Beiträge von devaux

Schau Dir IPFire an. Das geht mit den Ressourcen deutlich sparsamer um. Hat noch nicht ganz so viele Features wie die Endian, doch ist IPFire um einiges schmerzloser (weniger verbuggt).

Zitat von "ffischer"

Kannst ja dann Berichten wie es gewesen ist und ob es geklappt hat.

root@endian:~ # cat /etc/release
Endian Firewall Community release 2.2.rc3

Ja, werde ich tun. Habe damals recht viele Endians mit RC3 in Betrieb genommen... und diese liefen halt einfach.
Aber wenn ich mich richtig erinnere, habe ich auch schon ein upgrade auf die Final-Version gemacht und dies klappte problemlos.
Neustart musste ich damals auf jeden Fall.

Zitat von "ffischer"

alternativ hier:

https://www.efw-forum.de/www/forum/view…it=upgrade#p825
is das howto von mir

Vielen Dank
Werde dies dann am Abend bei den Kunden probieren.
Schade, jetzt wo die Uptime ueber 500 Tage betraegt

Zitat von "ffischer"

versuch mal in der Console
efw-upgrade geht aber nur wenn du dich dort registriert hast
da beim Update nach email Adresse gefragt wird.

gruß

Macht efw-upgrade nicht ein Upgrade auf 2.3?
Und woher bekomme ich das efw-upgrade Binary?

Zitat von "ffischer"

dann hast du aber irgend eine andere Version

ich hab hier eine 2.2 Community

Code

root@gateway:~ # clamscan --version
ClamAV 0.95.1/10751/Fri Apr 16 05:23:45 2010

Jo, ich auch. Mehrere davon im Einsatz und bei allen tritt das Phaenomen seit heute morgen auf.
Kann ich irgendwie ein System-Update starten?

Zitat von "ffischer"

Hallo,

also ich lese und versteh das hier so

Auszug:

0.95 ist noch gültig aber alles was älter ist als 0.95 wird deaktiviert.

gruß

Richtig.
Endian 2.2:

root@endian01:~ # clamscan --version
ClamAV 0.93.1/10751/Fri Apr 16 05:23:45 2010

Starting from 15 April 2010 our CVD will contain a special signature which disables all clamd installations older than 0.95 – that is to say older than 1 year.

Was heisst das nun?
Dass alle Endian-Firewalls mit 2.2 und aktiviertem Proxy-Virus-Scan nicht mehr ins Internet kommen.
Temporaer hilft es, den Virusscan im Proxy zu deaktiveren.
Sehr unschoener Nebeneffekt ist, dass dann man dann die eigens definierten Filter nicht mehr nutzen kann.

Kann man auf einen Fix seitens Endian hoffen?

Welche IP bezieht der Roadwarrior?
Wie lautet sieht die Routing-Tabelle des RW aus, wenn er sich verbunden hat?
traceroute des RW zum GW2GW-Netz waere auch interessant, da ich von einem Routingproblem ausgehe.

OpenVPN 2.1.1 funktioniert bei mir auf mehreren Win7-Hosts (inkl. 64Bit) tadellos.
Falls Du die Verbindung ueber die OpenVPN-GUI startest, ist es wichtig dass diese als Administrator ausgefuehrt wird.

Sooo, also ich hab nach etwas Skepsis die 2.3 final bei einer Firma im Produktivbetrieb installiert.
Bisher laeuft alles wie es soll.

1. geloest

2. Sieht nun ganz anders aus. Naemlich so wie es soll:

Filesystem            Size  Used Avail Use% Mounted on
/dev/md1               25G  480M   23G   3% /
/dev/md6              103G  196M   98G   1% /var
/dev/md3              101M  4.9M   91M   6% /var/efw
/dev/md5               20G  135M   19G   1% /var/log

3. geloest

4. Kann ich erst spaeter was dazu sagen. Momentan nicht im Einsatz.

Hallo Community,
Hier ein paar Sachen, die mir beim Testen aufgefallen sind:

1. RAID1 funktioniert nach Neustart nicht mehr (inaktiv)

2. Partitionierung ist etwas komisch. Hier etwa die Partitionierung wie sie durchgefuehrt wird
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 942M 351M 544M 40% /
/dev/sda6 146G 209M 138G 1% /var
/dev/sda3 101M 5.0M 91M 6% /var/efw
/dev/sda5 301M 207M 80M 73% /var/log
=> Problematisch ist, dass /var/log ploetzlich voll wurde (Squid-Logs) und daraufhin nichts mehr richtig ging

3. Dashboard zeigt nichts an

4. User-Based Proxy-Rules funktionieren nicht

Das sind so meine Eindruecke, in der Hoffnung dass diese bis zum Release behoben werden koennen.

Du hast aber die Portweiterleitung schon für 1194/udp gemacht, oder?
OpenVPN laeuft naemlich standardmaessig ueber UDP und nicht TCP.

(Endian Firewall Community release 2.2.rc3)

Hallo Forum,
Folgendes Problem:
Ich habe ein Netz welches ueber Router miteinander verbunden ist.
Netz A ist 192.168.1.0 und Netz B ist 192.168.2.0 - Der Router zu Netz B ist 192.168.1.12
Wenn ich jetzt die Route unter Netzwerk => Routing eintrage, passiert nicht sehr viel. Auch ein "route" in der Console listet mir kein Routing von br0 auf.
Erstelle ich dann das Routing manuell (route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.12) funktioniert alles wie gewollt.
Jemand eine Idee?

EDIT: Habe den Befehl jetzt in "/etc/rc.d/rc.netaddress.up" reingepflastert. Ist das eine akzeptable (Uebergangs-)Loesung?
Und was noch wichtiger ist. Wird soetwas im Backup gespeichert? Weil wenn man mal ein Backup zurueckholen oder die Hardware tauschen muss, denkt man bestimmt nicht mehr daran...

OpenVPN ist sehr flexibel und erlaubt deshalb auch eine Vielzahl an verschiedenen Konfigurationen.
Der Wizard der Endian erstellt per default eine OpenVPN-Verbindung ueber das tap-Device, welches eine Art Bridge bildet. Dies hat den grossen Vorteil, dass Du eine IP im selben Subnetz zugewiesen bekommst und sich so ein Routing eruebrigt.
Bei der Verbindung ueber das tun-Device legt man ein "Zwischen-Netz" fest welches dann geroutet wird.

Aufbauen einer OpenVPN-Verbindung zwischen der Endian und Client-PCs.
Hier am Beispiel eines Windows-Clients.
Unter Linux geht man aehnlich vor (Scripts sind anders). Da liegen die Config-Dateien einfach unter /etc/openvpn/ und enden mit .conf
Alternativ kann man auch den network-manager nutzen, der inzwischen bei praktisch jedem Desktopenvironment mitgeliefert wird. Leider laesst dieser aber keine pkc12-Zertifikate verwenden, sodass man die p12-Dateien erst extrahieren muss.
Vielleicht schreib ich dazu dann auch mal ein Howto oder (noch besser) die Leuts von network-manager implementieren es in Zukunft

1. Installation OpenVPN:
====================
Download und Installation OpenVPN. Am besten nehmt Ihr die aktuellste Version. Diese verhaelt sich bei mir sehr stabil (openvpn-2.1_rc15-install.exe). Zudem hat sie den Vorteil, dass das Programm OpenVPN-GUI mitgeliefert wird, welches eine einfache Verwaltung der Verbindungen erlaubt.

2. Verwendung von Easy-RSA:
=========================
easy-rsa hilft uns mit wenigen Befehlen Zertifikate auszustellen, damit die Befehle nicht jedes Mal haendisch eingetippt werden muessen:

Ins easy-rsa-Verzeichnis wechseln %programfiles%\OpenVPN\easy-rsa. Dort musst man ein paar Anpassungen machen:

openssl.cnf.sample:
Folgendes hinzufuegen, da sonst kein nsCert erstellt wird, was Endian aber voraussetzt.
Wir schreiben dies in die Datei openssl.cnf.sample, da diese bei jedem Ausfuehren von init-config.bat (weiter unten) zu openssl.cnf kopiert wird.

[ client ]
basicConstraints=CA:FALSE
nsCertType                      = client
nsComment                       = "OpenSSL Generated Client Certificate"

3. Scripts zum Generieren des Server- und der Client-Zertifikaten erstellen:
================================================================
Die beiden Scripts werden erstellt, damit man in kurzer Zeit Zertifikate ausstellen kann. Diese einfach ins easy-rsa-Verzeichnis kopieren.
build-key-server-pkcs12.bat wird verwendet um das serverseitige Zertifikat zu erstellen.
Mit build-key-client-pkcs12.bat werden die Client-Zertifikate erstellt, die dann an die Leute weitergegeben werden.

build-key-server-pkcs12.bat erstellen

@echo off
cd %HOME%
rem build a request for a cert that will be valid for ten years
openssl req -days 3650 -nodes -new -keyout %KEY_DIR%\%1.key -out %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem sign the cert request with our ca, creating a cert/key pair
openssl ca -days 3650 -out %KEY_DIR%\%1.crt -in %KEY_DIR%\%1.csr -extensions server -config %KEY_CONFIG%
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old
openssl pkcs12 -export -inkey %KEY_DIR%\%1.key -in %KEY_DIR%\%1.crt -certfile %KEY_DIR%\ca.crt -out %KEY_DIR%\%1.p12
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old

build-key-client-pkcs12.bat erstellen

@echo off
cd %HOME%
rem build a request for a cert that will be valid for ten years
openssl req -days 3650 -nodes -new -keyout %KEY_DIR%\%1.key -out %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem sign the cert request with our ca, creating a cert/key pair
openssl ca -extensions client -days 3650 -out %KEY_DIR%\%1.crt -in %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem convert the key/cert and embed the ca cert into a pkcs12 file.
openssl pkcs12 -export -inkey %KEY_DIR%\%1.key -in %KEY_DIR%\%1.crt -certfile %KEY_DIR%\ca.crt -out %KEY_DIR%\%1.p12
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old

4. Generieren der Keys:
====================
WICHTIG: Jeder PC muss ein eigenes, inviduelles Client-Zertifikat haben, da sich die Verbindungen ansonsten gegenseitig konkurrieren. Zudem sieht man dann in der Endian eine schoene Uebersicht, wer gerade und wie lange schon verbunden ist.
Ich verwende fuer das Server-Zertifikat meist endian.$subdomain.$domain.$tld und fuer den Client $domain-client01, $domain-client02...
Dies vereinfacht dann die Zuordnung der Dateien ungemein. Aber natuerlich kann man auch einfachere Namen nehmen.
Im Beispiel habe ich aus Gruenden der Vereinfachung einfach "endian" und "client01" genommen.

- cmd-Fenster öffnen und ins easy-rsa wechseln
- init-config.bat ausfuehren
- vars.bat in Texteditor anpassen (KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG und KEY_EMAIL)
- vars.bat ausfuehren
- clean-all.bat ausfuehren
- build-ca.bat ausfuehren # alles mit Enter bestaetigen
- build-dh.bat ausfuehren # alles mit Enter bestaetigen
- build-key-server-plcs12.bat endian # alles mit Enter/y aber "Common Name" muss im Dialog ausgefuellt werden (z.B. mit endian)
- build-key-client-pkcs12.bat client01 # alles mit Enter/y aber "Common Name" muss im Dialog ausgefüllt werden (z.B. mit client01)

5. Import des Serverzertifikates in die Endian Firewall:
===============================================
- Weblogin auf die Endian-Firewall
- VPN => OpenVPN Server => Erweitert
- "Authentifzierungs Einstellungen" auf "X.509 Zertifikat" umstellen
- Erstelltes endian.p12 Zertifikat auf die Endian laden (Serverzertifikat von einer externen Zertifikatsauthorität (CA) importieren)

6. Client-Config erstellen:
======================
Dann gehts auf den Client wo wir die Client-Config erstellen: Diese legen wir im Config-Verzeichnis ab (%programfiles%\OpenVPN\config)

client
dev tap
proto udp
remote (IP oder Hostname wo die Endian ueber das Internet erreichbar ist)
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 client01.p12
verb 3
comp-lzo
ns-cert-type server

7. Handhabung:
==============
Mit dem mitgelieferten Programm OpenVPN-GUI kann man die Verbindung on Demand mit einfachem Mausklick im Infobereich der Taskleiste bei Bedarf starten und beenden.
Wer eine permanente OpenVPN-Verbindung (bei jedem PC-Start wird die OpenVPN-Verbindung automatisch gestartet) erreichen will, kann den Starttyp von OpenVPN in den Diensten von Windows auch auf "Automatisch" stellen.
Nun werden alle .ovpn-Verbindungen im %programfiles%\OpenVPN\config Verzeichnis ausgefuehrt. Wichtig ist, dass die .ovpn-Dateien (Konfiguration) direkt im Ordner %programfiles%\OpenVPN\config liegen.
Die Keys (in diesem Falle pkc12 Schluessel, die auf .p12 enden) koennen aber auch in einem Unterverzeichnis abgelegt werden. Wichtig ist dann einfach, dass der Ordnerpfad in der Config escaped wird.
z.B. pkcs12 heimnetz\\client01.p12

Pro OpenVPN-Verbindung muss ein TAP-Device vorhanden sein. Standardmaessig wird ein einzelnes Device erstellt. Moechte man mehrere OpenVPN-Verbindungen parallel nutzen, so muss man weitere Devices erstellen.
Dies funktioniert sehr einfach ueber das mitgelieferte Script (%programfiles%\OpenVPN\bin\addtap.bat)

Vielleicht kann noch jemand Scripts zum Erstellen unter Linux anbieten.

p.s. vielen Dank an moppel, der mir beim Erstellen der Zertifikate geholfen hat.

Hier gibts ein Howto zu dem Thema.

Bei Interesse koennte ich Dir ein kurzes Howto zusammenbasteln.

Tausend dank fuer die schnelle und vorallem kompetente Hilfeleistung!
Lag tatsaechlich an der openssl.cnf
Jetzt mal testen, ob ich jetzt ohne anpassung Verbinden kann.

EDIT: Ja, das hat ja wunderbar geklappt
Nochmals vielen Dank.

Hey, vielen Dank fuer die Antwort.
Ich habe noch fast vermutet, dass es an soetwas liegt. Trotzdem schaffe ich es nicht die Client-Certs zu erstellen.
Es scheint, als mache ich grundsaetzlich was falsch. Hier meine Vorgehensweise (Windows):
- init-config.bat ausfuehren
- vars.bat editieren
- vars.bat ausfuehren
- clean-all.bat ausfuehren
- build-ca.bat ausfuehren
- build-dh.bat ausfuehren
- build-key-pkcs12.bat ausfuehren. Wobei ich diese Datei wiefolgt abgeaendert habe:

@echo off
cd %HOME%
rem build a request for a cert that will be valid for ten years
openssl req -days 3650 -nodes -new -keyout %KEY_DIR%\%1.key -out %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem sign the cert request with our ca, creating a cert/key pair
openssl ca -extensions client -days 3650 -out %KEY_DIR%\%1.crt -in %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem convert the key/cert and embed the ca cert into a pkcs12 file.
openssl pkcs12 -export -inkey %KEY_DIR%\%1.key -in %KEY_DIR%\%1.crt -certfile %KEY_DIR%\ca.crt -out %KEY_DIR%\%1.p12
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old

Fehlermeldung:

WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Error Loading extension section client
532:error:02001002:system library:fopen:No such file or directory:.\crypto\bio\b
ss_file.c:126:fopen('keys/index.txt.attr','rb')
532:error:2006D080:BIO routines:BIO_new_file:no such file:.\crypto\bio\bss_file.
c:129:
532:error:0E078072:configuration file routines:DEF_LOAD:no such file:.\crypto\co
nf\conf_def.c:197:
532:error:0E06D06C:configuration file routines:NCONF_get_string:no value:.\crypt
o\conf\conf_lib.c:329:group=CA_default name=email_in_dn
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Loading 'screen' into random state - done
No certificate matches private key
C:\Programme\OpenVPN\easy-rsa\keys\*.old konnte nicht gefunden werden

Hi Forum,
Hab ein kleines Problem mit meinen OpenVPN-Verbindungen.

persist-remote-ip
; logging and status


writepid /var/run/openvpn/openvpn.pid
ifconfig-pool-persist openvpn.leases
status /var/log/openvpn/openvpn-status.log
verb 1


client-connect "/usr/local/bin/dir.d-exec /etc/openvpn/client-connect.d/"
client-disconnect "/usr/local/bin/dir.d-exec /etc/openvpn/client-disconnect.d/"


; certificates and authentication


dh /var/efw/openvpn/dh1024.pem
pkcs12 /var/efw/openvpn/pkcs12.p12


# ns-cert-type client

Ist eigentlich die normale Config, die mit dem Wizard erstellt wird. Mit Ausnahme, dass ich das pk12-Cert ersetzt und die letzte Zeile auskommentiert habe.
Wenn ich diese drin habe, kann ich mich naemlich nicht connecten. Weiss jemand den Grund dafuer und eventuell eine Loesung?
Die Zertifikate habe ich unter Windows mit easy-rsa erstellt.

Fast noch wichtiger waere mir, wenn mir wer sagen kann, wie ich Befehle automatisch nach dem Startup ausfuehren kann.
Muss ich da selber ein Init-Script machen, oder ist da schon was dafuer vorgesehen?
Nach einem Neustart ist naemlich immer "ns-cert-type client" wieder aktiv.