENT: CMD 'auth-retry none'
Tue Jun 28 18:34:57 2016 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Jun 28 18:34:57 2016 UDPv4 link local: [undef]
Tue Jun 28 18:34:57 2016 UDPv4 link remote: [AF_INET]192.168.2.144:1194
Tue Jun 28 18:34:57 2016 MANAGEMENT: >STATE:1467131697,WAIT,,,
Tue Jun 28 18:35:57 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Der Client ist Windows, der Server ist Linux.

Danke und Gruß,
MRSHippi

_________________
Gruß, MRSHippi


Top
Offline Profile  
Reply with quote  
 Post subject: Re: VPNClient mit Passwort geht nicht
PostPosted: 29.06.2016 17:12 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
Hallo,
bei dem Log
Vermutung1: Murks bei den Zertifikaten gemacht...

einfach vergleichen (altes + neues Zertifikat) damit 2 unterschiedliche konfigurationen beschreiben(+ verwenden) und testen...
Passworte für Zertifikate finde ich eher unpassend, klüger sind "ordentliche" Authentifikationen am Server (Netzzugang) evtl. 2-Faktor-Authentifizierung
Ich vermute mal, dass du dich am Internetzugang auch nicht Passwortanmeldest - oder ?
Aber es ist etwas Ansichtssache.
Der ganze Zertifikatskram dient eigentlich nur der Verschlüsselung der Verbindung.
und hat weder was mit Anmeldungen noch mit (User)Rechten zu tun.

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: VPNClient mit Passwort geht nicht
PostPosted: 30.06.2016 15:19 
DES
DES

Joined: 28.06.2016 16:41
Posts: 6
dl5ym wrote:
Vermutung1: Murks bei den Zertifikaten gemacht...

Passworte für Zertifikate finde ich eher unpassend, klüger sind "ordentliche" Authentifikationen am Server (Netzzugang) evtl. 2-Faktor-Authentifizierung
Ich vermute mal, dass du dich am Internetzugang auch nicht Passwortanmeldest - oder ?
Aber es ist etwas Ansichtssache.
Der ganze Zertifikatskram dient eigentlich nur der Verschlüsselung der Verbindung.
und hat weder was mit Anmeldungen noch mit (User)Rechten zu tun.


Hallo und Danke für die Hinweise!
Es hatte nichts mit dem Passwort oder Zertifikat zu tun, sondern lag an einer falschen IP in dem Client Template, das ich für meine Versuche verwendet habe. Anhand der Fehlermeldung war ich nie auf die Idee gekommen, das zu prüfen.

Streng genommen steht auch in meinem Router irgendwo ein USER und PW, also melde ich mich da auch an, naja beim Provider.
Bei dem PW ging es eigentlich nur um eine kleine Hürde, falls die Datei mal in falsche Hände gerät. Ohne PW kann sie ja jeder ohne weiteres nutzen.
Da ich OpenVPN zum ersten mal einsetze, habe ich leider noch keine Übersicht, was sich sonst anbietet und komfortabel ist.

Gruß, MRSHippi

_________________
Gruß, MRSHippi


Top
Offline Profile  
Reply with quote  
 Post subject: Re: VPNClient mit Passwort geht nicht
PostPosted: 01.07.2016 07:18 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
MRSHippi wrote:

Hallo und Danke für die Hinweise!
Es hatte nichts mit dem Passwort oder Zertifikat zu tun, sondern lag an einer falschen IP in dem Client Template, das ich für meine Versuche verwendet habe. Anhand der Fehlermeldung war ich nie auf die Idee gekommen, das zu prüfen.

Streng genommen steht auch in meinem Router irgendwo ein USER und PW, also melde ich mich da auch an, naja beim Provider.
aber eben nur für diese Leitung
Quote:

Bei dem PW ging es eigentlich nur um eine kleine Hürde, falls die Datei mal in falsche Hände gerät. Ohne PW kann sie ja jeder ohne weiteres nutzen.
theoretisch ja, zumindest kann der "Fremde" einenTunnel aufbauen.
Das sollte dir aber anhand der Logüberwachung auffallen, so dass du das Zertifikat ungültig stellen kannst [revoke]
Ist ansonsten nicht übermässig kritisch, es betrifft ja nur die Leitung (Tunnel)
Quote:
Da ich OpenVPN zum ersten mal einsetze, habe ich leider noch keine Übersicht, was sich sonst anbietet und komfortabel ist.

Gruß, MRSHippi

es ist etwas na ja... (muss jeder selbst abwägen) aber wenn du für Alles und Jedes ein Passwort brauchst, was optimalerweise nach 30 Tagen geändert werden müsste, kommst du nicht wirklich zum Arbeiten!
Wirklich sichere Passworte kannst du dir kaum merken, erst recht nicht mehrere und einfache Passworte sind automatisiert schnell herausgefunden (gerade bei Zertifikaten), besitzen eine ähnliche "Schutzfunktion" wie ein Türschloss, dass mit jedem einfachen Dietrich geöffnet werden kann - sicher gegen versehentliches Öffnen, aber mehr auch nicht.
Ein VPN-Tunnel bietet nicht mehr und nicht weniger Sicherheit als z.B. eine https oder jegliche andere SSL-Verbindung.
Zugang zum (daten)System istein ganz anderes Thema.

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: VPNClient mit Passwort geht nicht
PostPosted: 01.07.2016 07:58 
DES
DES

Joined: 28.06.2016 16:41
Posts: 6
dl5ym wrote:
.. theoretisch ja, zumindest kann der "Fremde" einenTunnel aufbauen.
Das sollte dir aber anhand der Logüberwachung auffallen, so dass du das Zertifikat ungültig stellen kannst [revoke]
Ist ansonsten nicht übermässig kritisch, es betrifft ja nur die Leitung (Tunnel)
Ein VPN-Tunnel bietet nicht mehr und nicht weniger Sicherheit als z.B. eine https oder jegliche andere SSL-Verbindung.

Woran würde es denn auffallen? Hab gestern zum ersten Mal die Logs bzw. Status-Logs überflogen. Im Homeofficebetrieb kann ich es mir halbweges vorstellen, aber wenn ein Kollege das VPN vom Laptop im Außendienst nutzt, hab ich doch keine Möglichkeit, irgendwas zu prüfen oder?
Mir ist schon klar, dass das PW nur eine kleine Hürde ist, aber es scheint mir besser als nichts.
Am Ende würde ich noch etwas widersprechen, technisch ist VPN vielleicht das gleiche wie https usw., aber der Tunnel hat halt irgendwo einen Ausgang und der ist jenachdem in der DMZ oder im Intranet. Das hat schon eine andere Dimension für einen unauthorisierten Zugriff. Firewalls und Sicherheitszonen gibt es ja nicht aus Spaß.

_________________
Gruß, MRSHippi


Top
Offline Profile  
Reply with quote  
 Post subject: Re: VPNClient mit Passwort geht nicht
PostPosted: 01.07.2016 13:21 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
MRSHippi wrote:
Mir ist schon klar, dass das PW nur eine kleine Hürde ist, aber es scheint mir besser als nichts.
wenn moralische Sicherheit nötig ist -
Quote:

Am Ende würde ich noch etwas widersprechen, technisch ist VPN vielleicht das gleiche wie https usw., aber der Tunnel hat halt irgendwo einen Ausgang und der ist jenachdem in der DMZ oder im Intranet.
genau wie der https-"Tunnel" eingang/Ausgang oder Anfang/Ende -> du landest auf einem Rechner
Quote:
Das hat schon eine andere Dimension für einen unauthorisierten Zugriff. Firewalls und Sicherheitszonen gibt es ja nicht aus Spaß.

Was bitte schön hat ein Tunnel (oder Kabel) mit einer Zugriffsauthorisation zu tun ?
(ES sei denn: eingebildete Sicherheit ist alleiniges Kriterium)

Der Rest ist Rechtemanagement.
Auf einem Unix-Rechner/Server brauche ich z.B. nicht unbedingt so was wie Firewall.
1. Endgerät
2. es laufen eh nur Dienste, die benutzt werden (müssen)
3. es sind eh nur gültige "User" zugelassen
4. alles andere ist eh nicht ansprechbar

dabei ist es egal ob die Gültigkeitsprüfung durch Passwords oder durch Zertifikate passiert

Firewalls schotten dagegen Netze voneinander ab (Dienste in fremden Netzen), haben allerdings das Handicap nur IP_basiert zu arbeiten.

Um bei denem Aussendienstler zu bleiben, wen interessierts, ob er einen Tunnel aufbaut und damit auf 4 Server zuzugreifen, die eine Authentifizierung verlangen... oder nicht.
Ob du das per hunderfach(passwort)Login oder per Single-Login realisiertst ist relativ egal! Viele Passwörter haben den Vorteil, dass sie beim Rechnerklau als Zettel mit beiliegen - sehr oft!

Manchmal beschleicht mich der Verdacht.... dass du mit Firewalls und (Sicherheitz)Zonen-management ein wenig auf Kriegsfuss stehst ? ;-).
Auch wenn ein gutes Konzept für Netzstrukturen nicht ganz ohne ist!

Aber das sollte hier eher nicht das primäre Thema sein. Passwörter führen zu nix -> stehen auf Zetteln, weden weitererzählt, kann man in den Köpfen nicht löschen usw.
[und ich weiss wovon ich rede] Recht gut funktionieren Chipkarten die man auch zum Türöffnen braucht und ähnliche Zweitfaktor-Dinge!

F.


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 6 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 6 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net