It is currently 20.10.2017 23:31


All times are UTC




Post new topic Reply to topic  [ 2 posts ] 
Author Message
 Post subject: Gateprotect & OpenVPN - Zertifikatsproblem
PostPosted: 27.03.2017 09:48 
DES
DES

Joined: 27.03.2017 06:53
Posts: 1
Hallo Zusammen,

wir haben in der Firma eine Gateprotect und damit habe ich für Windows-User schon öfters erfolgreich VPN-SSL Verbindungen erstellt (kein OpenVPN). Jetzt ist ein externer Linux-Server für unseren Shop hinzu gekommen und dort bekomme ich mittels OpenVPN keine Verbindung aufgebaut. Bin auf dem Gebiet absoluter Anfänger.

In der Gateprotect kann ich das Zertifikat als PEM und/oder PKCS12 exportieren. Es ist immer nur eine Datei die erstellt wird. Bei allen Anleitung die ich im Internet für die Einrichtung von OpenVPN gefunden habe, werden aber immer mehrere Dateien benötigt.
Von unserem externen IT-Dienstleister habe ich daraus nun schon eine .key und ein .crt Datei "extrahieren" lassen.

Die .key und die .crt Datei liegen im selben Ordner wie die Konfigdatei (also /etc/openvpn). Starte ich nun OpenVPN mit der Konfigdatei bekomme ich als Fehlermeldung das die ca-Datei fehlt. Wo bekomme ich diese her?

So sieht meine Konfigdatei derzeit aus:

Code:
client
dev tun
#proto udp
remote 78.94.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cert xyz.crt
key  xyz.key
comp-lzo


Wäre für jede Hilfe dankbar.

Gruß
Dirk


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Gateprotect & OpenVPN - Zertifikatsproblem
PostPosted: 27.03.2017 13:17 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
DirkK wrote:
Hallo Zusammen,

Bin auf dem Gebiet absoluter Anfänger.
welches ? Umgang mit Zertifikaten ?
wobei: Zertifikatsproblem? steht das so im Log ?
Quote:

In der Gateprotect kann ich das Zertifikat als PEM und/oder PKCS12 exportieren. Es ist immer nur eine Datei die erstellt wird. Bei allen Anleitung die ich im Internet für die Einrichtung von OpenVPN gefunden habe, werden aber immer mehrere Dateien benötigt.
Von unserem externen IT-Dienstleister habe ich daraus nun schon eine .key und ein .crt Datei "extrahieren" lassen.
PKCS12 finde ich schöner
Quote:
Die .key und die .crt Datei liegen im selben Ordner wie die Konfigdatei (also /etc/openvpn). Starte ich nun OpenVPN mit der Konfigdatei bekomme ich als Fehlermeldung das die ca-Datei fehlt. Wo bekomme ich diese her?

So sieht meine Konfigdatei derzeit aus:

Code:
client
dev tun
#proto udp
remote 78.94.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cert xyz.crt
key  xyz.key
comp-lzo


Wäre für jede Hilfe dankbar.

Gruß
Dirk


Problem1 : Proto nicht auskommentieren ..muss ja wissen ob TCP oder UDP
Nobind ist nicht wirklich klug (nimmt man nur wenn man muss)
die hier tut als Client

Code:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp                 # wie serverseite
tun-mtu 1400
remote dynips 1194   # wie serverseite
pkcs12 abc.p12
cipher BF-CBC           # wie serverseite
comp-lzo                  # wie serverseite
verb 3   # anfangs eher mehr
ns-cert-type server # besser ist es


Wobei Cipher (links + rechts gleich), Cert ist eigentlich "Wurscht"
evtl fehlt
Code:
auth  sch256 #oder was auch immer....


oder aber auch (n2n-Tunnel - Clientseite)
Code:
dev tun
tun-mtu 1400    # wie serverseite oder weglassen
proto udp           # wie serverseite
port 31195         # wie serverseite
ifconfig 10.14.228.2 10.14.228.1   #passend zur Serverseite
remote dyndns
remote dyndns2
tls-client                      # kann man evtl. weglassen
pkcs12 /etc/openvpn/easy-rsa/keys/abx.p12
route 192.168.191.0 255.255.255.0  # kann man auch sein lassen
keepalive 10 60
#cipher BF-CBC         # oder
cipher AES-256-CBC  # wie serverseite
#auth sha256
#comp-lzo              # wie serverseite
verb 4
daemon OVPN_abx    # ja dann hat der daemon einen Nemen..kann man aber weglassen
status /var/log/abxstat.log 2  # schön fürs Logging
log-append /var/log/openvpnabx.log  # schön fürs Logging
#management localhost 31195


Bei dir reicht eine Remote-Zeile, hier 2 verschiedene dyndns-Server (der erste gewinnt)
Lokale route könnten abweichen ... links + rechts tut hier jeweils ein Banana-pi (oder ein Raspi)
Ohne nobind hast du einen definierten Quellport, kann man besser verfolgen im Problemfall,

Erste Hinweise gibt dir das Logging (deswegen definiert eingestellt, sonst muss man in syslog mehr suchen).
Im Betrieb bringt die Statusdatei paar Zähler mit.
Code:
anagement localhost 12345

Management kann man aktivieren -> erreichbar via telnet localhost:12345 ...oder was auch immer du da einträgst. Gibt paar mehr Statusinfos.
auskommentierte Zeilen: kann man, darf man, muss man nicht haben

Optimal: anfangs unter U*X
Code:
tail -f   <logfile>
auf der Logdatei mitlaufen lassen und sehen, wo er meckert...

F.
ps: Vorausgesetzt, da rennt ein ordentlicher openVPN-Server...
man kann auch 2 Schachteln nehmen (Bananas/Raspis schaffen das) und die Certifikate von "aussen" ...


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 2 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot], Google [Bot] and 11 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net