Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Allgemeine Fragen zu Openvpn

Mitglied: fundave3

fundave3 (Level 1) - Jetzt verbinden

10.01.2019, aktualisiert 21:24 Uhr, 411 Aufrufe, 5 Kommentare

Hallo zusammen,

allen ersteinmal ein gutes neues Jahr.
Ich hoffe ihr habt es gut begonnen.
Mir ist leider zu Beginn des Jahres mein Server in die Knie gegangen.
Das Backup war naja, nur noch fast nutzbar.
Daher bin ich derzeit bei der Openvpn Einrichtung.
Mir sind einige Dinge nicht ganz bekannt, daher frage ich.

ICh habe gelesen es gibt die HMAC Härtung. Dazu generiert man ein Key.

Nur habe ich noch nicht ganz kapiert wozu ?

Das nächste wäre die CA.
Früher habe ich easy-rsa mitinstalliert und unter /usr/share/easy-rsa meine Tools für ( CA , DH u.s.w.)
Im internet finde ich nur noch Anleitungen , die das ganze manuell mit git selber machen.
Ist erstmal nicht mein Problem.
Erstelle ich mit der CA Userzertifikate , so bekomme ich immer den Parameter nopass mit zu gesicht.
Soweit ich weiß wird damit nicht der Private Key mit Passwort versehen. Ist das so korrekt ?
Mir ist noch nicht ganz klar, inwiefern das ein Problem bei Ovpn Clients ist. ?

Ich habe neue Zertifikate früher immer mit
erstellt.
Dort hatte ich nie solche Fragen.
Eventuell könnt ihr mir da helfen.

Dankeschön

VG

Christian
Mitglied: 129580
LÖSUNG 10.01.2019, aktualisiert um 21:58 Uhr
Guten Abend,

ICh habe gelesen es gibt die HMAC Härtung. Dazu generiert man ein Key.
Nur habe ich noch nicht ganz kapiert wozu ?

Ist eine optionale aber empfohlene Schutzfunktion um den OpenVPN Server zu härten. Verhindert unter anderem DoS Attacken.
Für mehr Details: https://community.openvpn.net/openvpn/wiki/Hardening

Früher habe ich easy-rsa mitinstalliert und unter /usr/share/easy-rsa meine Tools für ( CA , DH u.s.w.)
Im internet finde ich nur noch Anleitungen , die das ganze manuell mit git selber machen.

Easy-RSA gibt es immer noch. Je nach Distribution bzw. Paketmanager muss man diese separat installieren und/oder liegen in anderen Verzeichnissen.
Mit Git erstellt man keine Zertifikate

Die meisten Anleitungen basieren übrigens nach wie vor mit den Easy-RSA Skripten.
Der Hersteller von OpenVPN empfiehlt diese übrigens in seiner Dokumentation auch und beschreibt ebenso die Vorgehensweiße.

Erstelle ich mit der CA Userzertifikate , so bekomme ich immer den Parameter nopass mit zu gesicht.
Soweit ich weiß wird damit nicht der Private Key mit Passwort versehen. Ist das so korrekt ?

Hängt von diesem Tool ab was du verwendest. Da du uns das Tool nicht nennst, können wir das nicht exakt sagen.
In diesem Fall hilft dir dir Manual immer weiter. Dort werden die einzelnen Parameter genau beschrieben.

Edit: Oder bezieht sich das auf die Easy-RSA Skripte?

Mir ist noch nicht ganz klar, inwiefern das ein Problem bei Ovpn Clients ist. ?

Ist kein Problem. Allerdings wirst du schnell genervte Anwender haben, die sich wegen der mehrfachen Eingabe von Passwörtern für den VPN Tunnel beschweren. Lieber anständig 2 Faktor Auth implementieren, so wie es vom Hersteller empfohlen und beschrieben wird.

Viele Grüße,
Exception
Bitte warten ..
Mitglied: fundave3
13.01.2019 um 10:57 Uhr
Hi Expection,

Vielen Dank für deine Antwort.
Beim Thema HMAC hast du mir schon mal weitergeholfen.

Easy-RSA:

Ja , diverse Anleitungen beschreiben das manuelle herunterladen der Skripte und das damit verbundene erstellen von Clientzertifikaten.
Biser habe ich wie schon gesagt das ganze über apt nachinstalliert. DAs einzige ist was genervt hat , ich musste jedes mal, wenn ich ein neues Zertifikat erstellen wollte
eingeben. Das ist beim jetzigen Stand nicht mehr der Fall.

Was mir noch nicht ganz klar wird, die CA die ich erstellt habe wird dann aber auch immer dafür genutzt oder ?

2 Faktor , ja das steht bei mir auch noch auf der Liste.

VG

Christian
Bitte warten ..
Mitglied: 129580
LÖSUNG 13.01.2019, aktualisiert um 11:20 Uhr
Easy-RSA:

Ja , diverse Anleitungen beschreiben das manuelle herunterladen der Skripte und das damit verbundene erstellen von Clientzertifikaten.
Biser habe ich wie schon gesagt das ganze über apt nachinstalliert. DAs einzige ist was genervt hat , ich musste jedes mal, wenn ich ein neues > Zertifikat erstellen wollte
eingeben. Das ist beim jetzigen Stand nicht mehr der Fall.

Das ist auch heute noch der Fall. Das liegt daran, dass mit diesem Befehl ein Shell Script in der aktuellen Shell Session ausgeführt wird, statt in einer Subshell. Wie der Name "vars" schon verrät, befinden sich in dieser Datei zahlreiche Variablen, die dann beim Ausführen des Scripts für die aktuelle Shell Sitzung gesetzt werden. Auf dieses greift dann die Easy-RSA Skripte zurück, was den Vorteil hat, dass du Zertifikatangaben nicht mehr erneut manuell eingeben musst.

Im Prinzip brauchst du diesen Befehl nicht durchführen, wenn es für dich sehr störend ist. Aber dann musst du die ganzen Eingaben bei jedem einzelnen Zertifikat manuell eingeben. Insbesondere bei vielen Zertifikaten macht das auf dauer keinen Spaß

Was mir noch nicht ganz klar wird, die CA die ich erstellt habe wird dann aber auch immer dafür genutzt oder ?

Klar. Mit dieser werden die Zertifikate signiert. Auch kannst du damit eine CRL erstellen, die der OpenVPN Server prüft. Somit kannst du jederzeit einzelne Zertifikate widerrufen.
Bitte warten ..
Mitglied: fundave3
13.01.2019 um 11:47 Uhr
Ahhh ja.
Klar, jetzt verstehe ich was du meinst.
Da ich zwei Server im NEtz stehen habe , ( Web / Mail etc. ) wollte ich eine Externe CA nutzen und auf beiden Zertifikate importieren .
CRL kann ich dann auf der CA durchführen was es einfacher macht.

Vielen Dank.
Bitte warten ..
Mitglied: 129580
13.01.2019 um 12:05 Uhr
Da ich zwei Server im NEtz stehen habe , ( Web / Mail etc. ) wollte ich eine Externe CA nutzen und auf beiden Zertifikate importieren .

Öffentliche CAs stellen keine Zertifikate für interne DIenste aus. Aber selbst wenn das möglich wäre, wäre das eine sehr teuere Angelegenheit und unsinnig wäre das auch.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen

OpenVPN Zertifikat pro User oder Allgemein

gelöst Frage von geocastSicherheitsgrundlagen10 Kommentare

Hallo zusammen Da einige unserer Mitarbeiter zugang zum Netzlaufwerk haben wollen, wenn sie Mobil unterwegs sind, richte ich ihnen ...

Sicherheit

Allgemein VPN Fragen

gelöst Frage von Michel94Sicherheit3 Kommentare

Hallo, ich habe mich schon bei Google und auch hier in der Suche umgeschaut konnte aber nicht so richtig ...

Datenschutz

Handysuche zurückverfolgen Datenschutz allgemein

Frage von 129463Datenschutz6 Kommentare

Hi, ich habe vor ca. vier Jahren eine Suche per iPhone auf Google gemacht - diese Eingabe war leider ...

Windows Server

Infrastrukturrobustheit: NTP in domain + allgemein

gelöst Frage von NetzwerkDudeWindows Server6 Kommentare

Moin, Der klassiche Aufbau von einer Domain zeitsync ist wohl das der PDC / FSMO zu einer (bzw. mehreren) ...

Neue Wissensbeiträge
Drucker und Scanner

Kyocera PCL Barcode Flash SD v3.0 Firmware Update installieren

Tipp von Mana vor 22 StundenDrucker und Scanner

Ich hatte eine vorhandene "PCL Barcode Flash SD v3.0 Type D/E", die bisher in einem Kyocera FS-4200DN verbaut war. ...

Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 5 TagenSicherheit3 Kommentare

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 6 TagenInternet6 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Mit "-s 28624 wähle ich ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 6 TagenAdministrator.de Feedback22 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. In Zukunft kommen neue Typen dazu. Hier ein Beispiel ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
WLAN Abbrüche
Frage von jo23487LAN, WAN, Wireless37 Kommentare

Hallo zusammen, ich habe einen neuen Speedport installiert und seit dem Abbrüche des WLANS. Eigentlich kann das mit dem ...

LAN, WAN, Wireless
Einrichtung Router und Modem
Frage von SommelierLAN, WAN, Wireless20 Kommentare

Guten Abend, sitze hier derzeit ohne Festnetzinternet, da ich einen neuen Router + Kabelmodem habe. Ein Bintec Rs123 und ...

Backup
Schnelles Backup- oder Synchronisierungsprogramm gesucht
Frage von DanielG1974Backup19 Kommentare

Hallo Leute. Ich bin für unsere kleine Firma seit Wochen auf der Suche nach einem Backup- bzw. Synchronisierungsprogramm. Ein ...

Windows Userverwaltung
Abfrage lokaler Gruppenmitgliedschaften in Windows - Bug umschiffen
gelöst Frage von DerWoWussteWindows Userverwaltung18 Kommentare

Moin Kollegen. Wer schon auf Betriebstemperatur ist und ein forderndes Problem sucht ;-) Mit dem Powershell-Kommando bekommt man normalerweise ...