VPN-Zugang openVPN

Marc · 25. Juli 2024 um 07:08

Hallo zusammen,

bei der Einrichtung von openVPN (OpenVPN konfigurieren — linuxmuster.net latest Dokumentation) wird auf den Test des Zugangs hingewiesen.
Einzige Anpassung: server → verwserver
Test ergibt:
Die folgenden Eingabefehler wurden entdeckt:

Authentifizierung fehlgeschlagen.
error: error:0A000086:SSL routines::certificate verify failed (unable to get local issuer certificate)
ldap_error: Can't contact LDAP server

Getestet mit mehreren existierenden Usern.

Der Test der bestehenden Verbinung „linuxmuster“ gibt den gleichen Fehler!

linuxmuster.net nutzt doch automatisch LDAP, oder?
Bin ich auf dem Holzweg?
JEDER RTFM Hinweis ist willkommen! (Falls es einen Hinweis auf wireshark gibt gern auch diesen.)

Liebe Gruesse

Marc

tjordan · 25. Juli 2024 um 07:55

Hallo,

das Problem ist ein Zertifikatsfehler. Der Client, der die LDAP-Quelle auslesen soll scheint die Zertifizierungsstelle des Zertifikat des LDAPS-Servers nicht zu kennen.

Viele Grüße
Thomas

Marc · 25. Juli 2024 um 08:42

So lese ich diese Fehlermeldung auch.
Es handelt sich um eine nicht weiter angepasste neue linuxmuster-Installation.
User (8, NUR Verwaltung) arbeiten auf dem Server seit den Pfingstferien (BaWue).

Das Zertifikat ist doch eh selbst zertifiziert (Oder sehe ich das falsch?)
Ich sollte ihm doch selbst zertifizierte Zertifikate unterschieben koennen.

Das Setup ist:
internet → FritzBox → (openSENSE → linuxmuster Server) → Clients
(In Klammern: Virtuelle Maschinen auf einem PROXMOX-Server)

tjordan · 25. Juli 2024 um 11:48

Hallo,

nur wenn du den LDAP-Client so konfigurierst, dass er das Zertifikat des LDAP-Servers nicht auf seine Gültigkeit überprüfen soll. Genau das macht er in der jetzigen Konfiguration und da er keine Zertifizierungsstelle findet, die das LDAP-Zertifikat des Servers ausgestellt hat, vollkommen unabhängig davon, ob es eine eigene CA oder eine öffentliche ist, schlägt die Zertifikatsprüfung fehl und er baut keine Verbindung auf.

Viele Grüße
Thomas

Buster · 25. Juli 2024 um 18:36

Im Prinzip willst du Zertifikate immer validieren, um Man-in-the-Middle-Angriffe auszuschließen. Das Deaktivieren der Validierung kommt dem Wegfall von TLS-Verschlüsselung gleich.

Laut OPNsense-Doku (hier und hier) sollte man das Zertifikat importieren können und dann wird dies auch validiert. Ich habe aber keine OPNsense zur Hand, um das genauer zu prüfen.

MfG Buster

Marc · 30. Juli 2024 um 09:45

Hallo Buster,

absolut richtiger und wichtiger Hinweis!

Benutzt die linuxmuster nicht immer LDAP? (Bei meiner Neuinstallation ist /etc/ldap/ldap.conf NICHT angepasst…

LDAP Defaults

See ldap.conf(5) for details

This file should be world readable but not world writable.

base dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-provider.example.com:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

TLS certificates (needed for GnuTLS)

TLS_CACERT /etc/ssl/certs/ca-certificates.crt
)

Was muss denn da eingetragen weirden? und WO steht das in der DOKU?
Kann mir jemand den Einstiegspunkt verraten?

Vielen Dank im Voraus

baumhof · 1. August 2024 um 10:56

Hallo,
in meiner /etc/ldap/ldap.conf steht das gleiche wie bei dir.

Ich verwende kein VPN, deswegen kann ich leider nicht helfen.

Aber eine Anmerkung hätte ich:
LDAP bezeichnet das Protokoll, mit welchem man ein Directory (bei uns einen AD) abfragt. Ich wüßte jetzt nciht, wo der server per LDAP Daten aus seinem AD abfragen sollte.

Wo ist den der Endpunkt deines VPN?
Dort müßte ja dann die LDAP Abfrage stattfinden (gegen den AD): also würde ich dort nach den LDAP Einstellungen schauen.

LG
Holger