VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Das schwierige Thema VPN!
femi
Posts: 26
Joined: October 2nd, 2018, 9:21 am

VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by femi » October 2nd, 2018, 12:54 pm

Hallo zusammen,
bin grade von IPcop auf IPfire umgestiegen, leider hab ich noch einen Freund der noch einen Ipcop besitzt.
Bisher hatte ich eine VPN Verbindung zwischen den 2 Cops laufen. Weil ich hinter einer Fritzbox hänge hat das nur mit Zertifikat funktioniert.
Das hatte ich auch hier vor, habe die Host Zertifkate von beiden Maschinen runtergeladen und jeweils bei der Verbindung importiert.
Leider bringt der Ipfire beim Importieren eine Fehlermeldung:

Code: Select all

Verschieben der Zertifikatsdatei fehlgeschlagen:  
Ich habe dann das eigene Host Zertifikat hochgeladen und anschließend den Inhalt der .pem Datei mit dem Inhalt der vom IPcop runtergeladenen Datei überschrieben.
Funktioniert leider trotzdem nicht.
Hat noch jemand einen Tip für mich?

zargano
Posts: 188
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by zargano » October 3rd, 2018, 2:52 pm

Hallo femi,

hast Du schon erfolgreich einen VPN-Tunnel zwischen zwei IPFires hinbekommen? Teste das bitte mal aus.

Ich bin ebenfalls ehemaliger IPCop-Nutzer und habe mich anfangs aufgrund subtiler Unterschiede zwischen IPCop und IPFire schwer mit zertifikatsbasierten IPsec-Tunneln getan. Meine Schritt-für-Schritt-Anleitung, portiert vom IPCop zu IPFire, findest Du hier: viewtopic.php?f=27&t=21012

Zudem habe ich das Wiki entsprechend ausgebaut: https://wiki.ipfire.org/configuration/services/ipsec

Wenn ich mich richtig erinnere, scheitert das Verschieben, wenn das Root-Zertifikat der Gegenstelle nicht importiert worden ist. Schau dazu im Wiki den Abschnitt Before adding the tunnel an.

Grüße, zargano
Last edited by zargano on October 4th, 2018, 5:25 pm, edited 1 time in total.

femi
Posts: 26
Joined: October 2nd, 2018, 9:21 am

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by femi » October 4th, 2018, 7:39 am

Hallo Zargano,
das mit den CA-Zertifikaten wars, danach funktioniert das importieren des host Zertifikats.
Ist ne echt blöde Fehlermeldung!!
Hab inzwischen bei dem Freund auch IPfire installiert, wahrscheinlich hätte es aber genauso mit dem IPcop funktioniert.
Vielen Dank für die Hilfe!!

fredym
Posts: 447
Joined: November 14th, 2016, 2:45 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by fredym » October 4th, 2018, 2:09 pm

femi wrote:
October 2nd, 2018, 12:54 pm
Hallo zusammen,
bin grade von IPcop auf IPfire umgestiegen, leider hab ich noch einen Freund der noch einen Ipcop besitzt.
Bisher hatte ich eine VPN Verbindung zwischen den 2 Cops laufen. Weil ich hinter einer Fritzbox hänge hat das nur mit Zertifikat funktioniert.
Das hatte ich auch hier vor, habe die Host Zertifkate von beiden Maschinen runtergeladen und jeweils bei der Verbindung importiert.
Leider bringt der Ipfire beim Importieren eine Fehlermeldung:

Code: Select all

Verschieben der Zertifikatsdatei fehlgeschlagen:  
Ich habe dann das eigene Host Zertifikat hochgeladen und anschließend den Inhalt der .pem Datei mit dem Inhalt der vom IPcop runtergeladenen Datei überschrieben.
Funktioniert leider trotzdem nicht.
Hat noch jemand einen Tip für mich?
originale IPCop Zertifikate (ggfs das komplette Verzeichnis ?/openvpn) nehmen ...kopieren... openvpn starten -> tut! (habsch gemacht)
Warnungen sind Warnungen und können fast immer (!) ignoriert werden, eben sind keie Fehler .
Theoretisch soll es gehen mittels easyRSA alle alten Zertifikate neu zu signieren..hab ich aber auch noch nicht gemacht.
Alles nix für GUI ;-)
Fred

femi
Posts: 26
Joined: October 2nd, 2018, 9:21 am

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by femi » October 4th, 2018, 2:34 pm

Das Problem ist halt daß man nichts über das Webinterface ändern kann, weil dann die Datei überschrieben wird, anscheinend gibt es irgendwo eine "Original Datei" mit der die ipsec.conf dann überschrieben wird. Wenn man die ändern könnte wäre das Problem auch erledigt.

zargano
Posts: 188
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by zargano » October 4th, 2018, 5:24 pm

femi wrote:
October 4th, 2018, 7:39 am
Ist ne echt blöde Fehlermeldung!!
Ja. Die Fehlermeldung ist ja nicht falsch, aber leider hilft sie nicht, die Ursache abzustellen...
femi wrote:
October 4th, 2018, 7:39 am
Vielen Dank für die Hilfe!!
Fein, kannst Dich ja gelegentlich mal revanchieren, wenn ich in der Klemme bin ;)

fredym
Posts: 447
Joined: November 14th, 2016, 2:45 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by fredym » October 4th, 2018, 5:57 pm

femi wrote:
October 4th, 2018, 2:34 pm
Das Problem ist halt daß man nichts über das Webinterface ändern kann, weil dann die Datei überschrieben wird, anscheinend gibt es irgendwo eine "Original Datei" mit der die ipsec.conf dann überschrieben wird. Wenn man die ändern könnte wäre das Problem auch erledigt.
Webinterface macht Standardsachen... nicht solche Trixerein ;-) Da musst du schon ins CLI gehen..

Fred

ziro
Posts: 5
Joined: January 4th, 2019, 5:38 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by ziro » January 4th, 2019, 5:53 pm

Hallo Zusammen

Ich bin neu hier und auch mit der IpCop bin ich auch noch in der Lernphase. Ich bekommen die selbe Fehlermeldung wenn ich das Zertifikat von IPcop einfügen will. Ich habe alles versucht was ich von diesem Forum gelesen habe aber leider ohne Erfolg. Hat das jemand geschafft?
Würde mich über Hilfe freuen.

Gruss

ziro
Posts: 5
Joined: January 4th, 2019, 5:38 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by ziro » January 4th, 2019, 5:54 pm

Sorry ich meinter IPFire :-)

zargano
Posts: 188
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by zargano » January 5th, 2019, 2:01 pm

Hallo ziro,

Du bittest um Hilfe, bietest aber keine Hilfestellung. Nur sowas im Sinne "...es funzt nicht!" Das ist zu wenig.
ziro wrote:
January 4th, 2019, 5:53 pm
Hat das jemand geschafft?
Ja, ich. Und weil das Einrichten für Newbies ein wenig "tricky" ist, habe ich sogar das Wiki ausgebaut, nachdem ich mir die Infos zusammengesucht hatte: https://wiki.ipfire.org/configuration/services/ipsec Hast Du die Wiki-Anleitung Schritt für Schritt gelesen und "nachgeklickt"?

Arbeite das Wiki bitte Schritt für Schritt ab. Starte neu, indem Du "bei Null" beginnst: lösche alle IPsec-Zertifikate und Verbindungen und fange ganz von Vorne an und erledige jeden Schritt sorgfältig. Auch die "Introduction" ist wichtig. Wenn Du Fragen hast zu einzelnen Schritten, dann melde Dich erneut. Gib bitte genau an, an welchem Schritt Du Fragen hast oder wo Du scheiterst. Zudem poste auch die IPsec-Logs und gib Dein Netzwerk-Setup an.

Im Zweifelsfall präzisiere ich gerne das Wiki, ich will ja nicht ausschließen, daß auch die Anleitung im Wiki noch besser zu schreiben ist...

Grüße, zargano

ziro
Posts: 5
Joined: January 4th, 2019, 5:38 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by ziro » January 8th, 2019, 6:58 am

Hallo Zargon

Ich habe wie oben schon jemand versucht hat das Zertifikat von IPCop einfügen, dann wurde diese Fehlermeldung ausgegeben "Verschieben der Zertifikatsdatei fehlgeschlagen: No such file or directory" Ist das Zertifikat zu lasch wie ich oben schon gelesen habe.

Was ich noch erwähnen muss ist das auf der IPCop schon IPSec verbindung besteht.
Muss ich das Zertifikat auf der IPCop anpassen?

zargano
Posts: 188
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by zargano » January 8th, 2019, 5:21 pm

Hallo ziro,

ich gebe zu: ich hatte es übersehen, dass Du eine IPsec-Verbindung zwischen IPFire und IPCop aufspannen willst :-\ Mit einem gemischten Setup habe ich keine praktische Erfahrung.
femi wrote:
October 4th, 2018, 7:39 am
Hallo Zargano,
das mit den CA-Zertifikaten wars, danach funktioniert das importieren des host Zertifikats.
Ist ne echt blöde Fehlermeldung!!
Hab inzwischen bei dem Freund auch IPfire installiert, wahrscheinlich hätte es aber genauso mit dem IPcop funktioniert.
Vielen Dank für die Hilfe!!
Ich vermute, dass femi Dir auch nicht weiterhelfen kann... Ich empfehle Dir, die Gelegenheit zur Umstellung Deiner Gegenstelle auf IPFire zu nutzen, denn darum wirst Du (bzw. Dein Gegenpart) ja eh nicht drumherum kommen.

Grüße, zargano

femi
Posts: 26
Joined: October 2nd, 2018, 9:21 am

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by femi » January 8th, 2019, 9:32 pm

Hallo,
ich habe das auch nicht hingekriegt, hab dann auf meiner Gegenstelle auch IPfire installiert, jetzt läufts wieder einwandfrei.

ziro
Posts: 5
Joined: January 4th, 2019, 5:38 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by ziro » January 9th, 2019, 7:28 am

Danke für die nicht so erfreuliche Nachricht. Das heisst das ich an zwei Standorten die Firewall austauschen muss.

fredym
Posts: 447
Joined: November 14th, 2016, 2:45 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by fredym » January 9th, 2019, 4:52 pm

ziro wrote:
January 9th, 2019, 7:28 am
Danke für die nicht so erfreuliche Nachricht. Das heisst das ich an zwei Standorten die Firewall austauschen muss.
Nööö .. habe sowas immer im Fernzugriff (via ssh ) gemacht, geht wenn man sorgfältig arbeitet und vorher (sollte man) an einem Beispiel über ;-)
NULL Fehler ist Bedingung

Fred

Post Reply