OpenVPN AD Auth Problem in 3.3.0 - 3.0.5b1 ging

1. offizieller Beitrag

    Guten Morgen,

    ich nutze derzeit die EFW 3.0.5 beta1 und darin Open VPN mit AD Authentifizierung. Was soweit funktioniert.

    Es gibt hierzu bereits den Topic eines anderen Users:
    OpenVPN und Active Directory

    Die dortige Lösung, umstellen von
    auth-user-pass verify "/usr/bin/openvpn-auth-env" via-env
    auf
    auth-user-pass-verify "/usr/bin/openvpn-auth" via-file

    ist auch bei mir bisher so eingestellt und funktioniert.


    Nun habe ich eine Testmaschine neu aufgesetzt und dazu EFW Community 3.3.0 verwendet.
    Bei der Einrichtung des AD Auth in OpenVPN habe ich mich grundsätzlich an meiner bestehenden config und an diese Anleitung gehalten:
    https://help.endian.com/hc/en-us/artic…ctive-Directory

    Die VPN Verbindung mit einem lokalen User (localuser) klappt wunderbar. Mit einem AD User (testvpn) jedoch nicht:

    tail -f /var/log/endian/authentication

    2019-06-13 07:47:35,307 - authentication[2703] - INFO - Endian Authentication Layer startup

    Jun 13 08:00:23 endianFWcommunity authentication[2703]: AUTH_STATUS(ACCEPTED) SCOPE(openvpn) USER(localuser) PROVIDER(local)

    Jun 13 08:00:36 endianFWcommunity authentication[2703]: AUTH_STATUS(FAILED) SCOPE(openvpn) USER(testvpn) REASON(Benutzer nicht gefunden)

    Leider finde ich nicht so recht heraus woran es liegt. Ich habe den Eindruck, dass am LDAP keine Überprüfung stattfindet. Gibt es dazu ein gesondertes Logfile an der Endian.

    Die "Lösung" in der alten Beta Version kann ich so nicht umsetzen, da keine Datei /usr/bin/openvpn-auth vorhanden ist, sondern nur die openvpn-auth-env Datei.

    root@endianFWcommunity:/var/efw/openvpn # cat settings

    AUTHENTICATION_STACK=ldap,local

    CA_FILENAME=cacert.pem

    CERT_FILENAME=VPNcert.pem

    LDAP_BIND_DN=cn=user,cn=Users,dc=domain,dc=local

    LDAP_BIND_PASSWORD=password

    LDAP_URI=ldap://1.2.3.4

    LDAP_USER_BASEDN=ou=SBSUsers,ou=Users,ou=MyBusiness,dc=domain,dc=local

    LDAP_USER_SEARCHFILTER=(&(objectCategory=person)(objectClass=user)(sAMAccountName=%(u)s))

    Wenn ich als IP meines LDAP Servers eine Phantasie-IP eintrage, erhalte ich das gleiche Resultat.
    Es ist also gar nicht sicher ob die LDAP Abfrage am AD Server ankommt (so wie es aussieht nicht).


    Wird die settings Datei ignoriert?


    Was kann ich tun? Hat jemand eine Idee?

    Gruß

    Frank

    2 Mal editiert, zuletzt von Frank0815 (13. Juni 2019 um 11:20)

    Hallo,

    nur grobe Vermutung.

    Die .conf.tmpl wurde benutzt ?
    Nicht das beim neustart des OpenVPN die Einstellungen vom Template überschrieben worden sind.

    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.3.0 Community

    Hi redhat,


    ja, es wird die openvpn.conf.tmpl benutzt. In dieser ist aber nichts zum LDAP eingestellt, sondern in der /var/efw/openvpn/settings

    In der openvpn.conf.tmpl habe ich nur gesehen, dass er eben das Script /usr/bin/openvpn-auth-env via-env benutzt anstatt (wie bei meiner alten version) /usr/bin/openvpn-auth via-file.
    Letztere ist bei meiner frischen 3.3.0 Installation nicht vorhanden.

    Hallo,

    sonstige Log Meldungen?

    message.log etc wo was über LDAP und Auth. drin sein könnte?

    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.3.0 Community

    Die Frage ist, wohin werden die LDAP Geschichten geloggt. In den üblichen Verdächtigen taucht nichts auf.

    Nur in der OpenVPN.log steht noch halbwegs auswertbares drin. Praktisch identisch mit der Ausgabe am Client:

    Jun 13 11:14:43 endianFWcommunity openvpn[23283]: MULTI: multi_create_instance called

    Jun 13 11:14:43 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 Re-using SSL/TLS context

    Jun 13 11:14:43 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 LZO compression initializing

    Jun 13 11:14:43 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 Control Channel MTU parms [ L:1654 D:1212 EF:38 EB:0 ET:0 EL:3 ]

    Jun 13 11:14:43 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 Data Channel MTU parms [ L:1654 D:1450 EF:122 EB:411 ET:32 EL:3 ]

    Jun 13 11:14:43 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'

    Jun 13 11:14:43 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'

    Jun 13 11:14:43 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 TLS: Initial packet from [AF_INET]80.187.110.253:7959 (via [AF_INET]<myIP>%eth1), sid=d2526135 773c0380

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_VER=2.5_master

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_PLAT=android

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_PROTO=2

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_NCP=2

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_LZ4=1

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_LZ4v2=1

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_LZO=1

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_COMP_STUB=1

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_COMP_STUBv2=1

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_TCPNL=1

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 peer info: IV_GUI_VER=de.blinkt.openvpn_0.7.8

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 WARNING: Failed running command (--auth-user-pass-verify): external program exited with error status: 1

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 TLS Auth Error: Auth Username/Password verification failed for peer

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1574', remote='link-mtu 1542'

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384

    Jun 13 11:14:44 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 Peer Connection Initiated with [AF_INET]80.187.110.253:7959 (via [AF_INET]<myIP>%eth1)

    Jun 13 11:14:45 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 PUSH: Received control message: 'PUSH_REQUEST'

    Jun 13 11:14:45 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 Delayed exit in 5 seconds

    Jun 13 11:14:45 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 SENT CONTROL [UNDEF]: 'AUTH_FAILED' (status=1)

    Jun 13 11:14:50 endianFWcommunity openvpn[23283]: 80.187.110.253:7959 SIGTERM[soft,delayed-exit] received, client-instance exiting

    Vermute sehr das es so ist wie befürchtet.

    In der Community Version ist die Funktion nicht mehr gegeben.

    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.3.0 Community

    So bin einige Versionen durchgegangen.

    Ist wohl seit der Version 3.2.0 a entfernt worden,

    falls sich also noch einer Wundert geht nicht mehr .. :(

    Nur noch in der Enterprise Version. Vielleicht doch mal umsteigen auf Enterprise Ed. X/

    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.3.0 Community