Yealink T42S an PIVPN (openVPN)

leRob

Neuer User
Mitglied seit
29 Jan 2021
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Hi,
ewig geggogelt und doch nix gefunden... Ich habe im Homeoffice ein T42S und möchte das an meinen Raspi mit PiVPN verbinden. Protokoll ist OpenVPN.
Zugang erstellt, ovpn-Datei heruntergeladen für Yealink aufbereitet in eine openvpn.tar mit vpn,cnf im root, sowie dem Ordner keys mit den 4 Dateien). Rauskam folgendes (xxxx ist natürlich nur zur Unkenntlichmachung):

vpn.cnf
Code:
client
dev tun
proto udp
remote XXX.XX.XXX.XXX 1194
resolv-retry infinite
nobind
ca /config/openvpn/keys/ca.crt
cert /config/openvpn/keys/client.crt
key /config/openvpn/keys/client.key
tls-crypt /config/openvpn/keys/ta.key
remote-cert-tls server
tls-version-min 1.2
verify-x509-name XXXXXXXXXXX_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX name
cipher AES-256-CBC
auth SHA256
auth-nocache
verb 3

key/ca.crt
Code:
-----BEGIN CERTIFICATE-----
[xxxxx]
-----END CERTIFICATE-----

key/client.crt
Code:
-----BEGIN CERTIFICATE-----
[XXX]
-----END CERTIFICATE-----
key/client.key
Code:
-----BEGIN PRIVATE KEY-----
[xxxx]
-----END PRIVATE KEY-----

key/ta.key
Code:
-----BEGIN OpenVPN Static key V1-----
[xxxxx]
-----END OpenVPN Static key V1-----

Mein Telefon verbindet sich trotzdem nicht: Meldungen beim boot:
Aktualisiere Konfiguration
dann
Aktualisierung übersprungen

Wo liegt der Fehler? Verbinden kann ich mich mit einer anderen OVPN Datei vom PC aus problemlos, also Server läuft und funktioniert und die ovpn-Dateien die der Sever ausspuckt passt auch soweit.

Ich finde den Fehler garnicht...

Ports sollten passen, sonst würde es am PC nicht gehen (der auch keine Portweiterleitungen hat, genau wie das Telefon...)

Vielen Dank vorab für die Hilfe!
 

kijojo

Neuer User
Mitglied seit
27 Aug 2015
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Hi, ich hab aktuell das gleiche Problem und hab leider auch noch keine Lösung gefunden.. Vielleicht kann ja doch noch jemand helfen oder hast du @leRob das Problem inzwischen lösen können?

Danke!

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

UPDATE:
Habe gerade mit pivpn add nopass ein neues Zertifikat/Benutzer erstellt, welches kein Passwort für die Verbindung verlangt.
Damit hat die Verbindung des Telefons geklappt ("VPN" erscheint im Display, "Update skipped" aber auch). Jedenfalls hat sich das Telefon (nach ein paar Minuten) erfolgreich mit der Telefonanlage verbunden und Telefonate konnten geführt werden.

Wäre natürlich schön, wenn jetzt die Variante mit Passwort auch klappen würde, um die Sicherheit hoch zu halten..
 
Zuletzt bearbeitet von einem Moderator:

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,212
Punkte für Reaktionen
291
Punkte
83
Bin jetzt nicht so firm in OpenVPN, aber authentifiziert sich der OpenVPN-Client nicht bereits über sein Client-Zertifikat? Wenn nicht, wozu bekam das Yealink ein Client-Zertifikat? Mit einem Client-Zertifikat (dass vom Server überprüft wird) brauchst Du kein Benutzername/Passwort mehr, denn sicherer als sich mit einem Zertifikat zu authentifizieren geht es nicht mehr.
 

kijojo

Neuer User
Mitglied seit
27 Aug 2015
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
@sonyKatze Das ist korrekt. Das Gerät authentifiziert sich mit dem Client-Zertifikat. Das ist ja bereits sehr sicher. Ein zusätzliches Passwort würde den Schutz aber nochmals erhöhen. Und daher wäre es natürlich schön, wenn es auch mit PW geht, zumal die Möglichkeit ja besteht. :)
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,212
Punkte für Reaktionen
291
Punkte
83
Ein zusätzliches Passwort würde den Schutz nochmals erhöhen.
Nicht wirklich. Auth bleibt Auth. Was Du willst, ist eine Doppel-Auth, nachträglich mit einem schwächeren Faktor. Die Frage ist, ob OpenVPN das überhaupt erlaubt. Hast Du deren Community mal gefragt? Normal ist für Internet-Protokolle, dass nach einem Cert-Auth keine User-Challange mehr kommen kann.
Das ist das sicherste, was die Internet-Community Stand heute zu bieten hat. In der Informatik wird „sicher“ durch Verdoppelung nicht „sicherer. Das ist die Logik, die dem zugrunde liegt. Daher kann sein, dass man technisch die beiden Auth-Verfahren nicht kombinieren kann. Daher mein Tipp in der OpenVPN-Community zu fragen, ob das technisch doch zufällig geht.
 

kijojo

Neuer User
Mitglied seit
27 Aug 2015
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Danke für deine Einschätzung!
Also PiVPN erlaubt die zusätzliche Passwortauthentifizierung ausdrücklich und stellt diese auch standardmäßig so ein. OpenVPN Client auf Windows fragt dann ordnungsgemäß das Passwort ab, die Verbindung wird aufgebaut.

Kann natürlich gut sein, dass der OVPN Client im Yealink da nicht mitmacht - mir ist es jetzt so sicher genug und bin zufrieden :)
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,212
Punkte für Reaktionen
291
Punkte
83
PiVPN erlaubt die zusätzliche Passwortauthentifizierung ausdrücklich und stellt diese auch standardmäßig so ein.
Das solltest Du an deren Maintainer melden. Macht als Default zusammen mit Cert-Auth keinerlei Sinn.
 

kijojo

Neuer User
Mitglied seit
27 Aug 2015
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
@sonyKatze Also aus meiner Sicht hat es durchaus seine Berechtigung: Das Zertifikat ist an sich ja bereits sehr sicher. Bei Passwortzwang ist das Zertifikat aber erstmal unbrauchbar solange das Passwort nicht bekannt ist. Ob das praktische Auswirkungen auf die tatsächliche Sicherheit hat ist dann eine andere Frage.
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,212
Punkte für Reaktionen
291
Punkte
83
Jain. Wenn ein Zertifikat nicht brauchbar sein soll, dann deaktiviert man das im Server. Ich erfinde den Kram nicht. Das ist X.509 Zugangskontrolle, Cert-Auth. Und die ist genauso jetzt seit 20 Jahren (oder sogar 25 Jahren) so gedacht. Jedenfalls ich mache das seit jetzt 20 Jahren so. Wie geschildert, wenn PiVPN auch dann on-default ein Passwort verlangt, obwohl dieser User eine Cert-Auth hat, solltest Du die Maintainer anschreiben. Darüber dürften viele andere Nutzer wie Du ebenfalls stolpern – und je nach OpenVPN-Client dann hängen bleiben.

Was Du auf einigen Signatur-Karten hast, dass Du das Client-Zertifikat über eine numerische PIN oder eine alphanumerische Passphrase aktivierst. Das ist sinnvoll. Aber das ist nur zur Aktivierung des Zertifikats. Das dient nicht als Doppel-Auth am Server.
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via