Vielen Dank für die schnelle Antwort!
Ich werde mir das mal angucken.
Wobei ich eher drauf hoffe, dass die Bugs möglichst schnell gefixt werden.
Das wird ja, denke ich mal, bei den Endian-Leuten aufgefallen sein, dass da was nicht passt....
Gruß,
Michael
Hallo !
Ich habe gestern meine EFW auf die aktuelle Community Version 2.5.1 aktualisiert (neu installiert und Config-Backup importiert)
Seit dem scheint der OpenVPN Server den eingestellten DNS-Server und die DNS-Domain nicht mehr an die Clients zu pushen. :?
Alles andere geht, wenn ich mit IPs arbeite komme ich auch durch den Tunnel an alles ran.
Kennt einer das Problem und hat ggf. ne Lösung ?
Gruß,
Michael
Hängt das damit zusammen, dass die IKE-Lebensdauer nur eine Stunde beträgt? ESP-Lebensdauer sind 8 Stunden.
Hab ein Site-2-Site zu einem alten Cisco-Router. Da ist das genauso eingestellt. Läuft ohne Probleme rund um die Uhr.
Allerdings erst seit einem der letzten Updates. Davor ist meine Verbindung öfter mal abgebrochen und ließ sich auch immer erst nach einem Reboot des IPSec Dienstes oder der ganzen Endian wieder aufbauen.
Hast Du Deine EFW auf dem neusten Stand ?? (--> efw-upgrade)
Gruss,
Michael
Hallo,
ich habe einen Site-2-Site Tunnel mit IPsec zwischen meiner Endian und einem alten Cisco-Router. Läuft auch wirklich sehr stabil - seit einem der letzten Endian-Updates 
Nun würde ich auf der Seite des Cisco-Routers gerne ein weiteres Subnetz einführen.
In der IPsec Konfig der Endian gibts aber nur die Möglichkeit EIN Remote Subnetz einzutragen. Wenn ich zwei Netze in das Feld schreibe, gibts' ne Fehlermeldung, dass die Eingabe ungültig ist.
Hab's mit Komma und Leerzeichen probiert. In der Dokumentation steht auch nichts dazu :?
Hat jemand nen Tipp ?
Gruß,
Michael
Hallo,
mein OpenVPN client am Windows-PC loggt beim Verbinden mit der Endian immer folgende Meldung:
WARNING: No server certificate verification method has been enabled.Hab dann mal in den How-Tos bei der offiziellen Seite von OpenVPN nach geguckt.
Die Meldung bedeutet wohl, dass der Client beim Verbinden das Serverzertifikat nicht prüft und damit angreifbar durch Man-In-The-Middle-Attacken ist.
So richtig schlau bin ich aus dem How-To aber dennoch nicht geworden.
Kann mir einer sagen, wie ich das richtig konfigurieren muss?
Gibt es vielleicht ne Anleitung wie man das mit ner Microsoft Root-CA hinkriegt?
Kann der OpenVPN-Client überhaupt die Root-Zertifikate aus dem Windows Zertifikatsspeicher nutzen?
Gruß,
Michael
Hm, ok, mir war grade noch was eingefallen:
Aus dem OpenVPN gehts jetzt.
Ursache:
Der Server pusht zwar die Route in die DMZ zum Client, aber wenn die OpenVPN-GUI mit normalen User-Rechten auf dem Win7-Rechner gestartet ist, hat der Client nicht die Berechtigung eine Route zu setzen auch zu setzen. Ne Fehlermeldung gibt's natürlich nicht. Möglich, dass im openVPN Log was steht, aber das ließt man ja nicht, wenn die Verbindung erfolgreich hergestellt wird. *grummel*
Lösung:
1) OpenVPN-GUI beenden
2) Rechte Maustaste auf den OpenVPN-GUI Link im Startmenü -> Als Administrator ausführen -> Route wird beim Verbinden gesetzt -> geht.
Aus dem IPsec-Tunnel geht's aber immer noch nicht :roll:
Hallo,
ich benutze sowohl ein IPsec-VPN (site-2-site zu einer alten Cisco-Kiste) als auch OpenVPN (um mich mit dem Laptop von außen einzuwählen)
Klappt auch prima, solange ich nur an Ressourcen im GREEN-Netz will.
Ich möchte aber nun aus dem VPN direkt auf einen Rechner in der DMZ (ORANGE) zugreifen und das klappt leider nicht. Weder über den IPSec-Tunnel noch über das OpenVPN.
Der VPN-Traffic-Filter ist ausgeschaltet. Habe ansonsten entsprechende Regeln in der Inter-Zone-FW gebaut.
Mein Notebook im OpenVPN bekommt eine Adresse aus dem GREEN-Netz. Das DMZ-Netz wird vom OpenVPN Server an den Client gepusht. Außerdem gibt's eine Regel die den Zugriff aus GREEN auf den Rechner im ORANGE erlaubt. Funktioniert aber leider trotzdem nicht :?
Der Rechner von der "anderen Seite" des IPSec Tunnels kommt natürlich mit einer Adresse aus einem anderen Netz. Die hab ich mal als Quell-Adresse angegeben und den Zugriff in die DMZ erlaubt. Bringt aber nichts.
Nun also die Frage: Geht das überhaupt mit der Endian und wenn ja, was muss ich dafür tun?
Gruß und Dank,
Michael
P.S.: Hätte auch gerne bevor ich ein neues Thema aufmache, erstmal gesucht, ob es so eine Frage schon im Forum gibt. Aber die Wörter "VPN" und "DMZ" waren für die Suchfunktion zu kurz :roll:
Hallo Michael,Eine Lösung zu deinem Problem solltest du hier finden: http://bugs.endian.com/view.php?id=2927.
Gib mir bitte Bescheid, ob dieser Workaround für dich funktioniert hat.Christian
Japp, nach der Anpassung geht der Tunnel wieder auf.
Thx!
Tach!
Ich hab dasselbe Problem: Unmittelbar nach dem Update ging der IPsec Tunnel nicht mehr auf 
Bei mir gibt es aber andere Meldungen im Log. Weiss nicht genau ob das die Ursache ist, aber sieht für mich nach Fehler aus:
May 27 21:14:00 pluto[16728] Using KLIPS IPsec interface code on 2.6.27.19-72.e22
May 27 21:14:00 pluto[16728] Changed path to directory '/etc/ipsec/ipsec.d/cacerts'
May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/aacerts': /home/httpd/cgi-bin
May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/ocspcerts': /home/httpd/cgi-bin
May 27 21:14:00 pluto[16728] Changing to directory '/etc/ipsec/ipsec.d/crls'
May 27 21:14:00 pluto[16728] Warning: empty directory
May 27 21:14:00 ipsec_setup ...Openswan IPsec started
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]Jemand ne Idee ?
Gruß,
Michael
Hm, grade mal das Update auf 2.4 gemacht.
So auf den ersten Blick sieht es eher wie eine Verschlimmbesserung aus:
- Die Incoming-Domain Funktion (die bei 2.2 einwandfrei lief und ab 2.3 nicht mehr) klappt immer noch nicht. Weiß der Geier warum...
- Obwohl der SMTP-Proxy aktiviert ist, wird er beim Dashboard als "OFF" angezeigt
- Der IPsec-Tunnel, der bei 2.3 noch (wenn auch sehr instabil) lief, wird jetzt nach dem Update nicht mal mehr aufgebaut.
Super Bugfixes... 
Watt is denn jetzt hier ??? :roll:
Einer schon was gesehen von der Version 2.4 ???? 
AAAAALSO:
Ich hab mal selbst ne Mail dahin geschrieben, wäre doch gelacht !
------------------------------------------------------------
Anfrage:
Hallo !
Ich verwende eine Endian Community Edition 2.3
Leider scheint das Produkt relativ „buggy“ zu sein. Für die Vollversionen der Endian 2.3 gibt es mittlerweile ein Update-Pack mit einigen Fixes.
Können Sie mir sagen, wann es das auch für die Community-Edition geben wird?
Hab mich in den Foren umgesehen, da scheint keiner so wirklich zu wissen, was es mit der Update-Politik auf sich hat…
Viele Grüße,
------------------------------------------------------------
Antwort vom Endian-Support:
Sehr geehrter Herr xxxxx,
besten Dank für Ihr Feedback.
Zu Ihrer Frage:
Wir haben für den 19. Mai 2010 ein neues Community-Release geplant.
Es wird einerseits als Update für die 2.3 verfügbar sein, andererseits direkt als 2.4 downloadbar.
Mit den besten Grüßen aus München
Ihr Endian Team
:: Endian
:: Security with passion
------------------------------------------------------------
Also: Durchhalten ! 
Für mich habe ich das mit den Updates so interpretiert: Updates gibt es seltener als für die kommerzielle Variante und erfordern dann eine Neuinstallation"
Öhm, naja, also eine Update-Funktion die jedes Mal eine komplette Neuinstallation vorausgesetzt verdient ja den Namen nicht wirklich oder ?? :roll:
Das hat ja mittlerweile sogar MS hin gekriegt: "Update -> Weiter, Weiter -> Fertigstellen"
Mich interessiert, was Endian zu der Anfrage von ffischer diesbezüglich sagt..
Gibt es dazu auch eine Aussage von Endian, warum das so ist ?
Oder ob sich das vielleicht mal ändern wird ?
Du musst dich allerdings zu erst hier Registrieren http://www.endian.com/de/community/efw-updates/
und dann danach folgendes in der SSH Console ausführen:
http://efw-forum.de/www/forum/viewtopic.php?f=9&t=158&start=0&hilit=upgrade ( ab Punkt 4 )
Hallo ffischer. Ich glaube wir führen hier zwei Threads parallel... War nicht geplant, sorry.
In dem anderen Thread auf den Du da verlinkst, schreibst Du dass das Vorgehen da eben NICHT für die 2.3 Community-Edition funktioniert
Was denn nu?
Mal abgesehen davon muss ich sagen, dass ich diese Update-Politik von Endian ziemlich arm finde. :?
Dass die Bezahl-Verion mehr Features hat - OK.
Dass es nur für die Bezahl-Version Support gibt - auch OK.
Aber dass die Community-Edition nicht mal mit Bugfixes und Security-Patches versorgt wird, geht garnicht.
Frage mich auch ob das nicht kontraproduktiv ist. Ich persönlich nutze das Teil nur privat, würde mir es also in keinem Fall kaufen.
Ich würde aber jede Wette eingehen, dass JEDER der sich das Teil gekauft hat, erstmal mit der Communitiy-Edition rumprobiert hat.
Wenn das dann schon buggy ist und es keine Patches gibt, hätte ich doch schon gar kein Interesse mehr, das Teil zu kaufen...
EDIT:
OH, ok, jetzt hast du schon geantwortet... war ich zu langsam..
Hi,
hab im Augenblick leider keinen Zugriff auf meine Endian um nachzusehen... aber ich bin mir ziemlich sicher, dass ich da nirgends eine Updatefunktion gefunden hab.
Ich hab die 2.3 Community-Edition seit einiger Zeit am Laufen und die scheint mir ziemlich buggy.. Ein paar Updates wären da vielleicht nicht schlecht.
Weiss einer auswendig, wo die Funktion zu finden ist ??
Viele Grüße
Hallo, nein das geht "noch" nicht.
Hi & Danke für die schnelle Antwort.
Wenn ich auf den Feature-Vergleich gucke sehe ich da, dass "Centralized Updates through Endian Network" für die Community-Edition verfügbar sein soll.
Ist das ein Fehler in der Tabelle? Oder wird das noch kommen?
Viele Grüße
Bisher habe ich von den IPfire-Funktionen zu wenige genutzt, um da wirklich ein Urteil fällen zu können. Gleiches gilt für Endian auch. Für mich bislang wichtigster Unterschied: IPfire ist in der hiesigen Netzwerkkonfiguration und auf der schmalen Hardware noch nicht abgestürzt.
Ich hatte vor der Endian die IPfire. Lief auch, aber Endian finde ich von der Konfiguration her ausgereifter. Es gibt auch einige Optionen die bei der IPfire fehlen. Außerdem gab es da für den OpenVPN Client das TAP-Interface noch nicht implementiert (schlecht zum Zocken )
Und ich war noch nie so der Fan der "eierlegenden Wollmilchsau" Weiss nicht was ein Asterisk, Teamspeak-Server etc. auf ner Firewall verloren haben. Seit es VMs gibt kann man das ja eigentlich trennen... (allerdings _muss_ man die da natürlich nicht mit installieren).
Aber mal zurück zum Thema von ganz oben:
Hat sich in punkto Update der Endian-2.3 Community Edition was getan? Wenn ich mir den Feature-Vergleich angucke, sehe ich ganz unten, dass die Community-Edition das "Centralized Updates through Endian Network" unterstützt.
Wie geht denn das ?! Weiss das einer?
Viele Grüße
Hallo,
kann man mit der Methode auch die 2.3 Final Community-Edition auf den aktuellen Stand bringen??
Viele Grüße