OpenVPN Einrichtung klappt nicht

[MMeirolas]

Einen wunderschönen guten Tag

Ich habe auf meinem Ubuntu Server versucht einen OpenVPN Server aufzustellen, und diese Anleitung dafür genutzt:
https://www.digitalocean.com/commun...onfigure-an-openvpn-server-on-ubuntu-20-04-de

Ich habe die Schritte sehr sorgfältig geprüft und ausgeführt, trotzdem wird mein Zertifikat nicht akzeptiert.

Wenn ich versuche die .ovpn Datei zu importieren (Android) bekomme ich die Meldung:

“Failed to import profile. Failed to parse profile static keyparse_error”.

Wenn ich die .ovpn Datei im Editor öffne steht dort:

“X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE"

Könnte mir jemand helfen diesen Fehler zu beheben, bzw. welche Infos soll ich einfügen um das zu ermöglichen?

Würde mich sehr über Hilfe freuen.

Grüße

 

[Crumar]

Ich weiß, es hilft bei deinem Problem nicht. Aber vielleicht ja doch ein Stein des Anstoses:
Spricht was dagegen, auf WireGuard umzusteigen?

 

[MMeirolas]

Hey Crumar, natürlich macht es nichts aus, ist sogar besser.

Ich müsste aber erst rausfinden wie ich diesen Ärger hier wieder rückgängig mache

Hat lange gedauert meine Jellyfin und Syncthing Server richtig einzurichten, hab keinen Bock alles wieder neu zu installieren

 

[till69]

Spricht was dagegen, auf WireGuard umzusteigen?

Ja. Wenn es wirklich überall funktionieren soll, ist OpenVPN über TCP Port 443 mit tlscrypt Option die richtige Wahl, da UDP Verbindungen nicht in jedem öffentlichen Netz funktionieren.

 

[moos1407]

Ich kann folgendes Skript für die Installation empfehlen: https://github.com/Nyr/openvpn-install
Übernimmt alles und ist sehr einfach.

 

[snaxilian]

Hast du dir ernsthaft mal angeguckt was du da verlinkst? Allein beim ersten überfliegen einen eklatanten Fehler und ein aus Security Sicht sehr unschöne Eigenart gefunden.

Wirft man die Fehlerbeschreibung in $Suchmaschine findet man mehrere Treffer in Richtung fehlerhafte oder fehlende oder falsch kodierte Zertifikate. Daher vermute ich dort einen Fehler bei der Erstellung der CA, Ausstellung und Signierung der Server- & Clientzertifikate und der "Verpackung" in die client.ovpn Datei.

 

[MMeirolas]

Danke an alle.

Hab nun alles rückgängig gemacht und werde mal das Script von moos1407 testen

Kann mir jemand sagen warum ich per FritzBox VPN vom Handy auf das FritzNAS zugreifen kann, aber nicht auf den Server?

Was müsste ich da in der ufw noch einstellen um von unterwegs drauf zugreifen zu können?

 

[snaxilian]

Anhand der "Fülle" an Informationen zu dem Aufbau deines Netzwerkes, gesetzter Berechtigungen, etc lässt sich das absolut nicht sagen.

 

[MMeirolas]

Hast du dir ernsthaft mal angeguckt was du da verlinkst? Allein beim ersten überfliegen einen eklatanten Fehler und ein aus Security Sicht sehr unschöne Eigenart gefunden.

Wirft man die Fehlerbeschreibung in $Suchmaschine findet man mehrere Treffer in Richtung fehlerhafte oder fehlende oder falsch kodierte Zertifikate. Daher vermute ich dort einen Fehler bei der Erstellung der CA, Ausstellung und Signierung der Server- & Clientzertifikate und der "Verpackung" in die client.ovpn Datei.

Danke, hat sich erledigt

Ergänzung (29. September 2020)

Anhand der "Fülle" an Informationen zu dem Aufbau deines Netzwerkes, gesetzter Berechtigungen, etc lässt sich das absolut nicht sagen.

Zuhause hab ich in der ufw die festen IPs meiner Geräte erlaubt. Von unterwegs hab ich keinen Plan wie ich das machen soll...

Welche Info bräuchtest du? Kann ja per SSH nachschauen 😉 SSH geht ja auch, nur den SMB File Server erreiche ich nicht

 

[snaxilian]

Zuhause hab ich in der ufw

Zuhause auf dem selbstgebauten Router?
Zuhause auf dem selbstgebauten NAS?
Zuhause auf irgendeinem anderen Gerät?
Dein openVPN steht zuhause oder bei irgendeinem Hostinganbieter?
Wo kommt plötzlich das VPN der Fritzbox ins Spiel wenn du von openVPN redest?

Welche Info bräuchtest du?

Du willst etwas von uns, daher hast du eine Bringschuld und nicht wir eine Holschuld und ich habe keine Lust jedes einzelne Detail mühlselig zu erfragen.

Aufbau deines Netzwerkes, gesetzter Berechtigungen

Niemand hier im Forum, absolut wirklich niemand außer dir weiß wie dein Netzwerk aufgebaut ist. Ich frage ja nicht grundlos nach dem Aufbau etc und meine daher z.B. so etwas:
https://www.einfaches-netzwerk.at/blog/wp-content/uploads/2018/10/Network.png oder https://www.edrawsoft.com/templates/pdf/information-center-network.pdf
Das kann auch in Paint oder sonst wie gezeichnet sein aber bevor ich oder andere dir vernünftig helfen können müssen wir das Problem verstehen und nachvollziehen können.

 

[Olunixus]

Hast du dir ernsthaft mal angeguckt was du da verlinkst? Allein beim ersten überfliegen einen eklatanten Fehler und ein aus Security Sicht sehr unschöne Eigenart gefunden.

Was genau meinst du? Bin beim googlen ebenfalls über diese Anleitung gestoßen...

 

[snaxilian]

Keine Ahnung was ich damals alles unpassend fand, der Thread ist einen Monat^^
Aber wenn du fragst gucke ich gerne nochmal drüber:

• wget | bash war noch nie eine gute Idee, man sollte immer(!) nach dem Download prüfen was man da ausführt.
• Unschön aber kann man drüber hinweg sehen: Haufenweise if-elif-else Anweisungen... Sorry aber genau dafür wurde switch-case erfunden^^
• Es wird zwar gefragt auf welchem Port der VPN-Server laufen soll aber es gibt keine Prüfung ob auf der IP-Port schon ein Dienst läuft...
• Das Skript fragt zwar ab ob es eine oder mehrere öffentliche IPv4 und IPv6 Adressen gibt und falls mehrere wird gefragt welche genutzt werden soll ABER bei der Erstellung der Firewallregeln wird der Port ohne Einschränkung in der Input Chain geöffnet also auch für ggf. andere vorhandene Adressen.
• Falls ich es nicht übersehen habe wird für IPv6 nix auf der Input Chain erlaubt^^
• Easy-rsa wird mit fester Versionsnummer 'installiert'. Das mag okay sein solange der Maintainer dieser Anleitung das immer zeitnah pflegt aber wenn er darauf mal keine Lust hat ist das unschön. Eine Möglichkeit immer die aktuellste Version zu nehmen wäre mMn sauberer. Nachteil daran ist: Wenn sich bei der Nutzung etwas geändert hat müsste das immer überprüft und ggf. korrigiert werden bei neuen Versionen.

edit: IP : Port durch IP-Port ersetzt um Smiley zu vermeiden.

 

[Olunixus]

Also eigentlich doch nicht so " eklatante Fehler " im Script, wie dein Post hat vermuten lassen? Und ja: wenn ich so ein Skript nutze vertraue ich in diesem Moment "blind" dem Ersteller - jedes Mal das Teil von oben nach unten prüfen ob was problematisches rein programmiert wurde, wird vermutlich keiner...

 

[snaxilian]

Den Beitrag von mir auf den du dich beziehst ist ca. einen Monat alt, zwischenzeitlich gab es Änderungen an der Anleitung. Frei nach Drosten: "Ich habe besseres zu tun" als mir jede Revision von Skripten Dritter anzusehen. Die jetzt genannten Punkte beziehen sich auf ein grobes 5-minütiges überfliegen der aktuellen Version.
Ansonsten ist wget | bash nach wie vor eine dämliche Idee und warum das so ist steht z.B. hier: https://www.seancassidy.me/dont-pipe-to-your-shell.html
Mindestens das sollte getrennt voneinander erfolgen.