OpenVPN4UCS: kein Readytogo-Paket auf Downloadseite für Benutzer

german
openvpn

#1

Hi!
Ich habe OpenVPN4UCS auf einem DC-Backup installiert. Anschließend habe ich unter Geräte -> Rechner -> DC-Backup -> Erweitert die VPN-Einstellungen vorgenommen (Zugriff für Benutzer, kein Site-VPN!).
Anschließend habe ich unter Benutzer -> Benutzerverwaltung -> Benutzernamen -> Erweitert -> OpenVPN das VPN für den jeweiligen Benutzer aktiviert.
Unter https://servername/download wird nach eingabe des richtigen Benutzernamens immer eine leere Seite bzw. der Hinweis angezeigt, dass diese Seite nicht existiere und man sich an seinen VPN-Administrator wenden möge, oder die Lizenz überprüfen soll.

Ich habe es so verstanden, dass ich Readytogo auch ohne Lizenz nutzen kann, wenn ich nur 5 Nutzer anlege …

Gibt es irgendwo ein log, indem die Erstellung des Pakets protokolliert wird? Kann ich das fertige Paket auch im Dateisystem finden?

Dankeschön!


#2

Moin!

Bitte einmal folgendes probieren:

Beim Computer den Haken ‘OpenVPN server active’ wegnehmen und die ersten drei Felder (server address, port, transfer network) jeweils auf ‘0’ setzen und abspeichern. Danach den Haken wieder setzen, die gewuenschten Werte fuer Adresse, Port und Transfernetz eintragen und abspeichern.

Das fertige Paket liegt zudem auch bei den jeweiligen Nutzern im Home-Verzeichnis.

Dies sollte helfen.

viele Gruesse aus Oldenburg!


#3

Hallo,
Das hat leider nicht geholfen. Abspeichern hat jeweils funktioniert, die Einstellungen wurden auch übernommen …
Es wurde aber auch kein Readytogo-Paket in dem jeweiligen Home-Verzeichniss abgelegt (es gibt nur den Ordner windows-Profile, und dort ist nichts drinn).
Wird der Vorgang zum erstellen der Zertifikate irgendwo gelogt?

Liebe Grüße aus Berlin!


#4

Ich nehme an die Readytogo-Pakete werden über ein Listener-Modul erzeugt. In dem Fall solltest du etwas dazu in /var/log/univention/listener.log finden können.


#5

Hi,
Danke für den Hinweis, ich habe im Log auf dc-backup auch eine Fehlermeldung gefunden:
30.11.17 12:48:35.759 LISTENER ( ERROR ) : 3 Failed to read file “/etc/openvpn/ccd-1194/username.openvpn”: [Errno 2] No such file or directory: ‘/etc/openvpn/ccd-1194/username.openvpn’

username habe ich natürlich ersetzt ::slight_smile:


#6

Ok dann würde ich vielleicht mal bei einem Benutzer ReadyToGo deaktivieren und es anschließend wieder reaktivieren. Vielleicht wird dann die fehlende Datei erzeugt oder hilfreiche Logs.


#7

Hi,
hm wenn ich aber händisch nachschaue, ist diese datei vorhanden. Dort steht auch nur die Zuordnung von Benutzernamen zur IP-Adresse drinn.
Kann ich denn überhaupt ReadyToGo für einzelne Benutzer aktivieren / Deaktivieren? so wie ich das verstehe, kann ich lediglich den kompletten VPN-Zugang aktivieren / Deaktivieren.
In den jeweiligen home-Verzeichnissen wird auch kein Zertifikat abgelegt … Kann ich die entsprechenden Skripte per Hand ausführen? Im log finde ich bisher nichts weiter dazu.


#8

Das ist korrekt. Wenn der Haken bei ‘OpenVPN account’ entfernt wird,
wird das Zertifikat ungueltig, der Zugang also deaktiviert. Habe ich das
richtig verstanden, dass auf dem DCM unter /var/www/readytogo kein
Verzeichnis mit dem entsprechenden Benutzernamen zu finden ist?

Gibt es eine /etc/openvpn/server.conf und entsprechen die Werte
fuer ‘port’ und ‘server’ den Werten in der UMC?


#9

Hallo,
ja auf dem dc-backup ist in /etc/openvpn/server.conf alles korrekt eingetragen. Der OpenVPN-Server läuft auch korrekt. (ps zeigt ihn an).
Auch das Device tun0 ist mit der richtigen IP-Adresse vorhanden.
auf dem dc-Backup gibt es unter /var/www/readytogo/ nur die Datei notfound.html.
kann ich das erzeugen der Zertifikate händisch anstoßen?


#10

Ah, das erklaert es: die readytogo Pakete liegen immer auf dem DCM.


#11

Hallo,
ok, allerdings ist auf dem Master in /var/www/readytogo/ auch nur die Datei notfound.html zu finden …


#12

Dann würde ich mal auf dem Master in die /var/log/univention/listener.log schauen


#13

steht nichts wirklich drinn, nur das hier: …process updating uid=benutzername,ou=Benutzer,dc=domain,dc=lan command m
ich habe den Master von einer AD-Domäne auf ucs migriert, daher liegen die Nutzer in der ou benutzer und nicht users. … hm das könnte das Problem sein.
Ist bei der Zertifikats-Erstellung die OU für den Benutzer irgendwo fest eingebaut?


#14

Nein, das einzige Kriterium ist, dass ‘OpenVPN active’ gesetzt ist. Ist
listener/debug/level schon auf 3 gestellt?


#15

Guten morgen!
Ja, habe ich jetzt gemacht und ausprobiert.
Ich kann jedoch nichts sinnvolles finden. Der Auszug aus dem Log vom DC-Master:
11.12.17 08:52:41.456 LDAP ( INFO ) : connecting to ldap://ucs-ad.domain.lan:7389
11.12.17 08:52:41.470 LDAP ( INFO ) : simple_bind as cn=admin,dc=domain,dc=lan
11.12.17 08:52:41.470 LISTENER ( PROCESS ) : updating ‘uid=benutzer,ou=Benutzer,dc=domain,dc=lan’ command m
11.12.17 08:52:41.470 LISTENER ( INFO ) : dntree_lookup_id4ldapdn: found id=1248
11.12.17 08:52:41.470 LISTENER ( INFO ) : got 3533 bytes for uid=benutzer,ou=benutzer,dc=domain,dc=lan
11.12.17 08:52:41.472 LISTENER ( INFO ) : dntree_lookup_id4ldapdn: found id=1248
11.12.17 08:52:41.472 LISTENER ( INFO ) : got 3533 bytes for uid=benutzer,ou=benutzer,dc=domain,dc=lan
11.12.17 08:52:41.472 LISTENER ( INFO ) : running handlers for uid=benutzer,ou=Benutzer,dc=domain,dc=lan
11.12.17 08:52:41.472 LISTENER ( INFO ) : handler: samba4-idmap (up-to-date)
11.12.17 08:52:41.472 LISTENER ( INFO ) : 1 master handler
UNIVENTION_DEBUG_BEGIN : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.486 LDAP ( INFO ) : establishing new connection with retry_max=11
11.12.17 08:52:41.495 LDAP ( INFO ) : bind binddn=cn=ucs-ad,cn=dc,cn=computers,dc=domain,dc=lan
UNIVENTION_DEBUG_END : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.503 LDAP ( INFO ) : uldap.search filter=(univentionOpenvpnActive=1) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
UNIVENTION_DEBUG_BEGIN : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.618 LDAP ( INFO ) : establishing new connection with retry_max=11
11.12.17 08:52:41.632 LDAP ( INFO ) : bind binddn=cn=ucs-ad,cn=dc,cn=computers,dc=domain,dc=lan
UNIVENTION_DEBUG_END : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.644 LDAP ( INFO ) : uldap.search filter=(univentionOpenvpnLicense=*) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
11.12.17 08:52:41.725 LDAP ( INFO ) : uldap.search filter=(univentionOpenvpnAccount=1) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
11.12.17 08:52:41.827 LISTENER ( INFO ) : 1 Found 1 active openvpn users (5 allowed)
11.12.17 08:52:41.827 LISTENER ( INFO ) : 1 Create new certificate for benutzer in /home/benutzer
11.12.17 08:52:41.827 LISTENER ( INFO ) : handler: openvpn-master (successful)
11.12.17 08:52:41.828 LISTENER ( INFO ) : handler: well-known-sid-name-mapping (up-to-date)
11.12.17 08:52:41.828 LISTENER ( INFO ) : handler: faillog (successful)
11.12.17 08:52:41.828 LISTENER ( INFO ) : dntree_lookup_id4ldapdn: found id=1248
11.12.17 08:52:41.832 LISTENER ( INFO ) : Last Notifier ID: 2818
11.12.17 08:52:56.835 LISTENER ( INFO ) : running postrun handlers
11.12.17 08:52:56.835 LISTENER ( INFO ) : postrun handler: openvpn-master2 (prepared=0)
11.12.17 08:52:56.835 LISTENER ( INFO ) : postrun handler: ldap_extension (prepared=0)
11.12.17 08:52:56.835 LISTENER ( INFO ) : postrun handler: ldap_server (prepared=0)
11.12.17 08:52:56.835 LISTENER ( INFO ) : postrun handler: openvpn-master (prepared=-1)
11.12.17 08:52:56.835 LISTENER ( INFO ) : postrun handler: univention-saml-servers (prepared=0)
11.12.17 08:52:56.835 LISTENER ( INFO ) : postrun handler: faillog (prepared=-1)
11.12.17 08:52:56.835 LISTENER ( INFO ) : postrun handler: gencertificate (prepared=0)

Und das Log vom DC-Backup:
11.12.17 08:52:41.456 LDAP ( INFO ) : connecting to ldap://ucs-ad.domain.lan:7389
11.12.17 08:52:41.475 LDAP ( INFO ) : simple_bind as cn=admin,dc=domain,dc=lan
11.12.17 08:52:41.476 LISTENER ( PROCESS ) : updating ‘uid=benutzer,ou=Benutzer,dc=domain,dc=lan’ command m
11.12.17 08:52:41.476 LISTENER ( INFO ) : dntree_lookup_id4ldapdn: found id=954
11.12.17 08:52:41.476 LISTENER ( INFO ) : got 3535 bytes for uid=benutzer,ou=benutzer,dc=domain,dc=lan
11.12.17 08:52:41.479 LISTENER ( INFO ) : checking parent_dn of uid=benutzer,ou=Benutzer,dc=domain,dc=lan in local LDAP
11.12.17 08:52:41.479 LDAP ( INFO ) : connecting to ldap://localhost:7389
11.12.17 08:52:41.491 LDAP ( INFO ) : simple_bind as cn=admin,dc=domain,dc=lan
11.12.17 08:52:41.493 LISTENER ( INFO ) : dntree_lookup_id4ldapdn: found id=954
11.12.17 08:52:41.493 LISTENER ( INFO ) : got 3535 bytes for uid=benutzer,ou=benutzer,dc=domain,dc=lan
11.12.17 08:52:41.493 LISTENER ( INFO ) : running handlers for uid=benutzer,ou=Benutzer,dc=domain,dc=lan
11.12.17 08:52:41.493 LISTENER ( INFO ) : replication: Running handler m for: uid=benutzer,ou=Benutzer,dc=domain,dc=lan
11.12.17 08:52:41.496 LISTENER ( INFO ) : replication: listener does not have value for key modifiersName
11.12.17 08:52:41.496 LISTENER ( INFO ) : replication: old entries from LDAP server and Listener do not match
11.12.17 08:52:41.499 LISTENER ( INFO ) : handler: replication (successful)
11.12.17 08:52:41.499 LISTENER ( INFO ) : 1 master handler
UNIVENTION_DEBUG_BEGIN : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.513 LDAP ( INFO ) : establishing new connection with retry_max=11
11.12.17 08:52:41.526 LDAP ( INFO ) : bind binddn=cn=dc-backup,cn=dc,cn=computers,dc=domain,dc=lan
UNIVENTION_DEBUG_END : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.539 LDAP ( INFO ) : uldap.search filter=(univentionOpenvpnActive=1) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
UNIVENTION_DEBUG_BEGIN : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.669 LDAP ( INFO ) : establishing new connection with retry_max=11
11.12.17 08:52:41.682 LDAP ( INFO ) : bind binddn=cn=dc-backup,cn=dc,cn=computers,dc=domain,dc=lan
UNIVENTION_DEBUG_END : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.695 LDAP ( INFO ) : uldap.search filter=(univentionOpenvpnLicense=) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
11.12.17 08:52:41.789 LDAP ( INFO ) : uldap.search filter=(univentionOpenvpnAccount=1) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
11.12.17 08:52:41.881 LISTENER ( INFO ) : 1 Found 1 active openvpn users (5 allowed)
11.12.17 08:52:41.881 LISTENER ( INFO ) : 1 Create new certificate for user in /home/user
11.12.17 08:52:41.881 LISTENER ( INFO ) : handler: openvpn-master (successful)
11.12.17 08:52:41.882 LISTENER ( INFO ) : handler: faillog (successful)
11.12.17 08:52:41.882 LISTENER ( INFO ) : handler: well-known-sid-name-mapping (up-to-date)
11.12.17 08:52:41.882 LISTENER ( INFO ) : 4 server2 handler
UNIVENTION_DEBUG_BEGIN : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.895 LDAP ( INFO ) : establishing new connection with retry_max=11
11.12.17 08:52:41.908 LDAP ( INFO ) : bind binddn=cn=dc-backup,cn=dc,cn=computers,dc=domain,dc=lan
UNIVENTION_DEBUG_END : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.921 LDAP ( INFO ) : uldap.search filter=(cn=dc-backup) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
UNIVENTION_DEBUG_BEGIN : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.939 LDAP ( INFO ) : establishing new connection with retry_max=11
11.12.17 08:52:41.952 LDAP ( INFO ) : bind binddn=cn=dc-backup,cn=dc,cn=computers,dc=domain,dc=lan
UNIVENTION_DEBUG_END : uldap.__open host=ucs-ad.domain.lan port=7389 base=dc=domain,dc=lan
11.12.17 08:52:41.966 LDAP ( INFO ) : uldap.search filter=(univentionOpenvpnLicense=
) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
11.12.17 08:52:42.059 LDAP ( INFO ) : uldap.search filter=(univentionOpenvpnAccount=1) base= scope=sub attr=[] unique=0 required=0 timeout=-1 sizelimit=0
11.12.17 08:52:42.149 LISTENER ( INFO ) : 4 Found 1 active openvpn users (5 allowed)
11.12.17 08:52:42.152 LISTENER ( INFO ) : handler: openvpn-server2 (successful)
11.12.17 08:52:42.152 LISTENER ( INFO ) : dntree_lookup_id4ldapdn: found id=954
11.12.17 08:52:42.154 LISTENER ( INFO ) : write to transaction file dn=[uid=name,ou=Benutzer,dc=domain,dc=lan], command=[m]
11.12.17 08:52:42.157 LISTENER ( INFO ) : Last Notifier ID: 2818
11.12.17 08:52:57.173 LISTENER ( INFO ) : running postrun handlers
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: replication (prepared=-1)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: openvpn-sitetosite (prepared=0)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: openvpn-master2 (prepared=0)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: openvpn-master (prepared=-1)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: gencertificate (prepared=0)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: faillog (prepared=-1)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: ldap_extension (prepared=0)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: openvpn-server (prepared=0)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: ldap_server (prepared=0)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: openvpn-server2 (prepared=-1)
11.12.17 08:52:57.173 LISTENER ( INFO ) : postrun handler: univention-saml-simplesamlphp-configuration (prepared=0)

Liebe Grüße!


#16

Bitte mal die Ausgabe von

univention-ldapsearch -LLL '(univentionOpenvpnActive=1)' cn univentionopenvpnport univentionopenvpnaddress

pruefen.


#17

Die Ausgabe ist:
dn: cn=dc-backup,cn=dc,cn=computers,dc=domain,dc=lan
cn: dc-backup
univentionOpenvpnPort: 1194

Im log wird ja auch oben angegeben, dass die Zertifikate erzeugt würden … kann ich das erstellen der Zertifikate händisch vornehmen? bzw. irgendwie tracken?


#18

da fehlt das univentionOpenvpnAddress Attribut, es ist also doch nicht
gesetzt. Ohne dieses Attribut wird kein readytogo Paket erzeugt, da es
fuer die Konfig zwingend notwendig ist. Der Eintrag im Logfile ist nur
die Absichtserklaerung ein Paket zu erstellen. Erst danach wird geprueft,
ob alle notwendigen Daten vorhanden sind.


#19

Danke! sehr gut! es funktioniert :slight_smile: