Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 9 subscribers
  • Views 762 views
  • Users 0 members are here
Options
Suggested

.ovpn Pfadangaben unter Windows

Michael Grosseck

Hi Leute, ich habe ein kleines Problem bei der Einrichtung einer VPN Verbindung. Ich habe vom VPN Anbieter eine .ovpn Datei sowie ein Zertifikat im .p12 Format und eine .key Datei erhalten. Alles drei residiert im Dokumentenverzeichnis in einem Unterverzeichnis. Wenn ich die .ovpn Datei einlesen lasse und mich mit dem VPN verbinden will, erhalte ich folgende Fehlermeldung:

SSL-VPN-Fehler 0x200000000

Im Protokoll steht dann:

Options error: You must define CA file (--ca) or CA path (--capath)

Ich habe aber gelesen, das im .p12 Zertifikat normalerweise aber schon alles vorhanden ist. Also auch das erforderliche Zertifikat der CA. Meine Vermutung ist, das er das Zertifikat nicht findet.

Daher habe ich folgende Änderungen in der .ovpn Datei vorgenommen:

pkcs12 C:\pfad\zum\MGK.p12

tls-auth C:\pfad\zum\ta.key

Leider versteht Sophos das aber nicht. Ich erhalte folgenden Fehler:

err Die Verbindung konnte nicht geparst werden – unbekanntes Format

Wie gebe ich denn unter Windows den Pfad richtig an, damit sichergestellt ist, dass Sophos auch die richtigen Dateien findet und verwendet?



Added TAGs
[edited by: Erick Jan at 10:58 AM (GMT -7) on 30 Jul 2024]
Parents
  • 0

    Ist das Zertifikat auch in der Sophos hinter legt und auch für die Verwendung von SSL VPN angeben? Warum verwendest du nicht das VPN-SSL File der Sophos, das kannst du auch im ovpn client importieren, die Sophos liefert ein SSL Zertifikat pro Benutzer aus. Sobald sich der Benutzer seine SSL Konfig aus dem Benutzer Portal herunter geladen hat.

  • 0 in reply to Patrick81

    Hallo Patrick,

    Patrick81 said:
    Ist das Zertifikat auch in der Sophos hinter legt

    genau das versuche ich doch mit dem .ovpn File oder nicht? Dort sind zwei Anweisungen drin, die dem Connector sagen, welches Zertifikat und welchen key er nutzen soll, obwohl im .p12 der key auch schon enthalten ist. Ich habe mir die .p12 mal mit openssl angeschaut... Es sind zwei Zertifikate und ein Key enthalten... Ich gehe also davon aus, das das CA Zertifikat mit im .p12 File enthalten ist. D.h. im Umkehrschluss für mich, der Sophos Connector findet oder versteht das .p12 File nicht, sonst würde er nicht nach einem CA Zertifikat fragen.

    Wenn ich die Pfadangabe allerdings im Windows üblichen Style angebe, dann will der Conncector die Datei nicht einlesen. Also wie kann ich dem Sophos-Connecor mitteilen, wo er das Zertifikat findet. Auch habe ich kein Usernamen, nur ein Passwort für das Zertifikat... trotzdem fragt mich der Connector nach einem Username... wie kann ich das unterdrücken?

  • 0 in reply to Michael Grosseck

    Guten Morgen, ich fange mal anders rum an und erkläre wie ich eine SSL VPN aufbaue.

    1. SSL VPN in der Sophos selber konfigurieren -> Fernzugriff-VPN -> SSL VPN

    2. SSL VPN Netz als Netzwerk anlegen unter HOSTS und DIENSTE

    3. Firewall Regel erstellen wohin das SSL Netz zugriff haben darf  VPN -> LAN komplett oder VPN -> Terminmalserver usw.

    4. In der Sophos Verwaltung -> Appliance-Zugriff -> in der ZSL SSL VPN auf dem WAN Port anhaken

    5. In der Sophos -> Authentifizierung -> Dienste -> Dienste so konfigurieren das eine Benutzer-Anmeldung über das AD möglich ist

        (Hier sollte die Sophos natürlich zugriff auf das AD haben)

    6. 2FA für SSL VPN aktivieren Authentifizierung -> Multi-Faktor-Authentifizierung

    7.) Mit einem AD Benutzer am VPN Portal anmelden und 2FA zu ende einrichten -> https://meinefirewallip  WICHTIG ohne Port 4444!

    8. im Benutzer Portal für diesen Benutzer das SSL VPN file herunter laden.

    Bei einem Windows PC würde ich die Sophos Software/Client verwenden der läuft super ohne Probleme! Bei einem MAC hat sich der OpenVPN Client oder Tunnelblick bewährt. Beim verwenden des OpenVPN client muss über einen Editor das File bearbeitet werden, weil hier ein Fehler von Sophos drin ist, der den Sophos Client selber nicht stört! 

    route-delay 4  = Falsch

    ;route-delay 4 = Richtig

    Wo dein Problem laut deiner Beschreibung genau liegt ist für mich aus der Ferne schwierig zu erkennen. Falls du dadurch keinen beim arbeiten störst, würde ich die SSL VPN vielleicht komplett zurück bauen und neu anfangen, das ist oftmals besser als die Nadel im Heuhaufen zu suchen.

    LG

    Patrick

Reply
  • 0 in reply to Michael Grosseck

    Guten Morgen, ich fange mal anders rum an und erkläre wie ich eine SSL VPN aufbaue.

    1. SSL VPN in der Sophos selber konfigurieren -> Fernzugriff-VPN -> SSL VPN

    2. SSL VPN Netz als Netzwerk anlegen unter HOSTS und DIENSTE

    3. Firewall Regel erstellen wohin das SSL Netz zugriff haben darf  VPN -> LAN komplett oder VPN -> Terminmalserver usw.

    4. In der Sophos Verwaltung -> Appliance-Zugriff -> in der ZSL SSL VPN auf dem WAN Port anhaken

    5. In der Sophos -> Authentifizierung -> Dienste -> Dienste so konfigurieren das eine Benutzer-Anmeldung über das AD möglich ist

        (Hier sollte die Sophos natürlich zugriff auf das AD haben)

    6. 2FA für SSL VPN aktivieren Authentifizierung -> Multi-Faktor-Authentifizierung

    7.) Mit einem AD Benutzer am VPN Portal anmelden und 2FA zu ende einrichten -> https://meinefirewallip  WICHTIG ohne Port 4444!

    8. im Benutzer Portal für diesen Benutzer das SSL VPN file herunter laden.

    Bei einem Windows PC würde ich die Sophos Software/Client verwenden der läuft super ohne Probleme! Bei einem MAC hat sich der OpenVPN Client oder Tunnelblick bewährt. Beim verwenden des OpenVPN client muss über einen Editor das File bearbeitet werden, weil hier ein Fehler von Sophos drin ist, der den Sophos Client selber nicht stört! 

    route-delay 4  = Falsch

    ;route-delay 4 = Richtig

    Wo dein Problem laut deiner Beschreibung genau liegt ist für mich aus der Ferne schwierig zu erkennen. Falls du dadurch keinen beim arbeiten störst, würde ich die SSL VPN vielleicht komplett zurück bauen und neu anfangen, das ist oftmals besser als die Nadel im Heuhaufen zu suchen.

    LG

    Patrick

Children
  • 0 in reply to Patrick81

    Danke Patrick für Deine Bemühungen... Ich bin allerdings nur einfacher Anwender... Ich habe von meinem Arbeitgeber einen Laptop bekommen, da ist Sophos drauf und unter anderem auch der Sophos Connector... von zu Hause aus, habe ich keine Problem damit... die Connection die mir von der Firma eingerichtet wurde, funktioniert... Nun habe ich von einem Kunden eben diese drei Dateien bekommen und versuche damit den Connector zu füttern. Der Sophos Support hat mir nun auch angeraten, mal das .p12 Zertifikat mit openssl aufzuspalten in seine Bestandteile und es einzeln zu versuchen. Dabei kam raus, das man unter Windows in der Config überall doppelte Backslashes nutzen muss. (wusste ich bisher nicht, bin sonst kein Windows-Benutzer)

    Nun habe ich also die .p12 Datei in seine Bestandteile zerlegt und die .opvn Datei dementsprechend angepasst. Leider erhalte ich jetze folgenden Fehler:

    Options warning: Bad backslash ('\') usage in C:\Program Files (x86)\Sophos\Connect\sop307.ovpn:2: remember that backslashes are treated as shell-escapes and if you need to pass backslash characters as part of a Windows filename, you should use double backslashes such as "c:\\openvpn\\static.key"
    Use --help for more information.

    Ich habe es drei Mal gecheckt, ich verwende überall doppelte Backslashes in meiner Config. Beim reinschauen in das Verzeichnis, habe ich zwar die sop307.ovpn Datei nicht gefunden, dafür aber direkt die openvpn.exe.

    Das habe ich doch dann glatt mal ausprobiert und direkt in der Eingabeaufforderung die openvpn.exe mit meiner Config-Datei probiert. Was soll ich sagen, es hat funktioniert.

    Ergo, der Sophos Connector baut irgend einen Blödsinn beim Anlegen der temporären .ovpn Datei

  • 0 in reply to Michael Grosseck

    Jup ist die Datei nicht von der Sophos selber ausgestellt worden, kommt es zu Problemen. Das habe ich am Anfang nicht verstanden wo die Dateien die du hast her kommen. Ich bin froh das du arbeiten kannst.

    LG

    Patrick

Unfiltered HTML