Alle Beiträge von neutrinus

Beat Caveng, Developer bei A-Enterprise GmbH. Blog Author zu den Themen, Python und Open Source. Tutorials zu Python Problemlösungen und Shell Scripts.

OpenVPN Connect Verbindung von iPhone und Android

OpenVPN erfreut sich bei vielen Nutzer zunehmender Beliebtheit. So bietet die OPNsense Firewall ein gut integrierten OpenVPN Server mit zahlreichen Features, aber auch Hersteller verwenden OpenVPN, wie die Synology NAS Geräte, wo OpenVPN Teil des VPN-Server ist, dieser im DSM Paket-Zentrum zur verfügung steht. Die beliebte Open Source VPN Lösung gibt es für alle etablierten Platformen, von Linux und Windows bis MacOS und mobile Geräte mit iOS und Android.

Dieses Tutorial zeigt die Einrichtung und Anwendung von OpenVPN Connect für VPN Verbindungen unter iOS und Android.

OpenVPN Connect auf iPhone und Android

Zunächst wird die OpenVPN Connect App auf das Endgerät geladen. Diese steht im Apple App Store und bei Google Play kostenlos zur Verfügung.

OpenVPN Apple StoreOpenVPN Google Play

Die Konfiguration der Clients erfolgt über den ovpn-Datei Import, diese alle erforderlichen Einstellungen enthält.

  1. OpenVPN Connect App Android öffnen
  2. Upload File Antippen
  3. BROWSE Antippen
  4. Ordner Eigene DateienDownloads wählen
  5. OpenVPN Konfigurationsdatei .ovpn wählen
  6. Fertig Antippen
  7. Import .ovpn profile? OK
  8. Username eingeben und CONNECT
  9. Passwort eingeben. Bei 2FA OTP Token + Passwort

  Weitere OpenVPN Profile importieren mit tippen auf das + Symbol.

Bilderstrecke OpenVPN Connect App Android Import Profile.

  Beim ersten Verbindungsaufbau nach Antippen des Schiebeschalters, verlangen die App um Erlaubnis, für das Hinzufügen der VPN-Konfiguration. Wurde alles erfolgreich abgeschlossen, wird vom Client ein VPN-Tunnel zum Server aufgebaut, was die App über den Status CONNECTED ausgibt.

OpenVPN Konfigurationsdatei übertragen

Der einfachste Weg, um die Konfigurationsdatei (.ovpn) auf ein iOS oder Android Gerät zu übertragen, besteht darin, die Datei per Bluetooth vom PC auf das Smartphone oder Tablett zu übertragen. Dabei stellt man erst eine Bluetooth-kopplung der beiden Gräte her, anschliessend wählt man am PC über der OVPN-Datei mit der rechten Maustaste das Kontextmenü und wählt dann – Senden an Bluetooth-Gerät.

Nach Bestätigung mit OK sollte die OVPN-Datei nun auf dem mobilen Gerät unter „Eigene Dateien“ im Ordner „Downloads“ zu finden sein.

Alternativ kann man die OVPN-Datei per E-Mail an die eigene E-Mail-Adresse senden, um sie anschliessend auf dem Smartphone oder Tablett zu speichern, oder via Cloud-Speicher, und falls vorhanden, über eine lokale Synchronisation wie beispielsweise mit Synology Drive.

Fazit

OpenVPN als Open-Source Lösung ist für alle Clients verbreiteter Plattformen verfügbar, darunter für iOS und Android.

Die entsprechende App erhält man über den jeweiligen Store und die Konfiguration erfolgt über eine Datei, die alle Einstellungen enthält und die man vom OpenVPN-Server herunterlädt.

Als OpenVPN-Server empfiehlt sich besonders die OPNsense-Firewall. Zahlreiche Optionen können konfiguriert werden, wie z. B. Client- und Serverzertifikate und 2FA-Authentifizierung, mit der Integration von LDAP für Active Directory und Google Authenticator TOTP für Multi-Faktor-Authentifizierung.

Quellen Links:

FortiGate SSL Inspection deaktivieren

Die FortiGate SSL Inspection ist der Prozess des Abfangens von SSL/TLS-verschlüsselter Internetkommunikation zwischen Client und Server, die man deaktivieren kann, wie etwa bei False Positive Ergebnisse. Das Abfangen kann zwischen dem Sender und dem Empfänger und umgekehrt (Empfänger zum Sender) ausgeführt werden. Es ist die gleiche Technik, wie sie bei Man-in-the-Middle (MiTM)-Angriffen ohne die Zustimmung beider Seiten verwendet wird.

FortiGate SSL Deep Inspection in der Praxis

Wenn Deep Inspection verwendet wird, gibt sich die FortiGate als Empfänger der ursprünglichen SSL Sitzung aus. Die FortiGate entschlüsselt und untersucht dann den Inhalt, um Bedrohungen zu finden und zu blockieren. Anschließend wird der Inhalt erneut verschlüsselt und an den echten Empfänger gesendet.

Symptom

In der Praxis kommt es dabei schon mal zu ungewollten Blockierungen. Insbesondere bei der Nutzung von Self-signed SSL-Zertifikate, dabei verhält sich die FortiGate wie eine Blackbox. Auch wird oft festgestellt, dass für Outlook Clients die Verbindung zum Exchange Server verweigert wird, dabei Outlook folgenden Fehler ausgibt.

Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen mail.example.org überein.
Outlook kann keine Verbindung zum Proxy-Server herstellen. (Fehlercode 8000000).

Workaround

Um die FortiGate SSL Inspection ganz zu deaktivieren, kann man unter Security Profiles – SSL/SSH Inspection, für das Read-only Profile no-inspection ein Clone anlegen, und diesen entsprechend konfigurieren.

Unter Protocol Port Mapping wird für HTTPS ein ungenutzten Port eingetragen. Hierdurch findet über Port 443 keine SSL Deep Inspection mehr statt.

Das konfigurierte Profile custom-no-inspection für die entsprechnden Policy aktivieren. Für internes routing und in VPN Verbindungen sollte eine SSL Deep Inspection Policy nicht erforderlich sein.