It is currently 22.07.2017 16:35


All times are UTC




Post new topic Reply to topic  [ 25 posts ]  Go to page 1, 2  Next
Author Message
 Post subject: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 11.02.2009 11:02 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
Hallo zusammen,
ich habe ein kleineres großes Problem.
Ich würde gerne eine Netz zu Netz verbindung zwischen zwei IPcops
durch das Internet Herstellen. (grün auf grün).

Als IPcop Version habe ich 1.4.21 mit BlockOut Traffic und Zerina 0.9.7a14.
Wobei das BlockQut Traffic addon aufgespielt aber nicht aktiviert ist.

Beide Standorte besitzen feste IPs.
Ich habe bereits einen VPN Tunnel mit dem normalen VPN und Pre-Shared Key erfolgreich aufbauen können.
Daher gehe ich davon aus, dass in den IP Einstellungen etc. keine fehler mehr zu finden ist.
Zudem wurden alle Einstellungen durch 4 Leute mehrfach kontrolliert.

Ich versuche jetzt seit 2 Wochen einen VPN Tunnel mit Zertifikaten über Zerina hin zu bekommen.
Ich habe sämtliche HOWTOs usw. durch. Ich denke das der Fehler im Bereich der Zertifikate zu finden ist.

Ich verstehe mittlerweile nicht mehr welcher Zertifikat wie wo hin muß?

Meine getesteten Kombinationen:

Variante 1:

IPcop A = VPN Cint
IPcop B = VPN server

Root Zertifikat unter CAs von A auf B gespielt
Root Zertifikat unter Cas von B auf A gespielt

Ipcop A VPN Tunnel erstellt und eigenes Host Zertifikat servercert.pem als Zertifikat für den Tunnel genommen.
Ipcop B VPN Tunnel erstellt und eigenes Host Zertifikat servercert.pem als Zertifikat für den Tunnel genommen.

Keine funktion!


Variante 2:

IPcop A = VPN Cint
IPcop B = VPN server

Root Zertifikat unter CAs von A auf B gespielt
Root Zertifikat unter Cas von B auf A gespielt

Ipcop A VPN Tunnel erstellt und Host Zertifikat von IPcop B servercert.pem als Zertifikat für den Tunnel genommen.
Ipcop B VPN Tunnel erstellt und Host Zertifikat von IPcop A servercert.pem als Zertifikat für den Tunnel genommen.

Keine funktion!


Variante 3:

IPcop A = VPN Cint
IPcop B = VPN server

Root Zertifikat unter CAs von A auf B gespielt
Root Zertifikat unter Cas von B auf A gespielt

Ipcop A VPN Tunnel IPcopBcert.pem als Zertifikat aufgespielt
Ipcop B VPN Tunnel erstellt und eigenes Host servercert.pem als Zertifikat für den Tunnel genommen.
nach erstellen des Tunnels eine IPcopBcert.pem datei heruntergeladen.

Keine funktion!

Variante 4:

IPcop A = VPN Cint
IPcop B = VPN server

Root Zertifikat unter CAs von A auf B gespielt
Root Zertifikat unter Cas von B auf A gespielt

Ipcop A VPN Tunnel erstellt und eigenes Host servercert.pem als Zertifikat für den Tunnel genommen.
nach erstellen des Tunnels eine IPcopBcert.pem datei heruntergeladen.

Ipcop B VPN Tunnel IPcopAcert.pem als Zertifikat aufgespielt

Keine funktion!


Variante 5:

IPcop A = VPN Cint
IPcop B = VPN server

Root Zertifikat unter CAs von A auf B gespielt
Root Zertifikat unter Cas von B auf A gespielt

Ipcop A VPN Tunnel IPcopBcert.p12 als Zertifikat aufgespielt
Ipcop B VPN Tunnel neues Zertifikat in VPN Menü erstellt und nach erstellen des Tunnels
eine IPcopBcert.p12 datei heruntergeladen.

Keine funktion!



Ich habe auch noch 1000 andere Kombinationen getestet aber dies sind die letzten an die ich mich errinnern kann.
Die Zeiten und das Datum beider IPcops sind auch bis auf einige wenige Sekunden gleich.


Könnte mir jemand erklären welches Zertifikat ich wo erstellen muß und wo hinspielen?
Könnte der Fehler sonst noch irgendwo anders liegen?

Ich habe mittlerweile so vielle HOWTOs gelesen, so dass ich mitllerweile schon etwas verwirt bin.

Dankeschön


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 11.02.2009 12:31 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
hm...
Setrver A Zertifikate erzeugen
-Server zertifikat
- net-2-net Zertifikat (war das was mit Passwort ? wenn ja...leer lassen)

letzteres auf Datenträger tun.. Daten tragen.. Daten auf den net-2-net Client bringen...
Einschalten ..sollte gehen...

Vorgehensweise wie bei anderen Client-Zertifikaten ... PreSharedKey ist was anders...
Hatte vor einbem guten Jahr zwar einen Testtunnel net-2-net , da aber alles "logisch" war musste ich mit keinen Besonderheiten merken..zumal auf der zerinawebseite ein HowTo ist

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 11.02.2009 16:50 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
Wenn ich auf dem Client ein Zertifikat p12 Datei erzeuge es dann auf den Server spiele
nimmt er es nicht

nehme ich auf dem client sein eigenes host zertifikat und erzeuge ein neues Zertifikat
IPcopArcert kann ich es auf den Server spielen.

Trotzdem funktioniert es nicht. :twisted:

Langsam bin ich ratlos. Ich wollte eigentlich open source in dem Projekt nutzen aber da mir die Zeit weg läuft bin ich mittlerweile am überlegen, dass ganze zu vergessen und doch wieder ein VPN Gateway zu kaufen.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 11.02.2009 18:55 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
du sollst auch auf dem Zerina-Server die Clients/Clientzertifikate erzeugen!
Es ist doch eigentlich ordentlich beschrieben! ..und natürlich müssen alle Zertifikate
"von der ausstellenden Stelle unterschrieben sein"...so gesehen, kannst du alles auch auf einer unabhängigen CA (ceritificate authority) managen.
aber bitte *nicht* auf unterschiedlichen Basen erzeugen!

Hast du denn auf einer "blanken" Maschine die Schritte des HowTo "treudoof" abgearbeitet ?

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 11.02.2009 19:28 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
hmm das HOWto sagt mir im Moment nichts?

Also jede Maschiene hat sein eigenes Root und Host Zertifikat.
Erzeugt auf der Startseite von Open VPN.

Dann erzeuge ich auf der Servermaschiene eine Netz zu Netz Verbindung.

So und Jetzt ??????

Ich könnte jetzt das host Zertifikat der Machiene nehmen um den VPN zu Zertifizieren oder ich lasse das Häckchen auf erzeugen stehen und erstelle ein neues.

dann entweder das host Zertifikat oder das erzeugte Zertifikat auf die Client Maschiene spielen. ??????????

Was ist denn mit unterschreiben gemeint?? wie mache ich das?

Also diese Anleitung kenne ich:
http://zerina.de/zerina/?q=documentation/howto-net2net

Das Problem ist nur wenn ich auf download Client package gehe.

Bekomme ich nur Inital Server error. :twisted:

Und jetzt?


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 11.02.2009 19:43 
AES 192 bit
AES 192 bit

Joined: 12.02.2008 21:05
Posts: 113
Hallo Grisu,

wenn du auf dem Server die Net2Net erstellt hast kannst du dort die vollständige Client-Config samt Zertifikaten herunterlade. Sie Bild.

Die kannst du dann am Client Hochladen. Aktivieren und der Tunnel wird aufgebaut und das Routing entsprechend gesetzt.

Ich hoffe das Hilft.

Howto siehe hier: http://www.zerina.de/zerina/?q=documentation/howto-net2net


Attachments:
IPCop-Download.jpg
IPCop-Download.jpg [ 13.54 KiB | Viewed 6029 times ]

_________________
Gruß
eatvonpete
Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 11.02.2009 20:14 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
danke ich versuche es mal nur leider kommt bei mir immer wenn ich auf download client package gehe kommt nur.

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, root@localhost and inform them of the time the error occurred, and anything you might have done that may have caused the error.

ich habe die maschine auch schon 3 mal neu aufgesetzt.

es ändert sich nicht. Vielleicht es es ein Fehler meiner verwendeten softwareversion?

Aber es hilft mir schon danke jetzt weis ich wenigstens wie es gehen könnte.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 11.02.2009 21:13 
AES 192 bit
AES 192 bit

Joined: 12.02.2008 21:05
Posts: 113
Hallo,

ich nutze die gleiche SW Version wie du.

IPCop 1.4.21 + Zerina 0.9.7a14, nur ohne das Blockout.

Du kannst die Dateien auch händisch vom IPCop holen, die liegen hier.

P12: /var/ipcop/ovpn/certs

Die Config must Du selber schreiben, da diese für den Download erst erstellt wird.
Sollte ungefähr so aussehen.
Code:
dev tun
tun-mtu 1400
proto udp
port 4750
ifconfig 10.207.134.2 10.207.134.1
remote 10.168.10.1
tls-client
pkcs12 Cop1zu2.p12
route 192.168.128.0 255.255.255.0
keepalive 10 60
cipher BF-CBC
comp-lzo
verb 3
#192.168.129.0/255.255.255.0

Und als .conf speichern

Die Packst du als ZIP und lädst die dann auf dem Client hoch.

Habe ich gestest, geht.

Ich teste das ganz in einer VM Ware.

_________________
Gruß
eatvonpete


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 12.02.2009 15:09 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
zu dem Downloadproblem... machmal steht was in den Logs..ich hoffe für dich, dass du keine Verzeichnisse auf dem IPCop selbst angelegt hast ..soll heissen, dass alle Rechte stimmen..war bisher mein einziger Ärger mit dem IPCop...falscher Owner/falsche Rechte..wegen "Selbsverschlimmbesserung"... und natürlich musst du auf dem Quellrechner + Zielrechner schreiben dürfen ..
Roadwarriors anlegen passiert fast genauso...

Du kannst die Certs auch auf eine weitere Backupmaschine einfach portieren...
siehe auch ipcop-forum.de zum Thema Backup/openVPN-Backup....

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 14.02.2009 10:46 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
Hey erstmal Danke hat mir echt geholfen.
Der Tunnel steht ich hab es geschaft das Cient package runter zu laden.

Der Tunnel hat auch wahrscheinlich schon vorher funktioniert.
Ich habe die p12 Datei ja auch schonmal von Hand auf den Client gespielt und die Einstellungen per Hand gemacht.

Ich habe nur nicht gemerkt das der Tunnel steht weil ZERINA in der Version 0.9.7a14
hat einen Bug und zeigt den Tunnel als beendet an obwohl der Tunnel stabiel steht. :twisted:

Kennt hier zufällig jemand eine Lösung für diesen Bug?
Oder ist der Bug in einer anderen Version nicht vorhanden?

Ein anderes Problem ist das ich MTU Discovery einschalten möchte nur kann ich es nicht durch anklicken aktivieren :?:

In der openvpn.conf steht nichts von MTU Discovery.
Außerdem müßte ich natraversal einschalten.

Läuft der Tunnel standartmäßig über Ipsec oder SSL.
Ich würde gerne IPsec nutzen und weis nicht ob ich das extra angeben muß.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 14.02.2009 11:49 
AES 192 bit
AES 192 bit

Joined: 12.02.2008 21:05
Posts: 113
Hallo,

OPENVPN nutzt Standardmäßig SSL und nunterstützt soweit ich weiß keine IPSec. Da IPSec meines Wissens auch nicht OpenSource und somit kostenpflichtig ist.

Mit den anderen Themen die du angesprochen hast, kenne ich mich leider nicht aus.

_________________
Gruß
eatvonpete


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 14.02.2009 12:25 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
hmm es gibt doch auch standartmäßig eine Ipsec.conf und dann kann Zerina kein IPsec? :(


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 14.02.2009 13:54 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
Lesen!

IPCop hat von Huae aus VPN-Verbindung... IPSec...
ZERINA macht openVPN...

du musst schon sehen, was du willst.. ;-)

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 14.02.2009 14:02 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
dl5ym wrote:
Lesen!

IPCop hat von Hause aus VPN-Verbindung -> IPSec... (das IPSec-Protokoll ist nicht kostenpflichtig... siehe auch FreeSwan usw.)
ZERINA macht openVPN...(mit SSL-Layer..warum nicht ?)

du musst schon sehen, was du willst.. ;-)
du kannst auf einen IPCop auch gleichzeitig IPSec und openVPN betreiben...gehen tut das schon....

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Hiiiilllfee bei Netz zu Netz zwischen zwei IPcops
PostPosted: 14.02.2009 16:27 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
Also wenn ich das richtig verstanden habe nutzt das normale VPN in IPcop IPsec und OpenVPN nutzt SSL. Dann wird die IPsec.conf zu dem normalen VPN gehören. Ich wuste einfch nicht das Open VPN kein IPsec kann.

Ich möchte eigentlich nur einen VPN Tunnel in ein Firmennetz aufbauen und dies über eine Satellitenverbindung. Deswegen muß MTU Discovery aktiviert sein. Weil ich in Open VPN das Häckchen MTU Discovery gesehen habe bin ich durch Zufall auf ZERINA Open VPN gekommen. Wenn ich SSL nutze brauche ich dann auch kein natraversal mehr.

Es gibt eigentlich 2 Möglichkeiten.

1)Einen IPsec Tunnel mit nat_traversal und MTU Discovery als optimale Verbindung.

2)Oder einen SSL Tunnel mit MTU Discovery.

Beides wäre für mich in Ordnung.

Mit den Zertifikaten komme ich jetzt zurecht. Und mit dem normalen VPN habe ich auch schonmal einen Tunnel aufgebaut.

Schön wäre wenn mir jemand einen Tipp geben könnte, wie ich unter Open VPN
MTU Discovery einschalte?

Und wie ich unter dem normalen VPN natraversal einschalte und MTU Disovery?
Ich meine natraversal kann man beim erstellen des Tunnels anhacken?

Dann wäre ich rund um zufrieden. :dance

Ich könnte dann beides ausprobieren und sehen was am besten über die Satellitenverbindung läuft.


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 25 posts ]  Moderator: Moderators Go to page 1, 2  Next

All times are UTC


Who is online

Users browsing this forum: Google [Bot] and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net