IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 18.07.2018, 07:03

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 14 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 12.05.2016, 15:37 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 23.06.2015
Beiträge: 12
Hallo Admins,

folgendes Szenario: IPcop 2.1.9 mit Openvpn auf Rot mit OpenVPN-Subnet 192.168.3.0/24.
Weiterhin ein DMZ als Orange mit 192.168.4.0/24.

OpenVPN Clients aus Orange kommen nicht rein - scheinbar keine Verbindung zum Server.
Selber Client aus ROT ohne Probleme.

Mir springt jetzt keine sinnvolle Firewall Regel ins Auge die mir hier helfen könnte.

Wer kann helfen?


HIer mal noch ein Log:
Code:
Try to start OpenVPN connection ******************************
Thu May 12 15:43:27 2016 OpenVPN 2.3.3 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Apr  9 2014
Thu May 12 15:43:28 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu May 12 15:43:28 2016 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Thu May 12 15:43:28 2016 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu May 12 15:43:28 2016 UDPv4 link local: [undef]
Thu May 12 15:43:28 2016 UDPv4 link remote: [AF_INET]***********:1194

ERROR: TLS error! See log for detailsThu May 12 15:44:28 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu May 12 15:44:28 2016 TLS Error: TLS handshake failed
Thu May 12 15:44:28 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu May 12 15:44:28 2016 Restart pause, 2 second(s)
DisconnectedTimeout[Maybe your cetificates are not valid. Please check if it is revoked], restart pause will be ignored! Shuting down OpenVPN ...


Nach oben
   
BeitragVerfasst: 12.05.2016, 22:07 
Offline
Site-Moderator
Site-Moderator

Registriert: 18.12.2007
Beiträge: 3329
Wohnort: Im Norden bei mir zu Hause
Poste den Inhalt deiner *.ovpn-Datei vom Client.
Welche Firewallregeln sind bezüglich OpenVPN angelegt?

_________________
Gruß edelweis

Sledgehammer engineering, if it doesn't work, hammer it damn hard :super:

Bild
Bild
Meine Vorstellung


Nach oben
   
BeitragVerfasst: 13.05.2016, 11:21 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 23.06.2015
Beiträge: 12
Hier mal die Client Config - Standard, das was der Cop auspuckt

Code:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
nobind
remote ********** 1194
pkcs12 ********.p12
cipher AES-128-CBC
comp-lzo
verb 3
ns-cert-type server


Ansonsten sind keinerlei Firewall regeln definert, alles standard wie es vorgegeben ist.


Nach oben
   
BeitragVerfasst: 14.05.2016, 09:13 
Offline
Site-Moderator
Site-Moderator

Registriert: 18.12.2007
Beiträge: 3329
Wohnort: Im Norden bei mir zu Hause
Kommentier mal die Zeile
Code:
remote ******* 1194
mit einer # aus und trag mal folgende Zeile in die Datei ein:
Code:
remote ORANGEIPDESCOPS 1194
Anschliessend die Datei speichern und erneut verbinden.
Sollte weiterhin keine Verbindung aufgebaut werden, erstell testweise folgende Regel:
Zitat:
Zugriff auf IPCop->Schnittstelle OpenVPN-RW->Quelle: OpenVPN Network->Ziel: IPCop->Protokolliere Regel

Klappt der Zugriff weiterhin nicht, poste relevante LOG-Auszüge vom Cop.

_________________
Gruß edelweis

Sledgehammer engineering, if it doesn't work, hammer it damn hard :super:

Bild
Bild
Meine Vorstellung


Nach oben
   
BeitragVerfasst: 18.05.2016, 08:22 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 23.06.2015
Beiträge: 12
Das hat leider nicht geklappt. Schade, ich hatte echt Hoffnung.

Ich hätte ja auch als Firewall Regel erwartet:

Code:
Zugriff auf IPCop -> Schnittstelle ORANGE -> Netzwerk ORANGE


aber das Lehnt der Cop ja ab da
Zitat:
IPCop-Zugriff ist nur von GRÜN und BLAU sowie via VPN erlaubt!


Das kann ich denn mal loggen, damit man das in den Griff bekommt?


Nach oben
   
BeitragVerfasst: 18.05.2016, 09:39 
Offline
Deputy Commissioner
Deputy Commissioner

Registriert: 09.06.2006
Beiträge: 801
Odon Garma hat geschrieben:

aber das Lehnt der Cop ja ab da
Zitat:
IPCop-Zugriff ist nur von GRÜN und BLAU sowie via VPN erlaubt!


Das kann ich denn mal loggen, damit man das in den Griff bekommt?

Richtig... DMZ ist ja mehr oder weniger wie ROT (zumindest aus Firewallsicht) - deswegen ja DMZ
warum Clients in der DMZ ...und nicht gleich im ROTen Netz (Internet) ?


Fred


Nach oben
   
BeitragVerfasst: 18.05.2016, 11:48 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 23.06.2015
Beiträge: 12
Normalerweise sind es Roadwarrior, welches sich von extern einloggen. Wenn diese Nutzer aber ab und an mal im Office sind, kommen Sie per WLAN im DMZ in Internet. Nur haben sie so keinen Zugriff auf das VPN und somit auf ihre firmendaten. Irgendwie ist das schlecht.

Noch jemand einen Tipp?


Nach oben
   
BeitragVerfasst: 18.05.2016, 14:13 
Offline
Deputy Commissioner
Deputy Commissioner

Registriert: 09.06.2006
Beiträge: 801
Hallo,
dann schick die dahin,wo sie hingehören ! Wlan im Roten Netz ! Da muss du nur noch (wenn nötig) die DNS Auflösung ergänzen (oder eine zweite Remote-Zeile einfügen) und alles ist "wie immer" ...

Theoretisch könntest du noch eine weitere Instanz des openVPN-Servers starten, aber das ohne GUI, mit "handgemachtem Backup" usw. . Das geht schon...von hinten durch die Brust ins Auge -> da hätte aber obige Frage nicht kommen dürfen (so trivial ist es auch nicht).
Wlan auf ROT ist dagegen relativ simpel.

Fred


Nach oben
   
BeitragVerfasst: 19.05.2016, 11:15 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 23.06.2015
Beiträge: 12
Ich habe das Gefühl das der OpneVPN Dienst auf dem Cop gar nicht an ORANGE gebunden ist, da gibt's auch keine Option im GUI dazu. Ich kann mich täuschen aber ging das unter 1.4 nicht schon mit dem Zerina OpenVPN?

Also, an alle Hacker, hier muss es doch eine Möglichkeit geben!!


Nach oben
   
BeitragVerfasst: 19.05.2016, 15:22 
Offline
Deputy Commissioner
Deputy Commissioner

Registriert: 09.06.2006
Beiträge: 801
gibt es ...Kommandozeile !

aber wenn du die Firewall (durch den Tunnel) eh umgehen willst, warum dann nicht gleich konsequent ?
[IPCop weglassen...Firewallsicherheit ist doch eh nicht gefragt, wie es mir scheint. ]
Fred


Nach oben
   
BeitragVerfasst: 19.05.2016, 16:32 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
Frimeninterne Roadwarriors gehören nach BLAU, nicht nach ORANGE. Dann gibts diese ganzen Probleme mit einem Schlag nicht mehr. Gast-WLAN ist dagegen in Orange bestens aufgehoben... denn von dort kommt man in der Standard-Einstellung nicht so ohne Weiteres an die Dienste, die der COP bereitstellt...

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
BeitragVerfasst: 19.05.2016, 16:52 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 23.06.2015
Beiträge: 12
Ja BLUE mag schon stimmen, nur leider nicht in diesem Szenario möglich.

@ymfred: kann diesen Zynismus nicht verstehen? was ist so schlimm eine Client aus ORANGE per OpenVPN einzuloggen, ist quasi nix anderes als aus ROT.

Naja, dann betrachte ich diese Aufgabe als unlösbar. Schade.


Nach oben
   
BeitragVerfasst: 19.05.2016, 18:15 
Offline
Deputy Commissioner
Deputy Commissioner

Registriert: 09.06.2006
Beiträge: 801
Odon Garma hat geschrieben:
Ja BLUE mag schon stimmen, nur leider nicht in diesem Szenario möglich.

@ymfred: kann diesen Zynismus nicht verstehen? was ist so schlimm eine Client aus ORANGE per OpenVPN einzuloggen, ist quasi nix anderes als aus ROT.

Naja, dann betrachte ich diese Aufgabe als unlösbar. Schade.

Hallo,
wenn du Realität = Zynismus setzt...dann ist das eben so dort bei dir.
Ansonsten hätte ein Lesen des Handbuches über den Einsatz des IPCops geholfen.

Fred
ps: dann hänge doch deine Clients auf ROT....als RWs (es ist alles gut wenn sie ordentlich gekapselt sind).


Nach oben
   
BeitragVerfasst: 19.05.2016, 19:18 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
da hier anscheinend sowieso der Sinn von ORANGE entstellt wird, kann man auch gleich ORANGE zu GREY machen, mit allen daraus resultierenden Folgen. Dafür funktioniert dann OpenVPN out-of-the-box...

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 14 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de