fundave3
Goto Top

Allgemeine Fragen zu Openvpn

Hallo zusammen,

allen ersteinmal ein gutes neues Jahr.
Ich hoffe ihr habt es gut begonnen.
Mir ist leider zu Beginn des Jahres mein Server in die Knie gegangen.
Das Backup war naja, nur noch fast nutzbar.
Daher bin ich derzeit bei der Openvpn Einrichtung.
Mir sind einige Dinge nicht ganz bekannt, daher frage ich.

ICh habe gelesen es gibt die HMAC Härtung. Dazu generiert man ein Key.

openvpn --genkey --secret ta.key
Nur habe ich noch nicht ganz kapiert wozu ?

Das nächste wäre die CA.
Früher habe ich easy-rsa mitinstalliert und unter /usr/share/easy-rsa meine Tools für ( CA , DH u.s.w.)
Im internet finde ich nur noch Anleitungen , die das ganze manuell mit git selber machen.
Ist erstmal nicht mein Problem.
Erstelle ich mit der CA Userzertifikate , so bekomme ich immer den Parameter nopass mit zu gesicht.
Soweit ich weiß wird damit nicht der Private Key mit Passwort versehen. Ist das so korrekt ?
Mir ist noch nicht ganz klar, inwiefern das ein Problem bei Ovpn Clients ist. ?

Ich habe neue Zertifikate früher immer mit
/usr/share/easy-rsa/build-key client 
erstellt.
Dort hatte ich nie solche Fragen.
Eventuell könnt ihr mir da helfen.

Dankeschön

VG

Christian

Content-ID: 397768

Url: https://administrator.de/contentid/397768

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

129580
Lösung 129580 10.01.2019 aktualisiert um 21:58:00 Uhr
Goto Top
Guten Abend,

ICh habe gelesen es gibt die HMAC Härtung. Dazu generiert man ein Key.
Nur habe ich noch nicht ganz kapiert wozu ?

Ist eine optionale aber empfohlene Schutzfunktion um den OpenVPN Server zu härten. Verhindert unter anderem DoS Attacken.
Für mehr Details: https://community.openvpn.net/openvpn/wiki/Hardening

Früher habe ich easy-rsa mitinstalliert und unter /usr/share/easy-rsa meine Tools für ( CA , DH u.s.w.)
Im internet finde ich nur noch Anleitungen , die das ganze manuell mit git selber machen.

Easy-RSA gibt es immer noch. Je nach Distribution bzw. Paketmanager muss man diese separat installieren und/oder liegen in anderen Verzeichnissen.
Mit Git erstellt man keine Zertifikate face-wink

Die meisten Anleitungen basieren übrigens nach wie vor mit den Easy-RSA Skripten.
Der Hersteller von OpenVPN empfiehlt diese übrigens in seiner Dokumentation auch und beschreibt ebenso die Vorgehensweiße.

Erstelle ich mit der CA Userzertifikate , so bekomme ich immer den Parameter nopass mit zu gesicht.
Soweit ich weiß wird damit nicht der Private Key mit Passwort versehen. Ist das so korrekt ?

Hängt von diesem Tool ab was du verwendest. Da du uns das Tool nicht nennst, können wir das nicht exakt sagen.
In diesem Fall hilft dir dir Manual immer weiter. Dort werden die einzelnen Parameter genau beschrieben.

Edit: Oder bezieht sich das auf die Easy-RSA Skripte?

Mir ist noch nicht ganz klar, inwiefern das ein Problem bei Ovpn Clients ist. ?

Ist kein Problem. Allerdings wirst du schnell genervte Anwender haben, die sich wegen der mehrfachen Eingabe von Passwörtern für den VPN Tunnel beschweren. Lieber anständig 2 Faktor Auth implementieren, so wie es vom Hersteller empfohlen und beschrieben wird. face-wink

Viele Grüße,
Exception
fundave3
fundave3 13.01.2019 um 10:57:55 Uhr
Goto Top
Hi Expection,

Vielen Dank für deine Antwort.
Beim Thema HMAC hast du mir schon mal weitergeholfen.

Easy-RSA:

Ja , diverse Anleitungen beschreiben das manuelle herunterladen der Skripte und das damit verbundene erstellen von Clientzertifikaten.
Biser habe ich wie schon gesagt das ganze über apt nachinstalliert. DAs einzige ist was genervt hat , ich musste jedes mal, wenn ich ein neues Zertifikat erstellen wollte
source ./vars
eingeben. Das ist beim jetzigen Stand nicht mehr der Fall.

Was mir noch nicht ganz klar wird, die CA die ich erstellt habe wird dann aber auch immer dafür genutzt oder ?

2 Faktor , ja das steht bei mir auch noch auf der Liste.

VG

Christian
129580
Lösung 129580 13.01.2019 aktualisiert um 11:20:19 Uhr
Goto Top
Easy-RSA:

Ja , diverse Anleitungen beschreiben das manuelle herunterladen der Skripte und das damit verbundene erstellen von Clientzertifikaten.
Biser habe ich wie schon gesagt das ganze über apt nachinstalliert. DAs einzige ist was genervt hat , ich musste jedes mal, wenn ich ein neues > Zertifikat erstellen wollte
source ./vars
eingeben. Das ist beim jetzigen Stand nicht mehr der Fall.

Das ist auch heute noch der Fall. Das liegt daran, dass mit diesem Befehl ein Shell Script in der aktuellen Shell Session ausgeführt wird, statt in einer Subshell. Wie der Name "vars" schon verrät, befinden sich in dieser Datei zahlreiche Variablen, die dann beim Ausführen des Scripts für die aktuelle Shell Sitzung gesetzt werden. Auf dieses greift dann die Easy-RSA Skripte zurück, was den Vorteil hat, dass du Zertifikatangaben nicht mehr erneut manuell eingeben musst.

Im Prinzip brauchst du diesen Befehl nicht durchführen, wenn es für dich sehr störend ist. Aber dann musst du die ganzen Eingaben bei jedem einzelnen Zertifikat manuell eingeben. Insbesondere bei vielen Zertifikaten macht das auf dauer keinen Spaß face-wink

Was mir noch nicht ganz klar wird, die CA die ich erstellt habe wird dann aber auch immer dafür genutzt oder ?

Klar. Mit dieser werden die Zertifikate signiert. Auch kannst du damit eine CRL erstellen, die der OpenVPN Server prüft. Somit kannst du jederzeit einzelne Zertifikate widerrufen.
fundave3
fundave3 13.01.2019 um 11:47:09 Uhr
Goto Top
Ahhh ja.
Klar, jetzt verstehe ich was du meinst.
Da ich zwei Server im NEtz stehen habe , ( Web / Mail etc. ) wollte ich eine Externe CA nutzen und auf beiden Zertifikate importieren .
CRL kann ich dann auf der CA durchführen was es einfacher macht.

Vielen Dank.
129580
129580 13.01.2019 um 12:05:39 Uhr
Goto Top
Da ich zwei Server im NEtz stehen habe , ( Web / Mail etc. ) wollte ich eine Externe CA nutzen und auf beiden Zertifikate importieren .

Öffentliche CAs stellen keine Zertifikate für interne DIenste aus. Aber selbst wenn das möglich wäre, wäre das eine sehr teuere Angelegenheit und unsinnig wäre das auch.