OpenVPN Entwicklung - Mit Einladung zum Testen und mitmachen

[5p9]

Hi,

der Test mit XP und OpenVPN tut wie es soll! Keine Probleme mit HMAC tls-auth und Camellia inkl. Whirlpool 512:

Code: Select all

Fri May 30 07:15:43 2014 DEPRECATED OPTION: --tls-remote, please update your configuration
Fri May 30 07:15:43 2014 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May  2 2014
Fri May 30 07:15:43 2014 library versions: OpenSSL 1.0.1g 7 Apr 2014, LZO 2.05
Fri May 30 07:15:43 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri May 30 07:15:43 2014 Need hold release from management interface, waiting...
Fri May 30 07:15:44 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri May 30 07:15:44 2014 MANAGEMENT: CMD 'state on'
Fri May 30 07:15:44 2014 MANAGEMENT: CMD 'log all on'
Fri May 30 07:15:44 2014 MANAGEMENT: CMD 'hold off'
Fri May 30 07:15:44 2014 MANAGEMENT: CMD 'hold release'
Fri May 30 07:15:50 2014 MANAGEMENT: CMD 'password [...]'
Fri May 30 07:15:50 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri May 30 07:15:50 2014 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri May 30 07:15:50 2014 Outgoing Control Channel Authentication: Using 512 bit message hash 'whirlpool' for HMAC authentication
Fri May 30 07:15:50 2014 Incoming Control Channel Authentication: Using 512 bit message hash 'whirlpool' for HMAC authentication
Fri May 30 07:15:50 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri May 30 07:15:50 2014 MANAGEMENT: >STATE:1401426950,RESOLVE,,,
Fri May 30 07:15:50 2014 UDPv4 link local: [undef]
Fri May 30 07:15:50 2014 UDPv4 link remote: [AF_INET]93.xx.xx.xx:xx
Fri May 30 07:15:50 2014 MANAGEMENT: >STATE:1401426950,WAIT,,,
Fri May 30 07:15:50 2014 MANAGEMENT: >STATE:1401426950,AUTH,,,
Fri May 30 07:15:50 2014 TLS: Initial packet from [AF_INET]93.xx.xx.xx:xx, sid=eb229f4f 4d1917e7
Fri May 30 07:15:51 2014 VERIFY OK: depth=1, /C=DE/O=xx/CN=xx_CA
Fri May 30 07:15:51 2014 VERIFY OK: nsCertType=SERVER
Fri May 30 07:15:51 2014 VERIFY X509NAME OK: /C=DE/O=xx/CN=xx.spdns.org
Fri May 30 07:15:51 2014 VERIFY OK: depth=0, /C=DE/O=x/CN=xx.spdns.org
Fri May 30 07:15:52 2014 Data Channel Encrypt: Cipher 'CAMELLIA-256-CBC' initialized with 256 bit key
Fri May 30 07:15:52 2014 Data Channel Encrypt: Using 512 bit message hash 'whirlpool' for HMAC authentication
Fri May 30 07:15:52 2014 Data Channel Decrypt: Cipher 'CAMELLIA-256-CBC' initialized with 256 bit key
Fri May 30 07:15:52 2014 Data Channel Decrypt: Using 512 bit message hash 'whirlpool' for HMAC authentication
Fri May 30 07:15:52 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri May 30 07:15:52 2014 [xx.spdns.org] Peer Connection Initiated with [AF_INET]93.xx.xx.xx:xx
Fri May 30 07:15:53 2014 MANAGEMENT: >STATE:1401426953,GET_CONFIG,,,
Fri May 30 07:15:54 2014 SENT CONTROL [xx.spdns.org]: 'PUSH_REQUEST' (status=1)
Fri May 30 07:15:54 2014 PUSH: Received control message: 'PUSH_REPLY,route 10.xx.xx.0 255.255.255.0,redirect-gateway def1,dhcp-option DNS 192.168.xx.xx,route 10.xx.xx.1,topology net30,ping 10,ping-restart 60,route 192.168.xx.0 255.255.255.0,route 192.168.xx.0 255.255.255.0,dhcp-option DNS 192.168.xx.xx,ifconfig 10.xx.xx.14 10.xx.xx.13'
Fri May 30 07:15:54 2014 OPTIONS IMPORT: timers and/or timeouts modified
Fri May 30 07:15:54 2014 OPTIONS IMPORT: --ifconfig/up options modified
Fri May 30 07:15:54 2014 OPTIONS IMPORT: route options modified
Fri May 30 07:15:54 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri May 30 07:15:54 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri May 30 07:15:54 2014 MANAGEMENT: >STATE:1401426954,ASSIGN_IP,,10.xx.xx.14,
Fri May 30 07:15:54 2014 open_tun, tt->ipv6=0
Fri May 30 07:15:54 2014 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{3558BDDF-DFE0-4723-8F00-3BDD60AED85D}.tap
Fri May 30 07:15:54 2014 TAP-Windows Driver Version 9.9 
Fri May 30 07:15:54 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.xx.xx.14/255.255.255.252 on interface {3558BDDF-DFE0-4723-8F00-3BDD60AED85D} [DHCP-serv: 10.xx.xx.13, lease-time: 31536000]
Fri May 30 07:15:54 2014 Successful ARP Flush on interface [65541] {3558BDDF-DFE0-4723-8F00-3BDD60AED85D}
Fri May 30 07:15:59 2014 TEST ROUTES: 5/5 succeeded len=4 ret=1 a=0 u/d=up
Fri May 30 07:15:59 2014 C:\WINDOWS\system32\route.exe ADD 93.xx.xx.xx MASK 255.255.255.255 192.168.xx.xx
Fri May 30 07:15:59 2014 Route addition via IPAPI succeeded [adaptive]
Fri May 30 07:15:59 2014 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.xx.xx.13
Fri May 30 07:15:59 2014 Route addition via IPAPI succeeded [adaptive]
Fri May 30 07:15:59 2014 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.xx.xx.13
Fri May 30 07:15:59 2014 Route addition via IPAPI succeeded [adaptive]
Fri May 30 07:15:59 2014 MANAGEMENT: >STATE:1401426959,ADD_ROUTES,,,
Fri May 30 07:15:59 2014 C:\WINDOWS\system32\route.exe ADD 10.xx.xx.0 MASK 255.255.255.0 10.xx.xx.13
Fri May 30 07:15:59 2014 Route addition via IPAPI succeeded [adaptive]
Fri May 30 07:15:59 2014 C:\WINDOWS\system32\route.exe ADD 10.xx.xx.1 MASK 255.255.255.255 10.xx.xx.13
Fri May 30 07:15:59 2014 Route addition via IPAPI succeeded [adaptive]
Fri May 30 07:15:59 2014 C:\WINDOWS\system32\route.exe ADD 192.168.xx.0 MASK 255.255.255.0 10.xx.xx.13
Fri May 30 07:15:59 2014 Route addition via IPAPI succeeded [adaptive]
Fri May 30 07:15:59 2014 C:\WINDOWS\system32\route.exe ADD 192.168.xx.0 MASK 255.255.255.0 10.xx.xx.13
Fri May 30 07:15:59 2014 Route addition via IPAPI succeeded [adaptive]
Fri May 30 07:15:59 2014 Initialization Sequence Completed
Fri May 30 07:15:59 2014 MANAGEMENT: >STATE:1401426959,CONNECTED,SUCCESS,10.xx.xx.14,93.xx.xx.xx

VG, 5p9

[5p9]

Für noch ein wenig Basisinfos hier mal das Wiki dazu, bin da gerade drüber gestolpert

http://wiki.ipfire.org/de/configuration ... ovpnoption

VG, 5p9

[penne]

Hoi,

bin grad wieder am testen, aber ich kriegs nicht gebacken, dauerhaft eine Verbindung herzustellen, der client disconnected sich immer nach ca 3min(is wohl ein timeout).

zu meinem testsetup, eine lubuntu host mit 3 gb ram und e8500.

per virtualbox
1x ipfire 2x nics (internes netz=green + und netzwerkbruecke=red)
(1x win7 64bit 1x nic netzwerkbruecke oder internes netz, je nachdem was ich testen will)
(1x win8.1 64bit 1x nic netzwerkbruecke oder internes netz, je nachdem was ich testen will)
(1x lubuntu, 1x nic ......)

von den geklammerten ist jeweils eins aktiv, sonst wuerd mir die kiste hier ewig rumroedeln.

um das vpn zu testen, dachte ich mir, ich bring die client virtualboxen netzwerktechnisch auf eth0, so dass per vpn von red  auf den fire connecten kann. die connection kommt zwar zustande, aber es gehen keine Daten durch, so dass nach ca. 3 min die verbindung ab bricht und ein reconnect stattfindet.
Ich glaube das Problem ist dass der client die daten nicht durch den vpn tunnel schicken will sondern durch das gateway in eth0, welches die easybox ist. zumindest sagt mir tracert dass.....


Mein Problem ist denke ich mal mein test aufbau.....wie löst ihr dass? ich steh grad aufm schlauch...

bin auf core78, mit 77 das gleiche probleme

gruessle

[roswitina]

Ich nehme Proxmox als Server. Kostet auch nichts und läuft bei mir perfekt. Ich habe z.B. 3 verschiedene Firewalls (dzt. 2 x IPC.. und 1 x IPFIRE) virtuell am Laufen.

Rosi

[ummeegge]

Hallo zusammen,
@5p9
Danke für die Rückmeldung, hast ja ordentlich getestet , wenn du gerade noch im Kopf hast mit welchen OpenVPN Clients du getestet hast wäre es toll wenn du das noch schreiben kannst (ist aber auch nicht so wichtig).

Bin gerade noch an einem Update für diese Version dran (Kosmetik vor allem), denke das ist dann auch das letzte für diese Entwicklung (die nächste wartet schon  ).

Diese Version sollte mittlerweile auch im Testing Branch zu finden sein, Wiki wird auch bald folgen.

Grüsse und Danke bis hierher mal an euch alle  .

UE

[derfossibaer]

Mensch UE,

da ist man mal 14 Tage im Urlaub, und schon ist der Thread auf fast 100 Beiträge gewachsen. Da werde ich mich mal in Ruhe durchfummeln.

Ich habe inzwischen - noch mit dem Script von vor drei Wochen - meine Firewall mit vier N2N Clients am Laufen. Zwei laufen mit Whirlpool und DH4096, zwei noch auf SHA512. Es wurde nur der Server gepatched, die Clients laufen auf dem unveränderten IPfire 2.15 Core 78.

Alle Tunnel laufen seit 14 Tagen ohne Ausfälle. Warum die ersten Tunnel seiner Zeit nicht sofort gestartet sind, ist nicht mehr nachzuvollziehen. Neu angelegte Verbindungen starten nun sofort durch.

Viele Grüße Fossi.

[ummeegge]

Hallo zusammen,
habe nun die, so schätze ich, vorerst letzte Version hochgeladen (Installer wurde angepasst --> https://forum.ipfire.org/http://forum.i ... 0#msg65090).

Was ist neu:
- Der Installer akzeptiert nun nur noch OpenSSL 1.0.1h, Fix wie der Arne war ist das Update ja in Core 78 enthalten.
- Der Bereich Zertifizierungsstelle wurde auch für das Key Listing erweitert/umbenannt (Language Files), nun kann auch auf einen Blick gesehen werden ob/welcher DH Parameter vorhanden ist (Danke penne für den netten Tip  ).
- Der ta.key wird nun auch im CA/Key Chart geführt, lässt sich anzeigen und auch downloaden.
- ta.key wird nun beim Erstellen einer neuen PKI automatisch miterzeugt, wenn keine neue PKI erstellt wird, wird nach wie vor über die "Erweiterten Einstellungen" durch aktivieren der tls-auth Checkbox einer erstellt sofern noch nicht geschehen.
- Der DH Parameter ist ja auch seit der letzten DEV Version im CA/Key Chart vorhanden, die Chart Infos werden nun aber ein wenig erweitert ausgelesen (PKCS Infos ergänzt).
- Code Dupletten wurden gelöscht.
- "use warnings;" und "use CGI::Carp 'fatalsToBrowser';" auskommentiert (Debugging abgeschaltet).

Was kann noch kommen:
- Die CRL kann eigendlich auch im CA/Key Chart geführt werden. Ein separierter Bereich zum Editieren/Revoken von Clients könnte da miteinfliessen. Revoken/Reaktivieren muss man derzeit noch manuell über die Konsole machen, wäre doch ganz nett über das WUI ?!
- tls-min-version 1.2 könnte nach Core 79 (sofern OpenVPN-2.3.4 released wird) mithinzukommen.
Welcher Vorteil hat dies ?! Nun, der Kontrollkanal könnte dann mit z.b. "tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384" laufen. Abwärtskompatibilität sollte möglich sein.
AES-GCM --> also ein AEAD (Authenticated Encryption with Additional Data) Cipher Mode wäre dann mit verbessertem HMAC auch für den Kontrollkanal gegeben.
- Einstellungen um den Zyklus zum Austausch des Sessionkeys einstellen zu können wäre auch eine Idee und ist hier bereits auch im Einsatz.

Vielleicht habt ihr ja auch noch Ideen ?

Soweit mal für heut.

Grüsse,

UE

@Fossi
Freut mich das alles läuft  .

[derfossibaer]

Wie kann ich denn meinen Server auf diese Version mit TLS-Auth hieven?

uninstall mit dem alten Script und dann install mit dem Neuen? Muss/Sollte ich vorher die Keys und .pems wegsichern, evt. das ganze ovpn-Verzeichnis vorher einmal wegkopieren?

Gibt es Erfahrungen mit der Sicherung und Wiederherstellung bei einer Neuinstallation des Fire?

Soll ich mal einen zweiten Fire ansetzen und versuchen nach Installation des Scripts eine Sicherung wiederherzustellen?

[ummeegge]

Hi Fossi,

Wie kann ich denn meinen Server auf diese Version mit TLS-Auth hieven?

uninstall mit dem alten Script und dann install mit dem Neuen?

Genau, so sollte das passen.

Muss/Sollte ich vorher die Keys und .pems wegsichern, evt. das ganze ovpn-Verzeichnis vorher einmal wegkopieren?

Das brauchst du nicht, die neue Version beinhaltet nur Ergänzungen zu den vorherigen Änderungen in der ovpnmain.cgi, *.pem´s bzw. das ovpn Verzeichnis ist davon (ausser das ein Key neuerstellt wird sofern nicht schon geschehen) nicht betroffen. Ich denke das du auch schon tls-auth in den Erweiterten Einstellungen drinne hast. Wenn die Checkbox noch nicht an war und du sie aktivierst, bekommst du einen neuen statischen 2048 Bit Key nach /var/ipfire/ovpn/certs erstellt, denk aber dran das betrift nur RW´s, kein N2N.

Gibt es Erfahrungen mit der Sicherung und Wiederherstellung bei einer Neuinstallation des Fire?

Was das OpenVPN allgemein betrift solltest du aufpassen das durch die Sicherung die index.txt bzw. serial (unter /certs) nicht ausversehen ein anderes Format bekommen sonst meckert OpenVPN beim Erstellen von neuen Clients, vielleicht einfach alles in eine tar.gz (den Preserve Schalter nicht vergessen) packen und auf dem Ziel host entsprechend wieder auspacken.

Soll ich mal einen zweiten Fire ansetzen und versuchen nach Installation des Scripts eine Sicherung wiederherzustellen?

Kannst du ja mal ausprobieren wenn Zeit und Lust .

UE

[derfossibaer]

Bin ja jetzt wieder da und Zeit wie immer: Mal mehr mal weniger - je nach dem was anliegt.

[5p9]

Moin UE,

du fleißiges Bienchen
Für Windows habe ich diese Version openvpn-install-2.3.4-I001-i686 verwendet.

VG, 5p9

[derfossibaer]

Moin, moin.

Hab nochmal 'ne Frage zum VPN-Gui:

Von einem N2N Client aus soll die DMZ intern erreichbar sein. Bislang hatte ich auf dem IPfire Client eine statische Route auf die VPN-IP des VPN-Servers gesetzt. Das läuft leider nicht ganz stabil.

Jetzt habe ich in der Config des N2N-Clients ein zusätzliches

route x.x.x.0 255.255.255.0

gesetzt. Das funktioniert, ich vermute mal auch stabiler als meine erste Variante - muss ich noch beobachten.
Warum kann man denn keine zusätzlichen Routen beim Anlegen einer N2N-Verbindung auf dem Server angeben. Wäre das nicht ähnlich wie bei der Client-Config zu lösen - Hat Zugriff auf Grün, Blau, Gelb ...

[ummeegge]

Moin Fossi,
in der Tat das ist noch ein Feature was schick wäre. Da gab es auch schon vorbereitende Arbeiten vom m.a.d --> http://git.ipfire.org/?p=ipfire-2.x.git ... re79#l4378 welchen ich nicht vorgreifen wollte. Soweit ich weiss steht dieses Feature aber bei ihm auf der Liste und könnte auch bald kommen.

Dein Ansatz das über "route '...'" in der N2N config zu lösen ist richtig, siehe --> http://wiki.ipfire.org/de/configuration ... tze_routen und sollte stabil laufen.

UE

[emtie]

Ich würde gerne meine Vorschlag aus dem anderen Thread noch einmal aufgreifen und die Zertifikate direkt in die client.ovpn Datei zu integrieren, habe mich mittlerweile etwas in Perl eingelesen. Ich studiere gerade die ovpnmain.cgi und hätte folgende Vorschläge dies zu realiseren. Bin aber noch Anfänger, daher etwas nachsicht 

Im Abschnitt Net2Net Zeile 997...

Die Vorschläge kommen noch, das Testen dauert doch länger als gedacht, ich bleibe aber am Ball..

cu emtie

[emtie]

Grundsätzlich ist die Idee eine Sub einzubauen, die bei Angabe der Quell-Zertifikat/Key-Datei die Dateiinhalt mit mit dem jeweiligen Abschnitt versieht und dann in die ovpn Datei kopiert. Aber leichter gesagt als getan und den Abschnitt in dem die p12 dateien gebaut werden habe ich auch noch nicht gefunden...