[gelöst] 7270 als OpenVPN Client tls-remote

[greenhornXXL]

Hallo zusammen


Ich würde gerne eine 7270 freetz-trunk4717 per OpenVPN an eine Firewall anbinden.

Die Server Config ist OK da es mit der Software auf einem Windoof System läuft.

Die Client-Config lautet:

client
dev tun
proto tcp
remote server.domain.de 443

tls-remote "/C=de/L=PLZ/O=Name_der_Firma/CN=servername/[email protected]"

resolv-retry infinite
nobind
persist-key
persist-tun

ca server.domain.de.ca.crt
cert server.domain.de.user.crt
key server.domain.de.user.key


auth-user-pass
cipher AES-128-CBC
auth MD5
comp-lzo
verb 3
reneg-sec 0

Die Fritz.Box gibt folgendes aus:

Tue Apr 13 20:07:02 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Apr 13 20:07:02 2010 Re-using SSL/TLS context
Tue Apr 13 20:07:02 2010 LZO compression initialized
Tue Apr 13 20:07:02 2010 Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Apr 13 20:07:02 2010 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Apr 13 20:07:02 2010 Attempting to establish TCP connection with [AF_INET]w.x.y.z:443 [nonblock]
Tue Apr 13 20:07:03 2010 TCP connection established with [AF_INET]w.x.y.z:443
Tue Apr 13 20:07:03 2010 Socket Buffers: R=[87380->131072] S=[16384->131072]
Tue Apr 13 20:07:03 2010 TCPv4_CLIENT link local: [undef]
Tue Apr 13 20:07:03 2010 TCPv4_CLIENT link remote: [AF_INET]w.x.y.z:443
Tue Apr 13 20:07:03 2010 Connection reset, restarting [0]
Tue Apr 13 20:07:03 2010 TCP/UDP: Closing socket
Tue Apr 13 20:07:03 2010 SIGUSR1[soft,connection-reset] received, process restarting
Tue Apr 13 20:07:03 2010 Restart pause, 5 second(s)
Tue Apr 13 20:07:08 2010 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Die angebene URL [http://openvpn.net/howto.html#mitm] hab ich mir angesehen und entweder nicht richtig verstanden oder ich finde den Pkt. im Freetz interface nicht.

im Anhang noch der Screenshot des Webinterface von OpenVPN

Vielleicht kann mir jemand einen Hinweis geben wie ich weiter vorgehen kann/soll.

Vielen Dank

 

[MaxMuster]

Nimm mal den Haken bei "tls-Authentifizierung" raus.
Die Meldung " WARNING: No server certificate verification method has been enabled" kommt, weil du die Prüfung des "ns-cert-type" darauf, ob die Gegenstelle auch ein "Server-Zertifikat" hat, abgeschaltet hast.

Ist unten der Haken bei lzo gesetzt?

Nicht so einfach ist "auth MD5", das müsstest du explizit von Hand ergänzen, dazu Expertenmodus anhaken und das in die Zeile mit Zusatzparametern eintragen.
Schwieriger ist aber "auth-user-pass", das ist so in der GUI nicht vorgesehen.
Das müsste dann auch noch in die GUI-Zeile, zusammen in der Art:

auth MD5; auth-user-pass userpw

(hab ich nicht probiert, eventuell muss das pw-File mit Pfad angegeben werden, also

auth MD5; auth-user-pass /tmp/openvpn/userpw

Um das PW einzugeben, müsstest du dann auch noch eine Datei /tmp/openvpn/userpw erzeugen, in der ein 2 Zeilen User und PW stehen, z.B. in der RudiShell

cat << 'EOF' > /tmp/openvpn/userpw
deinuser
deinpw
EOF

Jörg

 

[greenhornXXL]

Vielen Dank MaxMuster

Na kalr die Benutzerauth. hatte ich total ausser acht gelassen.
So geht es auf Anhieb!

Viele Grüsse
greenhornXXL

 

[MaxMuster]

Gerne ;-)

Musstes du denn für die Datei den Pfad mit angeben, oder geht es ohne?

Jörg

 

[greenhornXXL]

Hallo

Ich habe es mit dem Pfad komplett angegeben, da ich es für die bessere Lösung halte.

Ich kann es aber auch mal so probieren und dir dann eine rückmeldung geben.

Versuch ich nachher mal.

 

[greenhornXXL]

[Edit frank_m24: Sinnfreies Vollzitat deines eigenen Beitrags direkt darüber :? gelöscht, siehe Forumregeln.]

Der PFad muss komplett angegeben werden sonst meckert der Client!