OpenVPN Client Zertifikat importieren geht nicht

Mitglied: Mazenauer

Mazenauer (Level 1) - Jetzt verbinden

07.04.2021, aktualisiert 09:31 Uhr, 267 Aufrufe, 8 Kommentare

Guten Tag zusammen

Ich stehe hier etwas am Berg. Ich will auf meiner Synology einen OpenVPN Server einrichten. Soweit läuft das ja alles out of the box. Ich habe das VPN Server Package installiert und OpenVPN aktiviert. Port auf der Firewall geöffnet und zur Synology weitergeleitet.

Ich habe nun das OpenVPN Profil exportiert. Ich erhalte nun ein ZIP mit einem Zertifikat (ca.crt), einem Readme (welches nicht weiterhilft) und natürlich das OVPN Profil.

Das OVPN Profil lese ich in den OpenVPN Client - soweit so gut.

Das Problem beginnt beim Zertifikat. Will ich dieses importieren / einlesen, zeigt er mir das nicht an. Im Dateifilter steht "Certificats". Gebe ich ins Suchfenster *.* ein, damit ich das Zertifikat sehe, kann ich es anklicken, aber es importiert nicht.

Mit VPN kenne ich mich ziemlich gut aus, aber OpenVPN habe ich als solches noch nie konfiguriert. Wäre hier um einen Tipp dankbar. Für mich wirkte das ziemlich geradeaus, aber das mit dem Zertifikat irritiert mich etwas.

Anmerkung nach weiteren Tests: Wenn ich das ignoriere verbindet er. Aber eigentlich ging ich davon aus, dass das Zertifikat als erhöhte Sicherheit zwingend notwendig ist?



Gruss
Christof
Mitglied: aqui
07.04.2021, aktualisiert um 10:32 Uhr
Nur die ca.crt reicht natürlich nicht für den Client. Da fehlt dann noch das eigentliche Client Zertifikat und der Schlüssel. Siehe auch:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
Du benötigst 3 Dateien für den Client: ca.crt Client Zertifikat: xyz.crt und den Schlüssel xyz.pem.
Bitte warten ..
Mitglied: Mazenauer
07.04.2021, aktualisiert um 10:35 Uhr
Och herrje und der ganze Terz nur weil ich keine anständige Firewall reinsetzen kann wegen Home Anschluss (kein Bridging / Pass-Through auf Router und wenn doch, dann kein TV mehr..... :( face-sad)

Naja OHNE verbindet er auch. Ist dann halt dementsprechend "sicher".
Bitte warten ..
Mitglied: Mazenauer
07.04.2021 um 10:37 Uhr
Ich habe irgendwie das Gefühl, Synology reicht das Crt-File einfach so mit ins ZIP. Ohne SSH und anderes "Gebastel" auf dem NAS sehe ich keine Möglichkeit, dass im GUI besser zu konfigurieren.
Bitte warten ..
Mitglied: aqui
07.04.2021, aktualisiert um 10:58 Uhr
Das könnte sein wenn sie mit einem starren Preshared Key arbeitet. Dazu machst du aber zuwenig Angaben um das zielführend beantworten zu können. Ein PSK ist halt gefährlich. Wenn der mal kompromitiert ist haben Angreifer dein NAS und auch das gesamte lokale LAN auf dem Silbertablett vor sich.
Schlüssel und Zertifikate sind also der bessere Weg sofern das Synology_OVPN_Setup das bietet. Ggf. wäre ein kleiner Raspberry Pi 4 als VPN Server eine bessere Wahl.
Noch besser ist es auf einen VPN Server im lokalen LAN ganz zu verzichten und das immer, wenn irgend möglich, auf dem heimischen Internet Router zu lösen. Sollte der das nicht können austauschen oder zumindest aber mit einer Kaskade dann arbeiten.
Damit kannst du dann auch bei dir immer eine kleine Firewall wie pfSense, OPNsense oder einen preiswerten Mikrotik_Router einsetzen.
Bitte warten ..
Mitglied: Mazenauer
07.04.2021 um 11:00 Uhr
Ich glaube ehrlich gesagt, da gibt es nichtmal einen PSK. Man klickt nur OpenVPN an und kann dann mittels User / Passwort einloggen. Mehr Angaben kann ich dir nicht geben, weil es da nicht mehr zu sagen gibt. ;) Das ist sehr rudimentär. Hab dir mal ein Foto angehängt damit du siehst, wie wenig man da einstellen kann.

Kaskadieren würde bedeuten, meine Firewall - die eigentlich vorhanden wäre! - an den Providerrouter zu hängen und alles zur Firewall zu senden, korrekt? Ich bin da sehr unerfahren da ich - zum Glück! - sowas eigentlich nie machen muss. Meistens habe ich ganz üblich einen dedizierten Anschluss mit Konverter oder halt Router, den ich auf Passthrough schalte.

P.s.: Mit Synology geht es tatsächlich nur über Commandline etc.
unbenannt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Ghent74
LÖSUNG 07.04.2021 um 11:00 Uhr
Synology liefert in der .ovpn das Zertifikat am Ende der Datei mit:
<ca>
-----BEGIN CERTIFICATE
bla bla bla==
-----END CERTIFICATE

</ca>
Bitte warten ..
Mitglied: Mazenauer
07.04.2021 um 11:03 Uhr
Okay das ist mir auch aufgefallen. Also dürfte theoretisch ohne diesen Teil im OVPN keine Verbindung möglich sein? Das wäre mindestens eine kleine Sicherheit.
Bitte warten ..
Mitglied: Mazenauer
07.04.2021 um 11:07 Uhr
Ah ja tatsächlich. Lösche ich den Teil aus dem File is nix mit connect. Dann ist ja durchaus eine gewisse Sicherheit gegeben. Vielen Dank!
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 16 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 22 StundenFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...