Topic: sme 9 e vpn

[killrob]

Salve a tutti,
ho sme 9 server server&gateway.
Dato che la "cara" melamarcia apple ha deciso che per le sue nuove versioni di ios dal 10 in poi non hanno più il protocollo pptp per collegarsi alla vpn, alcuni dei miei clienti sono in difficoltà proprio perché utilizzano il marciofonino o il marciotablet e non riescono più a collegarsi in vpn allo sme server.
Ci sono mica contribs in giro che utilizzano altri protocolli?
Su tutti i dispositivi mobili della mela marcia ci sono:
L2PT
IPSec
IKEv2

grazie a tutti
p.s.: si capisce mica che ho un filo di astio verso il marchio della mela marcia???

[killrob]

Scusate tutti quanti... ho letto meglio il wiki ed ho trovato.
Grazie a tutti e scusate lo sfogo verso la mela marcia

[Fumetto]

Non preoccuparti... l'astio è condiviso; una volta anche se il certificato del server era autogenerato lo si poteva autorizzare, adesso lo devi PRIMA esportare in base64, installare, autorizzare e solo DOPO la trafila precedente puoi configurare l'email (anche se ogni volta che ci provo ci sta sempre una vita a riconoscere le impostazioni come valide)... mela_di_mmerda!!!

[ReetP]

Anche se non amo Apple, hanno preso la decisione giusta. PPTP è molto insicuro. È quasi inutile.

Le opzioni disponibili sono ipsec, ipsec / l2tpd, openvpn.

Tutti sono più difficili da impostare, ma valgono il lavoro. Openvpn 'routed' con PHPKI è molto buono una volta installato, ma può essere complicato.

Ipsec / l2tpd è relativamente facile da configurare, anche se contrib ha bisogno di più test. Si integra con gli utenti SME per le password.

Pure ipsec (v2) per dispositivi mobili è possibile ma non l'ho provato. Può usare password o certificati, ma non ho nemmeno provato.

Si prega di chiedere se avete domande riguardanti ipsec ... Ho scritto i contributi !!

----

Although I do not love Apple, they made the correct decision. PPTP is very insecure. It is almost pointless.

Your options are ipsec, ipsec/l2tpd, openvpn. All of them are more difficult to set up, but they are worth the work.

Openvpn 'routed' with PHPKI is very good once you have it set up but it can be tricky.

Ipsec/l2tpd is relatively easy to set up, though the contrib needs more testing. It integrates with SME users for passwords.

Pure ipsec (v2) for mobile is possible but I have not tested it. It can use passwords or certificates but I have not tested either.

Please ask if you have any queries regarding ipsec... I wrote the contribs !!

[killrob]

io ho installato e sto provando openvpn ma da client openvpn per windows 10 non riesco proprio a collegarmi continua a darmi questo errore:
"Sat Apr 07 18:58:36 2018 read UDP: Unknown error (code=10054)"

ed io non riesco a venirne fuori

[ReetP]

Cosa dicono i tuoi registri?

What do your logs say?

Openvpn routed or bridged?

[killrob]

OpenVPN bridged.
il log riporta questo:

Code: [Select]

"2018-04-09 19:50:39.381934500 WARNING: file 'priv/key.pem' is group or others accessible
2018-04-09 19:50:39.382200500 WARNING: file 'priv/takey.pem' is group or others accessible
2018-04-09 19:50:39.382432500 OpenVPN 2.4.4 i686-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 26 2017
2018-04-09 19:50:39.382563500 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.03
2018-04-09 19:50:39.384330500 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:11194
2018-04-09 19:50:39.384877500 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
2018-04-09 19:50:39.385683500 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
2018-04-09 19:50:39.421758500 Diffie-Hellman initialized with 1024 bit key
2018-04-09 19:50:39.423546500 Error: private key password verification failed
2018-04-09 19:50:39.423656500 Exiting due to fatal error"
il private key password verification failed penso che sia il problema però:

[killrob]

OpenVPN bridged.
il log riporta questo:

Code: [Select]

"2018-04-09 19:50:39.381934500 WARNING: file 'priv/key.pem' is group or others accessible
2018-04-09 19:50:39.382200500 WARNING: file 'priv/takey.pem' is group or others accessible
2018-04-09 19:50:39.382432500 OpenVPN 2.4.4 i686-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 26 2017
2018-04-09 19:50:39.382563500 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.03
2018-04-09 19:50:39.384330500 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:11194
2018-04-09 19:50:39.384877500 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
2018-04-09 19:50:39.385683500 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
2018-04-09 19:50:39.421758500 Diffie-Hellman initialized with 1024 bit key
2018-04-09 19:50:39.423546500 Error: private key password verification failed
2018-04-09 19:50:39.423656500 Exiting due to fatal error"
il private key password verification failed penso che sia il problema però le chiavi sono state caricate


https://ibb.co/cp4tpx

[ReetP]

Metà del tuo problema è di fronte a te.

Questi hanno bisogno delle autorizzazioni corrette:

"WARNING: file 'priv/key.pem' is group or others accessible"
"WARNING: file 'priv/takey.pem' is group or others accessible"

Penso che tu possa aver impostato una password sul file, nonostante il wiki che dice "Don't"

Error: private key password verification failed

https://wiki.contribs.org/OpenVPN_Bridge#Create_a_certificate_for_the_server

"Dimensione chiave: puoi inserire quello che vuoi (io uso il 2048 in generale)"

"Password: questo campo deve essere vuoto Ricordare che il daemon OpenVPN si avvia senza intervento umano all'avvio del server, quindi è necessario avere accesso alla chiave del certificato senza che venga richiesta una password."

"Uso certificato: è necessario utilizzare" Solo server VPN ". Questo è importante."

Google translate può aiutarti a capire ...
------------



Half your problem is in front of you.

These need the correct permissions:

"WARNING: file 'priv/key.pem' is group or others accessible"
"WARNING: file 'priv/takey.pem' is group or others accessible"

I think you may have set a password on the file, despite the wiki saying 'Don't'

Error: private key password verification failed

https://wiki.contribs.org/OpenVPN_Bridge#Create_a_certificate_for_the_server

"Key size: you can enter what you want (I use 2048 in general)"

"Password: This field must be blank. Remember that OpenVPN daemon starts without human intervention when the server boots, so it need to have access to the certificate key without being prompted for a password."

"Certificate Use: you should use "VPN Server Only". This is important."

Google translate can help you to understand...

[killrob]

Ok ho fatto un passo avanti, adesso trovo questo errore nel log:

Code: [Select]

2018-04-18 22:25:53.027060500 185.8.149.138:46555 TLS: Initial packet from [AF_INET]185.8.149.138:46555, sid=a4a5894a 33e9b05b
2018-04-18 22:26:53.090606500 185.8.149.138:46555 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2018-04-18 22:26:53.090690500 185.8.149.138:46555 TLS Error: TLS handshake failed
2018-04-18 22:26:53.090869500 185.8.149.138:46555 SIGUSR1[soft,tls-error] received, client-instance restarting
le porte sono inoltrate correttamente sia su server che su client
il firewall sul client (windows 10) permette le connessioni in e out
stessa cosa sul server
l'unica cosa che non ho capito è come controllare se c'è eventuale overlap di indirizzi ip fra server e client

[killrob]

preciso inoltre che nella mia rete gli ip sono
192.168.1.x
nel server
192.168.0.x

[ReetP]

https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity.html

https://serverfault.com/questions/765521/openvpn-issue-tls-key-negotiation-failed-to-occur-within-60-seconds

Non preoccuparti degli IP. Prendi prima una connessione funzionante....

Il tuo server è una macchina virtuale?

Don't worry about IPs. Get a connection working first.....

Is your server a virtial machine?

[killrob]

https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity.html

https://serverfault.com/questions/765521/openvpn-issue-tls-key-negotiation-failed-to-occur-within-60-seconds

Non preoccuparti degli IP. Prendi prima una connessione funzionante....

Il tuo server è una macchina virtuale?

il primo link che hai postato l'ho controllato tutto ieri sera punto per punto (la ricerca con google dell'errore l'ho fatta) e tutti i punti riportati sono negativi (nel senso che nessuno di quei punti da problemi perché ho controllato)

Don't worry about IPs. Get a connection working first.....

Is your server a virtial machine?

no il server è una macchina fisica

[killrob]

altro passo avanti ho modificato da UDP a TCP sia lato client che lato server i file di configurazione:

lato client:

Code: [Select]

rport 1194
proto tcp-client
dev tun
nobind
# Uncomment the following line if your system
# support passtos (not supported on Windows)
# passtos
remote sassone.ns0.it

tls-client
remote-cert-tls server


# Replace user.p12 with the certificate
# bundle in PKCS12 format
pkcs12 sassonevpn.p12

# You can replace the pkcs12
# directive with the old ones
#ca cacert.pem
#cert takey.pem
#key sassonevpn-key.pem

#mtu-test
comp-lzo
pull

lato server:

Code: [Select]

#------------------------------------------------------------
#              !!DO NOT MODIFY THIS FILE!!
#
# Manual changes will be lost when this file is regenerated.
#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
# Virtual Interface Configuration

port 1194
proto tcp-server
dev tap0


# Drop down privileges
user nobody
group nobody
chroot /etc/openvpn/bridge

persist-key
persist-tun

# Certificates config
dh pub/dh.pem
ca pub/cacert.pem
cert pub/cert.pem
key priv/key.pem
tls-server



# CRL file for certificates verification
crl-verify pub/cacrl.pem

# Plugin for user-auth


# Server mode
server-bridge 192.168.0.30 255.255.255.0 192.168.0.1 192.168.0.29

# Options
keepalive 10 120
push "dhcp-option DOMAIN tenuta-sassone.it"
push "dhcp-option DNS 192.168.0.30"
push "dhcp-option WINS 192.168.0.30"

#mtu-test
passtos


nice 5

# Routes


push "topology subnet"
# Management interface
management localhost 11194 management-pass.txt

# Clients options
client-config-dir ccd
max-clients 20
comp-lzo adaptive
push "comp-lzo adaptive"


# Log
status-version 2
status bridge-status.txt
suppress-timestamps
verb 3
e questo è l'errore:

Code: [Select]

2018-04-19 18:30:39.119326500 185.8.149.138:46816 TLS: Initial packet from [AF_INET]185.8.149.138:46816, sid=35e8d800 c1f3ed0f
2018-04-19 18:30:39.601427500 185.8.149.138:46816 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=IT, ST=Grosseto, L=costa sassone, O=servizio VPN, O=21232f297a57a5a743894a0e4a801fc3, OU=VPN, CN=sassonevpn, emailAddress=killrob3@gmail.com
2018-04-19 18:30:39.601833500 185.8.149.138:46816 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
2018-04-19 18:30:39.601914500 185.8.149.138:46816 TLS_ERROR: BIO read tls_read_plaintext error
2018-04-19 18:30:39.601985500 185.8.149.138:46816 TLS Error: TLS object -> incoming plaintext read error
2018-04-19 18:30:39.602054500 185.8.149.138:46816 TLS Error: TLS handshake failed
2018-04-19 18:30:39.602384500 185.8.149.138:46816 Fatal TLS error (check_tls_errors_co), restarting
2018-04-19 18:30:39.602477500 185.8.149.138:46816 SIGUSR1[soft,tls-error] received, client-instance restarting
sono sicuro che il certificato lato client c'è

[ReetP]

a) perché hai bisogno del TCP?

b) Si prega di leggere gli errori e fare una ricerca.

"error=unsupported certificate purpose"

Probabilmente hai impostato il tipo di certificato sbagliato quando lo hai generato.

Per favore leggi il wiki .....

--------------------

a) why do you need TCP?

b) Please read the errors and have a search.

"error=unsupported certificate purpose"

You have probably set the wrong certificate type when you generated it.

Please read the wiki.....

[killrob]

Io ho rifatto il certificato più volte utilizzando il link che avevi postato tu precedentemente ho anche cercato parecchio in rete il tipo di errore, ma non sono situazioni nemmeno simili alla mia. Tanto per esempio in 4 o 5 soluzioni che avevo individuato grazie a google ho notato che, lato server, il dev è sempre impostato a tun, nella mia configurazione invece il dev è impostato a tap0, ho provato a cambiarlo (utilizzando prima tun e poi tun0) con il risultato che openvpn nemmeno partiva e così l'ho rimesso a tap0.
In ogni modo il certificato l'ho reimpostato esattamente come mi hai detto tu ma il problema non si risolve.
Ribadisco che tutte le porte ed i firewall, sia client che SME server, sono impostati correttamente per consentire il traffico in e out sulla porta 1194. Forse dovrei provare a cambiare porta per vedere che succede.

[killrob]

https://forums.openvpn.net/viewtopic.php?t=21278

qui dicono che probabilmente non è stato creato un certificato ssl server.
ho seguito le sue istruzioni, andando a controllare i files .pem, visto che non ho i crt e questo è il risultato:

Code: [Select]

[root@sassone01 pub]# ls
cacert.pem  cacrl.pem  cert.pem  dh.pem
[root@sassone01 pub]# openssl verify -CAfile cacert.pem -purpose sslserver cert.pem
cert.pem: OK
come vedi mi dice che il certificato è ok.

[ReetP]

La modalità "Bridge" usa "tap" e "routed" usa "tun".

Non cambiare questo.

Sei molto abile nel cambiare molte cose senza cercare effettivamente di correggere l'errore segnalato ed è difficile dire cosa sia cosa. Devi essere metodico. Le impostazioni predefinite per la maggior parte delle opzioni funzioneranno se il tuo server è configurato correttamente.

Stai usando PHPKI? È molto più facile con questo.

Il tuo SERVER ha bisogno di un certificato SERVER

Il CLIENTE necessita di un certificato CLIENT.

Non sono la stessa cosa.

https://wiki.contribs.org/OpenVPN_Bridge#Using_PHPki_to_manage_the_certificates

Nota che ogni fine richiede:

Certificato CA.
Certificato server o client
Chiave privata del server o del client
Tasto DH

Quando si imposta PHPKI per la prima volta, viene generato un certificato di origine CA

Quindi si genera un server e un certificato client che sono firmati dalla CA.

Potrebbe essere necessario tornare indietro, distruggere tutti i certificati, ripristinare le impostazioni di openvpn e ricominciare da capo (non preoccuparti - questo mi ha richiesto diversi tentativi per ottenere da solo!)

Non mi hai ancora detto che tipo di hardware del server hai?

---------

Bridge mode uses tap and routed uses tun.

Don't change this.

You are wildy changing lots of things without actually trying to fix the error reported and it is difficult to tell what is what. You must be methodical. The default settings for most options will work if your server is set up correctly.

Are you using PHPKI ? It is much easier with this.

Your SERVER needs a SERVER certificate

Your CLIENT needs a CLIENT certificate.

They are not the same.

https://wiki.contribs.org/OpenVPN_Bridge#Using_PHPki_to_manage_the_certificates

Note that each end requires:

CA Certificate
Server or Client certificate
Server or Client private key
DH key

When you first setup PHPKI you generate a CA root certificate

You then generate a Server and a Client certificate which are signed by the CA.

You may need to go back, destroy all the certificates, reset your openvpn settings and start again (don't worry - this took me several attempts to get right myself !)

You have still not told me what sort of server hardware you have ??

[killrob]

Ok ora ho capito l'errore.
Ho creato solo il certificato server e non il certificato client. Rettifico e provo.
Grazie mille

Ok provato e funziona
Grazie di nuovo per avermi aperto gli occhi

[ReetP]

Molto bene !
Sempre bello quando funziona

----

Very good !
Always nice when it works

[killrob]

Rieccomi qui...

il collegamento funziona, nel senso che si collega alla vpn creata su SME senza problemi e mi assegna l'indirizzo IP che mi aspetto, peccato che non mi fa navigare nella rete interna.
L'errore che ricevo da windows 10 è 0x80004005 e naturalmente non ha un minimo di significato.
Il log di openvpn mi riporta questo errore:

Code: [Select]

MULTI ROUTE: route quota (256) exceeded for killrob/xxx.xxx.xxx.xxx:46512 (see --max-routes-per-client option)
Utilizzando io su windows OpenVPN non so proprio dove andare a configurare quel parametro

[ReetP]

https://forums.openvpn.net/viewtopic.php?t=24927

Etc etc etc......

Google

"openvpn MULTI ROUTE: route quota (256) exceeded"

[killrob]

Mi spiace che tu pensi che io non abbia cercato su google prima di postare qui, e non vorrei nemmeno essere considerato scortese ma, cosa c'entra il post che mi hai linkato con il mio problema?
Io ho un problema di route quota nel post che mi hai linkato:

Code: [Select]

Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped
non mi sembra si riferiscano alla stessa cosa.

In rete ho trovato riferimenti a cambiare dei parametri di configurazione per il route quota sul client ma io uso openvpnGUI e quel parametro non c'è.
Ho postato le configurazioni lato server e client in precedenza e non vedo il parametro per configurare max-routes-per-client.
Me lo puoi indicare nei file di configurazione che ho postato?
Da SME quel parametro non è settabile.
Sul client nemmeno.

[ReetP]

Hai chiesto informazioni su questa "route quota exceeded"

Ora stai chiedendo "Multi bad source address"

Se leggi, capiresti che potrebbero non essere uguali.

You asked about "route quota exceeded".

Now you are asking about "Multi bad source address"

If you read you would understand they may not be the same.

https://serverfault.com/questions/646130/multi-bad-source-address-from-client-any-one-off-solutions#695555


Il tuo sistema collega fondamentalmente quale è la parte più difficile. Gli errori che stai vedendo sono problemi di rete. C'è un'enorme quantità di informazioni su questi e devi cercare ogni errore, conoscerlo, comprenderlo e poi sistemarlo.

Non esiste un'unica soluzione. Varia da rete a rete a seconda della configurazione. Non c'è una semplice correzione o bacchetta magica. Solo alcune ricerche e un duro lavoro


Your system basically connects which is the hardest part.

The errors that you are seeing are network issues.

There is a huge amount of information on these and you have got to research each error, learn about it, understand it, and then fix it.

There is no single solution. It varies from network to network depending on your setup. There is no simple fix or magic wand. Just some research and hard work.

[killrob]

probabilmente non ci siamo capiti.
Io ho questo errore
"openvpn MULTI ROUTE: route quota (256) exceeded"

e tu mi hai linkato un post con questo errore:
"Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped"

che con il mio errore non c'entra niente.

Maybe there is a misunderstanding.

I have this error:
"openvpn MULTI ROUTE: route quota (256) exceeded"

and you linked me a post with this error:
"Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped"

surely are not the same error
i asked about the first error, not the second (that you linked me as example)

In a previous post i wrote my server and client configuration.
Can you kindly tell me in which configuration file (server or client) is the parameter "max_routes_per_client" so i can change it?
I would like to remember you that the server is a SME 9.2 configured as server&gateway and that i used PHPki and the GUI interface in SME control panel to setup Openvpn. For the client (windows 10- 64bit) i use openvpn GUI.

[ReetP]

Scusa - in qualche modo i collegamenti pubblicati sono stati mescolati.

Non ho risposte specifiche alle tue domande. Ho appena avuto una buona ricerca che è ciò che devi veramente fare.

Prima hai detto questo:
« Reply #20 on: Yesterday at 03:05:28 AM »

MULTI ROUTE: route quota (256) exceeded for killrob/xxx.xxx.xxx.xxx:46512 (see --max-routes-per-client option)

https://forums.openvpn.net/viewtopic.php?t=21847

Tuttavia, sospetto che ci sia qualcosa di sbagliato nella tua configurazione sia nella configurazione del client che nella configurazione del server - quanti percorsi stai impostando? Dubito che tu abbia più di 256 set up?

Allora hai detto questo:
« Reply #22 on: Today at 02:25:10 AM »

Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped

https://forums.openvpn.net/viewtopic.php?t=24927

https://serverfault.com/questions/646130/multi-bad-source-address-from-client-any-one-off-solutions#695555

Questo può probabilmente essere ignorato - ho il sospetto che questo è quando il tuo client è NAT'd alcuni dove (vedi il primo link sopra) e il server non sa come instradare determinati pacchetti.


-----------------------


Sorry - somehow the posted links got mixed.

I don't have specific answers to your questions. I have just had a good search which is what you really need to do.

You first said this:
« Reply #20 on: Yesterday at 03:05:28 AM »

MULTI ROUTE: route quota (256) exceeded for killrob/xxx.xxx.xxx.xxx:46512 (see --max-routes-per-client option)

https://forums.openvpn.net/viewtopic.php?t=21847

However, I suspect that there is something wrong in your configuration in either the client config or the server config - how many routes are you setting? I doubt you have more than 256 set up?

Then you said this:
« Reply #22 on: Today at 02:25:10 AM »

Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped

https://forums.openvpn.net/viewtopic.php?t=24927

https://serverfault.com/questions/646130/multi-bad-source-address-from-client-any-one-off-solutions#695555

This can probably be ignored - I suspect this is when your client is NAT'd some where (see the first link above) and the server doesn't know how to route certain packets.

[killrob]

You can ignore the second error, is not my situation, i have only the routes quota exceeding limit error.
I will see the post you had linked