IPFire Core 120 funktioniert :-)


#1

Hallo,

ich habe auf Core 120 upgedatet (ok, für Deutschlehrer “aktualisiert”), und bisher funktioniert noch alles…

LG
Max


#2

Hallo!

Kann ich bestätigen. Nur openVPN muss ich noch auf rot testen. Mal sehen wann ich zu Hause bin.

Beste Grüße

Thorsten


#3

Hallo,

auch OpenVPN funktioniert.

Gruß

Alois


#4

Hallo Alois!

Kann ich leider nicht bestätigen. Bei mir ging es nicht, bin gerade wieder zurück auf Core 119. Da lief es sofort wieder.

Anders bei Update auf 120. Da war der openVPN Dienst nach dem Restart gestoppt. Könnte also ein Indigator sein für:

Meine Annahme: Da meine Einstellung bzgl. der Zertifikate fast so alt sind wie meine gewachsene Installation gehen meine Vermutungen in diese Richtung.

Alois kannst du mal bitte einen Screenshot von der openVPN-Seite posten.

Falls es an dem ist, müssten sich alle meiner User neue Schlüssel generieren und dass kann ich so nicht mal auf die Schnelle anleiern.

Also mal schauen.

Beste Grüße

Thorsten


#5

Hallo Thorsten,

Hier das gewünschte Bild.

Ich bin gerade per OpenVPN verbunden.

Gruß

Alois


#6

Hallo Alois!

Kannst Du mir noch einen für [Erweiterte Server-Optionen] nachliefern?

Danke!

Liebe Grüße

Thorsten


#7

Hallo Thorsten,

mach ich, wenn ich zu Hause bin. Wir sind gerade im Kino beim Frühstück vor dem Film.

Viele Grüße Alois


#8

auch bei mir mit subnetting.
VG, Tobias


#9

Hallo Thorsten,

wie gewünscht:

Gruß

Alois


#10

Hallo Zusammen,

ein Hinweis zum Upgrade auf “Core 120” betreffend OVPN:

wenn auf der Firewall ein:

openssl x509 -noout -text -in /var/ipfire/ovpn/certs/servercert.pem | grep Signature

Signature Algorithm: md5WithRSAEncryption
Signature Algorithm: md5WithRSAEncryption

ergibt, ist die OpenVPN CA nicht mehr kompatibel mit Core 120. Dies hat zur Folge, dass nach dem Upgrade eine neue OpenVPN CA erstellt werden muss. Des Weiteren müssen auch alle User-Zertifikate neu erstellt werden!

Grüße


#11

Hallo,

dies kann ich so bestätigen. Sollte die OpenVPN CA vor einigen Jahren und die Zertifikate vor längerer Zeit erstellt worden sein, führt o.g. Befehl zu o.g. Ausgabe.

Das Update auf Core 120 führt dann dazu, dass die bisherigen Zertifikate nicht mehr verwendet werden können. Es muss die alte CA gelöscht, eine neue CA erstellt und alle Nutzerzertifikate erneut erstellt werden.
Sollten nur einige Nutzen OpenVPN einsetzen, ist dies noch nicht so aufwändig.

Das Löschen und die Neuerstellung der CA kann auf dem IPFire auch über die GUI erfolgen. Hier zunächst unten den Button X.509 löschen klicken, das Ganze dann bestätigen. Danach den Button Neue CA erstellen aktivieren und das Ganze mit mind. 2048 Bit erstellen lassen. Danach noch Diff-Hellmann erzeugen ebenfalls via Button.
Dann müssen User via Schulkonsole ein neues Zertifikat erstellen und der Admin muss dieses im IPFire aktivieren.

Habe ich heute ausprobiert:
Update auf Core 120, löschen der alten CA, Anlegen der neuen CA und Diff-Hellmann. Paket auf den Client geladen und mit diesem sowohl unter Ubuntu 16.04, 18.04 und win10 erfolgreich eine VPN-Verbindung hergestellt.

VG
Chris


#12

Hallo,

es gibt ein zusätzliches Problem bei der Aktualisierung des IPFire von 119 auf 120 oder 121. Nach o.g. Verfahren meldet IPFire, dass das Host-Zertifikat nicht RFC3280 konform sei.

Dies liegt darin begründet, dass unter
/var/ipfire/ovpn/openssl/ovpn.cnf
die “extendedKeyUsage” Parameter für das Zertifikat in der Konfig fehlen.

Lösung:

  1. Stoppe OpenVPN Server im IPFire
  2. Ändere in den allg. Einstellungen die Verschlüsselung auf z.B. AES-CBC (256 Bit) und unter den erweiterten Einstellungen die Kryptographieoptionen auf SHA256
  3. IPFire OpenVNPN: Lösche X.509 Instanz auf dem Ipfire (Achtung alle Zertifikate werden unbrauchbar und müssen neu angelegt werden)
  4. Editiere auf der Konsole die Datei /var/ipfire/ovpn/openssl/ovpn.cnf, indem Du den gesamten Inhalt durch den Inhalt die unter folgendem Link zu findenden Vorlagendatei ersetzt:
    https://git.ipfire.org/?p=ipfire-2.x.git;a=blob_plain;f=config/ovpn/openssl/ovpn.cnf;hb=refs/heads/core123
  5. Erzeuge ein neues Host/Root - Zertifikat (mind.2048 Bit Schlüssellänge)
  6. Erzeuge einen neuen Diffie Hellmann key mit mind. 2048 Bite Schlüssellänge (steht dann in der Gui unter TLS)
  7. Starte den OpenVPN Server neu
  8. User generieren eine neuen Key
  9. Admin aktiviert diese Keys auf dem OpenVPN Server

-> OpenVPN client Verbindung funktioniert nun und auf dem Server gibt es keine Fehlermeldungen mehr!


IPFire 2.21 (i586) - Update auf Core 126
#13

Hallo Christian,

ich bekomme OpenVPN (IPFIRE Core 126) mit der Anleitung nicht zum laufen. Der Server läuft, die Verbindung unter Ubuntu 18.04 wird aufgebaut,baut sich aber wieder ab.

Hast Du noch einen Tip wo ich suchen könnte?

Gruß

Alois


#14

Ich antworte mir selbst. Die Konfigurationsdatei welche in meinem Homeverzeichnis unter OpenVPN liegt heißt meinname-TO-Firewall-RED.ovpn sieht so aus und funktioniert nicht:

#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote meineschule.de 1194
pkcs12 meinname.p12
cipher AES-256-CBC
comp-lzo
verb 3
ns-cert-type server

Damit funktioniert OpenVPN nicht.

Wenn ich die Konfigurationsdatei mit Zertifikat aus der IPFIRE Web-Oberfläche herunterlade (gezippt bekomme ich zwei Dateien meinname.p12 und meinname-TO-IPFire.ovpn)
Die meinname.p12 Datei ist identisch der mit der Schulkonsole herunter geladenen.
Die Datei meinname-TO-IPFire.ovpn sieht dann so aus und funktioniert:

#OpenVPN Client conf
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1400
remote meineschule.de 1194
#Coment the above line and uncoment the next line, if you want to connect on the Blue interface
;remote 172.16.16.254 1194
pkcs12 meinname.p12
cipher AES-256-CBC
auth SHA256
comp-lzo
verb 3
remote-cert-tls server
verify-x509-name ipfire.meineschule.lokal name

Wie schaffe ich es, dass aus der Schulkonsole die richtigen Konfigurationsdateien herunter geladen werden?

Gruß

Alois