Yealink T42S an PIVPN (openVPN)

[leRob]

Hi,
ewig geggogelt und doch nix gefunden... Ich habe im Homeoffice ein T42S und möchte das an meinen Raspi mit PiVPN verbinden. Protokoll ist OpenVPN.
Zugang erstellt, ovpn-Datei heruntergeladen für Yealink aufbereitet in eine openvpn.tar mit vpn,cnf im root, sowie dem Ordner keys mit den 4 Dateien). Rauskam folgendes (xxxx ist natürlich nur zur Unkenntlichmachung):

vpn.cnf

client
dev tun
proto udp
remote XXX.XX.XXX.XXX 1194
resolv-retry infinite
nobind
ca /config/openvpn/keys/ca.crt
cert /config/openvpn/keys/client.crt
key /config/openvpn/keys/client.key
tls-crypt /config/openvpn/keys/ta.key
remote-cert-tls server
tls-version-min 1.2
verify-x509-name XXXXXXXXXXX_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX name
cipher AES-256-CBC
auth SHA256
auth-nocache
verb 3

key/ca.crt

-----BEGIN CERTIFICATE-----
[xxxxx]
-----END CERTIFICATE-----

key/client.crt

-----BEGIN CERTIFICATE-----
[XXX]
-----END CERTIFICATE-----

key/client.key

-----BEGIN PRIVATE KEY-----
[xxxx]
-----END PRIVATE KEY-----

key/ta.key

-----BEGIN OpenVPN Static key V1-----
[xxxxx]
-----END OpenVPN Static key V1-----

Mein Telefon verbindet sich trotzdem nicht: Meldungen beim boot:
Aktualisiere Konfiguration
dann
Aktualisierung übersprungen

Wo liegt der Fehler? Verbinden kann ich mich mit einer anderen OVPN Datei vom PC aus problemlos, also Server läuft und funktioniert und die ovpn-Dateien die der Sever ausspuckt passt auch soweit.

Ich finde den Fehler garnicht...

Ports sollten passen, sonst würde es am PC nicht gehen (der auch keine Portweiterleitungen hat, genau wie das Telefon...)

Vielen Dank vorab für die Hilfe!

 

[kijojo]

Hi, ich hab aktuell das gleiche Problem und hab leider auch noch keine Lösung gefunden.. Vielleicht kann ja doch noch jemand helfen oder hast du @leRob das Problem inzwischen lösen können?

Danke!

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

UPDATE:
Habe gerade mit pivpn add nopass ein neues Zertifikat/Benutzer erstellt, welches kein Passwort für die Verbindung verlangt.
Damit hat die Verbindung des Telefons geklappt ("VPN" erscheint im Display, "Update skipped" aber auch). Jedenfalls hat sich das Telefon (nach ein paar Minuten) erfolgreich mit der Telefonanlage verbunden und Telefonate konnten geführt werden.

Wäre natürlich schön, wenn jetzt die Variante mit Passwort auch klappen würde, um die Sicherheit hoch zu halten..

 

[sonyKatze]

Bin jetzt nicht so firm in OpenVPN, aber authentifiziert sich der OpenVPN-Client nicht bereits über sein Client-Zertifikat? Wenn nicht, wozu bekam das Yealink ein Client-Zertifikat? Mit einem Client-Zertifikat (dass vom Server überprüft wird) brauchst Du kein Benutzername/Passwort mehr, denn sicherer als sich mit einem Zertifikat zu authentifizieren geht es nicht mehr.

 

[kijojo]

@sonyKatze Das ist korrekt. Das Gerät authentifiziert sich mit dem Client-Zertifikat. Das ist ja bereits sehr sicher. Ein zusätzliches Passwort würde den Schutz aber nochmals erhöhen. Und daher wäre es natürlich schön, wenn es auch mit PW geht, zumal die Möglichkeit ja besteht.

 

[sonyKatze]

Ein zusätzliches Passwort würde den Schutz nochmals erhöhen.

Nicht wirklich. Auth bleibt Auth. Was Du willst, ist eine Doppel-Auth, nachträglich mit einem schwächeren Faktor. Die Frage ist, ob OpenVPN das überhaupt erlaubt. Hast Du deren Community mal gefragt? Normal ist für Internet-Protokolle, dass nach einem Cert-Auth keine User-Challange mehr kommen kann.

sehr sicher

Das ist das sicherste, was die Internet-Community Stand heute zu bieten hat. In der Informatik wird „sicher“ durch Verdoppelung nicht „sicherer“. Das ist die Logik, die dem zugrunde liegt. Daher kann sein, dass man technisch die beiden Auth-Verfahren nicht kombinieren kann. Daher mein Tipp in der OpenVPN-Community zu fragen, ob das technisch doch zufällig geht.

 

[kijojo]

Danke für deine Einschätzung!
Also PiVPN erlaubt die zusätzliche Passwortauthentifizierung ausdrücklich und stellt diese auch standardmäßig so ein. OpenVPN Client auf Windows fragt dann ordnungsgemäß das Passwort ab, die Verbindung wird aufgebaut.

Kann natürlich gut sein, dass der OVPN Client im Yealink da nicht mitmacht - mir ist es jetzt so sicher genug und bin zufrieden

 

[sonyKatze]

PiVPN erlaubt die zusätzliche Passwortauthentifizierung ausdrücklich und stellt diese auch standardmäßig so ein.

Das solltest Du an deren Maintainer melden. Macht als Default zusammen mit Cert-Auth keinerlei Sinn.

 

[kijojo]

@sonyKatze Also aus meiner Sicht hat es durchaus seine Berechtigung: Das Zertifikat ist an sich ja bereits sehr sicher. Bei Passwortzwang ist das Zertifikat aber erstmal unbrauchbar solange das Passwort nicht bekannt ist. Ob das praktische Auswirkungen auf die tatsächliche Sicherheit hat ist dann eine andere Frage.

 

[sonyKatze]

Jain. Wenn ein Zertifikat nicht brauchbar sein soll, dann deaktiviert man das im Server. Ich erfinde den Kram nicht. Das ist X.509 Zugangskontrolle, Cert-Auth. Und die ist genauso jetzt seit 20 Jahren (oder sogar 25 Jahren) so gedacht. Jedenfalls ich mache das seit jetzt 20 Jahren so. Wie geschildert, wenn PiVPN auch dann on-default ein Passwort verlangt, obwohl dieser User eine Cert-Auth hat, solltest Du die Maintainer anschreiben. Darüber dürften viele andere Nutzer wie Du ebenfalls stolpern – und je nach OpenVPN-Client dann hängen bleiben.

Was Du auf einigen Signatur-Karten hast, dass Du das Client-Zertifikat über eine numerische PIN oder eine alphanumerische Passphrase aktivierst. Das ist sinnvoll. Aber das ist nur zur Aktivierung des Zertifikats. Das dient nicht als Doppel-Auth am Server.