Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Allgemeine Fragen zu Openvpn

Mitglied: fundave3

fundave3 (Level 1) - Jetzt verbinden

10.01.2019, aktualisiert 21:24 Uhr, 227 Aufrufe, 5 Kommentare

Hallo zusammen,

allen ersteinmal ein gutes neues Jahr.
Ich hoffe ihr habt es gut begonnen.
Mir ist leider zu Beginn des Jahres mein Server in die Knie gegangen.
Das Backup war naja, nur noch fast nutzbar.
Daher bin ich derzeit bei der Openvpn Einrichtung.
Mir sind einige Dinge nicht ganz bekannt, daher frage ich.

ICh habe gelesen es gibt die HMAC Härtung. Dazu generiert man ein Key.

01.
openvpn --genkey --secret ta.key
Nur habe ich noch nicht ganz kapiert wozu ?

Das nächste wäre die CA.
Früher habe ich easy-rsa mitinstalliert und unter /usr/share/easy-rsa meine Tools für ( CA , DH u.s.w.)
Im internet finde ich nur noch Anleitungen , die das ganze manuell mit git selber machen.
Ist erstmal nicht mein Problem.
Erstelle ich mit der CA Userzertifikate , so bekomme ich immer den Parameter nopass mit zu gesicht.
Soweit ich weiß wird damit nicht der Private Key mit Passwort versehen. Ist das so korrekt ?
Mir ist noch nicht ganz klar, inwiefern das ein Problem bei Ovpn Clients ist. ?

Ich habe neue Zertifikate früher immer mit
01.
/usr/share/easy-rsa/build-key client 
erstellt.
Dort hatte ich nie solche Fragen.
Eventuell könnt ihr mir da helfen.

Dankeschön

VG

Christian
Mitglied: Exception
LÖSUNG 10.01.2019, aktualisiert um 21:58 Uhr
Guten Abend,

ICh habe gelesen es gibt die HMAC Härtung. Dazu generiert man ein Key.
Nur habe ich noch nicht ganz kapiert wozu ?

Ist eine optionale aber empfohlene Schutzfunktion um den OpenVPN Server zu härten. Verhindert unter anderem DoS Attacken.
Für mehr Details: https://community.openvpn.net/openvpn/wiki/Hardening

Früher habe ich easy-rsa mitinstalliert und unter /usr/share/easy-rsa meine Tools für ( CA , DH u.s.w.)
Im internet finde ich nur noch Anleitungen , die das ganze manuell mit git selber machen.

Easy-RSA gibt es immer noch. Je nach Distribution bzw. Paketmanager muss man diese separat installieren und/oder liegen in anderen Verzeichnissen.
Mit Git erstellt man keine Zertifikate

Die meisten Anleitungen basieren übrigens nach wie vor mit den Easy-RSA Skripten.
Der Hersteller von OpenVPN empfiehlt diese übrigens in seiner Dokumentation auch und beschreibt ebenso die Vorgehensweiße.

Erstelle ich mit der CA Userzertifikate , so bekomme ich immer den Parameter nopass mit zu gesicht.
Soweit ich weiß wird damit nicht der Private Key mit Passwort versehen. Ist das so korrekt ?

Hängt von diesem Tool ab was du verwendest. Da du uns das Tool nicht nennst, können wir das nicht exakt sagen.
In diesem Fall hilft dir dir Manual immer weiter. Dort werden die einzelnen Parameter genau beschrieben.

Edit: Oder bezieht sich das auf die Easy-RSA Skripte?

Mir ist noch nicht ganz klar, inwiefern das ein Problem bei Ovpn Clients ist. ?

Ist kein Problem. Allerdings wirst du schnell genervte Anwender haben, die sich wegen der mehrfachen Eingabe von Passwörtern für den VPN Tunnel beschweren. Lieber anständig 2 Faktor Auth implementieren, so wie es vom Hersteller empfohlen und beschrieben wird.

Viele Grüße,
Exception
Bitte warten ..
Mitglied: fundave3
13.01.2019 um 10:57 Uhr
Hi Expection,

Vielen Dank für deine Antwort.
Beim Thema HMAC hast du mir schon mal weitergeholfen.

Easy-RSA:

Ja , diverse Anleitungen beschreiben das manuelle herunterladen der Skripte und das damit verbundene erstellen von Clientzertifikaten.
Biser habe ich wie schon gesagt das ganze über apt nachinstalliert. DAs einzige ist was genervt hat , ich musste jedes mal, wenn ich ein neues Zertifikat erstellen wollte
01.
source ./vars
eingeben. Das ist beim jetzigen Stand nicht mehr der Fall.

Was mir noch nicht ganz klar wird, die CA die ich erstellt habe wird dann aber auch immer dafür genutzt oder ?

2 Faktor , ja das steht bei mir auch noch auf der Liste.

VG

Christian
Bitte warten ..
Mitglied: Exception
LÖSUNG 13.01.2019, aktualisiert um 11:20 Uhr
Easy-RSA:

Ja , diverse Anleitungen beschreiben das manuelle herunterladen der Skripte und das damit verbundene erstellen von Clientzertifikaten.
Biser habe ich wie schon gesagt das ganze über apt nachinstalliert. DAs einzige ist was genervt hat , ich musste jedes mal, wenn ich ein neues > Zertifikat erstellen wollte
01.
source ./vars
eingeben. Das ist beim jetzigen Stand nicht mehr der Fall.

Das ist auch heute noch der Fall. Das liegt daran, dass mit diesem Befehl ein Shell Script in der aktuellen Shell Session ausgeführt wird, statt in einer Subshell. Wie der Name "vars" schon verrät, befinden sich in dieser Datei zahlreiche Variablen, die dann beim Ausführen des Scripts für die aktuelle Shell Sitzung gesetzt werden. Auf dieses greift dann die Easy-RSA Skripte zurück, was den Vorteil hat, dass du Zertifikatangaben nicht mehr erneut manuell eingeben musst.

Im Prinzip brauchst du diesen Befehl nicht durchführen, wenn es für dich sehr störend ist. Aber dann musst du die ganzen Eingaben bei jedem einzelnen Zertifikat manuell eingeben. Insbesondere bei vielen Zertifikaten macht das auf dauer keinen Spaß

Was mir noch nicht ganz klar wird, die CA die ich erstellt habe wird dann aber auch immer dafür genutzt oder ?

Klar. Mit dieser werden die Zertifikate signiert. Auch kannst du damit eine CRL erstellen, die der OpenVPN Server prüft. Somit kannst du jederzeit einzelne Zertifikate widerrufen.
Bitte warten ..
Mitglied: fundave3
13.01.2019 um 11:47 Uhr
Ahhh ja.
Klar, jetzt verstehe ich was du meinst.
Da ich zwei Server im NEtz stehen habe , ( Web / Mail etc. ) wollte ich eine Externe CA nutzen und auf beiden Zertifikate importieren .
CRL kann ich dann auf der CA durchführen was es einfacher macht.

Vielen Dank.
Bitte warten ..
Mitglied: Exception
13.01.2019 um 12:05 Uhr
Da ich zwei Server im NEtz stehen habe , ( Web / Mail etc. ) wollte ich eine Externe CA nutzen und auf beiden Zertifikate importieren .

Öffentliche CAs stellen keine Zertifikate für interne DIenste aus. Aber selbst wenn das möglich wäre, wäre das eine sehr teuere Angelegenheit und unsinnig wäre das auch.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen

OpenVPN Zertifikat pro User oder Allgemein

gelöst Frage von geocastSicherheitsgrundlagen10 Kommentare

Hallo zusammen Da einige unserer Mitarbeiter zugang zum Netzlaufwerk haben wollen, wenn sie Mobil unterwegs sind, richte ich ihnen ...

Netzwerkgrundlagen

Subnetting allgemein

Frage von G4ruDANetzwerkgrundlagen5 Kommentare

Hallo zusammen ich verfolge das Forum bereits seit einiger Zeit und konnte mir hier so manche Lösungen für meine ...

Cloud-Dienste

Frag zu sftp und rsync

gelöst Frage von qwertz1Cloud-Dienste2 Kommentare

Hallo, ich habe eine Frage zu rsync im Zusammenspiel mit sftp. Ein Kunde hat sich bei Strato einen Online-Speicher ...

Sicherheit

Allgemein VPN Fragen

gelöst Frage von Michel94Sicherheit3 Kommentare

Hallo, ich habe mich schon bei Google und auch hier in der Suche umgeschaut konnte aber nicht so richtig ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 16 StundenInternet2 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 20 StundenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 1 TagWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 1 TagSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell21 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Debian
OpenSSH Login mit Public Key schlägt fehl, mit Passwort funktioniert
gelöst Frage von DKowalkeDebian19 Kommentare

Hallo zusammen, ich hatte hier schon nach einer Anleitung für einen SFTP Server mit Linux gefragt, habe dort auch ...