Ich versuche, OpenVPN zum Laufen zu bringen, damit ich von meiner Ubuntu 14.10-Workstation aus über OpenVPN eine Verbindung zu einem pfsense 2.0.3-Server herstellen kann.
Ich habe gerade das Netzwerkmanager-Plugin installiert und eine neue VPN-Verbindung aus dem Konfigurationspaket erstellt, das vom PFSense-Server stammt.
Ich kann jedoch keine Verbindung herstellen.
Dies ist die Ausgabe an Syslog auf dem Ubuntu-Client:
1. Okt. 21:30:28 X58A-UD7 NetworkManager[833]: VPN-Dienst „openvpn“ gestartet (org.freedesktop.NetworkManager.openvpn), PID 3321 1. Okt. 21:30:28 X58A-UD7 NetworkManager[833]: VPN-Dienst „openvpn“ wird gestartet … Okt 1 21:30:28 X58A-UD7 NetworkManager[833]: VPN-Plugin-Status geändert: wird gestartet (3) Okt 1 21:30:28 X58A-UD7 NetworkManager[833]: VPN-Dienst 'openvpn' erschien; Verbindungen werden aktiviert 1. Okt 21:30:28 X58A-UD7 NetworkManager[833]: VPN-Verbindung 'phgateway-udp-34447-vpnbruger' (Verbinden) Antwort erhalten. 1. Okt. 21:30:28 X58A-UD7 nm-openvpn[3327]: OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] erstellt am 1. Dez. 2014 1. Okt. 21:30:28 X58A-UD7 nm-openvpn[3327]: WARNUNG: Es wurde keine Methode zur Überprüfung des Serverzertifikats aktiviert. Weitere Informationen finden Sie unter http://openvpn.net/howto.html#mitm. 1. Okt. 21:30:28 X58A-UD7 nm-openvpn[3327]: HINWEIS: Die aktuelle Einstellung --script-security kann es dieser Konfiguration ermöglichen, benutzerdefinierte Skripte aufzurufen 1. Okt. 21:30:28 X58A-UD7 nm-openvpn[3327]: WARNUNG: Datei '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger.p12' ist für Gruppen oder andere zugänglich 1. Okt. 21:30:28 X58A-UD7 nm-openvpn[3327]: WARNUNG: Datei '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key' ist für Gruppen oder andere zugänglich 1. Okt. 21:30:28 X58A-UD7 nm-openvpn[3327]: Control Channel Authentication: Verwendung von „/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key“ als statische OpenVPN-Schlüsseldatei 1. Okt. 21:30:28 X58A-UD7 nm-openvpn[3327]: UDPv4-Link lokal: [undef] 1. Okt 21:30:28 X58A-UD7 nm-openvpn[3327]: UDPv4-Link-Remote: [AF_INET]pfsense_server_ip:34447 1. Okt 21:31:08 X58A-UD7 NetworkManager[833]: Timeout der VPN-Verbindung 'phgateway-udp-34447-vpnbruger' (IP Config Get) überschritten. 1. Okt. 21:31:08 X58A-UD7 NetworkManager[833]: Richtlinie legt „Kabelgebundene Verbindung 1“ (eth0) als Standard für IPv4-Routing und DNS fest. 1. Okt. 21:31:08 X58A-UD7 nm-openvpn[3327]: SIGTERM[hard,] empfangen, Prozess wird beendet 1. Okt. 21:31:13 X58A-UD7 NetworkManager[833]: VPN-Dienst 'openvpn' ist verschwunden
Ich habe den PFSense-Assistenten zum Einrichten des OpenVPN-Dienstes verwendet und der Firewall sollten die entsprechenden Regeln hinzugefügt werden.
Ich sehe ein paar Warnungen, aber nichts, was mir auffällt.
BEARBEITEN: Wenn ich den Befehl openvpn --config FILE --cd /etc/openvpn --verb 4für eine Konfiguration verwende, die für die Kennwortauthentifizierung ohne Zertifikate erstellt wurde, erhalte ich Folgendes:
Optionsfehler: --ca schlägt mit „phgateway-udp-34447-ca.crt“ fehl: Keine solche Datei oder kein solches Verzeichnis Optionsfehler: --tls-auth schlägt mit „phgateway-udp-34447-tls.key“ fehl: Keine solche Datei oder kein solches Verzeichnis Optionsfehler: Bitte korrigieren Sie diese Fehler.
Obwohl diese Dateien direkt neben der OVPN-Datei liegen.
Wenn ich den obigen Befehl mit dem Originalpaket verwende, das aus Benutzerkennwort + Zertifikatauthentifizierung besteht, werde ich bei einem Anmeldeversuch aufgefordert, Benutzername und Kennwort einzugeben. In der gesamten Ausgabe sehe ich jedoch nur diesen Fehler:
Do., 1. Okt. 2015, 22:05:29, us=544930 TLS-Fehler: Die Aushandlung des TLS-Schlüssels konnte nicht innerhalb von 60 Sekunden erfolgen (überprüfen Sie Ihre Netzwerkverbindung). Do Okt 1 22:05:29 2015 us=544986 TLS-Fehler: TLS-Handshake fehlgeschlagen Do Okt 1 22:05:29 2015 us=545076 TCP/UDP: Socket wird geschlossen Do Okt 1 22:05:29 2015 us=545123 SIGUSR1[soft,tls-error] empfangen, Prozess wird neu gestartet
und das läuft dann alle 60 Sekunden in einer Schleife, neben vielen anderen Dingen, aber ich kann keine weiteren Fehler erkennen.
Die Ports in der Firewall sind geöffnet und es sollte nichts Besonderes sein.
EDIT2: Firewall-Regeln auf der pfsense-Box
Antwort1
Fehlende Log-Aufzeichnungen aufpfSensebedeutet, dass Sie wahrscheinlich ein Verbindungsproblem zwischen dem Client und dem Gateway haben. Überprüfen Sie Ihre eingehenden Firewall-Regeln auf der WAN-Schnittstelle erneut, versuchen Sie es mit einem anderen Internetanbieter (z. B. einem Mobilfunknetz) usw. Überprüfen Sie, ob Sie auf beiden Seiten denselben Port und dasselbe Transportprotokoll haben (UDP – bevorzugt oder TCP). Ich weiß, es klingt zu einfach, aber das Fehlen jeglicher Protokollaufzeichnungen deutet hier auf einen so einfachen „Abschaltpunkt“ hin.
Antwort2
Ich habe OpenVPN auf pfsense eingerichtet und meine OpenVPN-Protokolle in den Systemprotokollen überprüft. Sie beginnen wie folgt:
Falscher Benutzername :
Oct 22 13:23:16 openvpn: user 'user' could not authenticate.
Oct 22 13:23:16 openvpn[15098]: 90.27.14.234:59141 TLS Auth Error: Auth Username/Password verification failed for peer
Oct 22 13:23:17 openvpn[15098]: 90.27.14.234:59141 [www.domain.com] Peer Connection Initiated with [AF_INET]90.27.14.234:59141
Erfolgreiche Anmeldung:
Oct 22 13:27:07 openvpn: user 'vpnuser' authenticated
Oct 22 13:27:07 openvpn[15098]: 90.27.14.234:43921 [vpnuser] Peer Connection Initiated with [AF_INET]90.27.14.234:43921
Oct 22 13:27:07 openvpn[15098]: vpnuser/90.27.14.234:43921 MULTI_sva: pool returned IPv4=192.168.25.6, IPv6=(Not enabled)
Oct 22 13:27:09 openvpn[15098]: vpnuser/90.27.14.234:43921 send_push_reply(): safe_cap=940
Ihre Verbindung kommt also grundsätzlich nicht zur pfsense OpenVPN-Anwendung. Mir fällt auch auf, dass in Ihren Regeln etwas auf den Bildern fehlt – die IP-Version. Stellen Sie sicher, dass Sie die neuesten Versionen verwenden.
Warum haben Sie 2 Ports vom selben Assistenten? Stellen Sie sicher, dass Ihre Konfiguration den richtigen Port verwendet. Ich verwende das „OpenVPN Client Export Utility“, um mein gesamtes Paket für den Client zu sortieren, und das funktioniert ziemlich gut, ohne dass etwas übersehen wird.