Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Allgemeine Fragen zu Openvpn

Mitglied: fundave3

fundave3 (Level 1) - Jetzt verbinden

10.01.2019, aktualisiert 21:24 Uhr, 330 Aufrufe, 5 Kommentare

Hallo zusammen,

allen ersteinmal ein gutes neues Jahr.
Ich hoffe ihr habt es gut begonnen.
Mir ist leider zu Beginn des Jahres mein Server in die Knie gegangen.
Das Backup war naja, nur noch fast nutzbar.
Daher bin ich derzeit bei der Openvpn Einrichtung.
Mir sind einige Dinge nicht ganz bekannt, daher frage ich.

ICh habe gelesen es gibt die HMAC Härtung. Dazu generiert man ein Key.

01.
openvpn --genkey --secret ta.key
Nur habe ich noch nicht ganz kapiert wozu ?

Das nächste wäre die CA.
Früher habe ich easy-rsa mitinstalliert und unter /usr/share/easy-rsa meine Tools für ( CA , DH u.s.w.)
Im internet finde ich nur noch Anleitungen , die das ganze manuell mit git selber machen.
Ist erstmal nicht mein Problem.
Erstelle ich mit der CA Userzertifikate , so bekomme ich immer den Parameter nopass mit zu gesicht.
Soweit ich weiß wird damit nicht der Private Key mit Passwort versehen. Ist das so korrekt ?
Mir ist noch nicht ganz klar, inwiefern das ein Problem bei Ovpn Clients ist. ?

Ich habe neue Zertifikate früher immer mit
01.
/usr/share/easy-rsa/build-key client 
erstellt.
Dort hatte ich nie solche Fragen.
Eventuell könnt ihr mir da helfen.

Dankeschön

VG

Christian
Mitglied: 129580
LÖSUNG 10.01.2019, aktualisiert um 21:58 Uhr
Guten Abend,

ICh habe gelesen es gibt die HMAC Härtung. Dazu generiert man ein Key.
Nur habe ich noch nicht ganz kapiert wozu ?

Ist eine optionale aber empfohlene Schutzfunktion um den OpenVPN Server zu härten. Verhindert unter anderem DoS Attacken.
Für mehr Details: https://community.openvpn.net/openvpn/wiki/Hardening

Früher habe ich easy-rsa mitinstalliert und unter /usr/share/easy-rsa meine Tools für ( CA , DH u.s.w.)
Im internet finde ich nur noch Anleitungen , die das ganze manuell mit git selber machen.

Easy-RSA gibt es immer noch. Je nach Distribution bzw. Paketmanager muss man diese separat installieren und/oder liegen in anderen Verzeichnissen.
Mit Git erstellt man keine Zertifikate

Die meisten Anleitungen basieren übrigens nach wie vor mit den Easy-RSA Skripten.
Der Hersteller von OpenVPN empfiehlt diese übrigens in seiner Dokumentation auch und beschreibt ebenso die Vorgehensweiße.

Erstelle ich mit der CA Userzertifikate , so bekomme ich immer den Parameter nopass mit zu gesicht.
Soweit ich weiß wird damit nicht der Private Key mit Passwort versehen. Ist das so korrekt ?

Hängt von diesem Tool ab was du verwendest. Da du uns das Tool nicht nennst, können wir das nicht exakt sagen.
In diesem Fall hilft dir dir Manual immer weiter. Dort werden die einzelnen Parameter genau beschrieben.

Edit: Oder bezieht sich das auf die Easy-RSA Skripte?

Mir ist noch nicht ganz klar, inwiefern das ein Problem bei Ovpn Clients ist. ?

Ist kein Problem. Allerdings wirst du schnell genervte Anwender haben, die sich wegen der mehrfachen Eingabe von Passwörtern für den VPN Tunnel beschweren. Lieber anständig 2 Faktor Auth implementieren, so wie es vom Hersteller empfohlen und beschrieben wird.

Viele Grüße,
Exception
Bitte warten ..
Mitglied: fundave3
13.01.2019 um 10:57 Uhr
Hi Expection,

Vielen Dank für deine Antwort.
Beim Thema HMAC hast du mir schon mal weitergeholfen.

Easy-RSA:

Ja , diverse Anleitungen beschreiben das manuelle herunterladen der Skripte und das damit verbundene erstellen von Clientzertifikaten.
Biser habe ich wie schon gesagt das ganze über apt nachinstalliert. DAs einzige ist was genervt hat , ich musste jedes mal, wenn ich ein neues Zertifikat erstellen wollte
01.
source ./vars
eingeben. Das ist beim jetzigen Stand nicht mehr der Fall.

Was mir noch nicht ganz klar wird, die CA die ich erstellt habe wird dann aber auch immer dafür genutzt oder ?

2 Faktor , ja das steht bei mir auch noch auf der Liste.

VG

Christian
Bitte warten ..
Mitglied: 129580
LÖSUNG 13.01.2019, aktualisiert um 11:20 Uhr
Easy-RSA:

Ja , diverse Anleitungen beschreiben das manuelle herunterladen der Skripte und das damit verbundene erstellen von Clientzertifikaten.
Biser habe ich wie schon gesagt das ganze über apt nachinstalliert. DAs einzige ist was genervt hat , ich musste jedes mal, wenn ich ein neues > Zertifikat erstellen wollte
01.
source ./vars
eingeben. Das ist beim jetzigen Stand nicht mehr der Fall.

Das ist auch heute noch der Fall. Das liegt daran, dass mit diesem Befehl ein Shell Script in der aktuellen Shell Session ausgeführt wird, statt in einer Subshell. Wie der Name "vars" schon verrät, befinden sich in dieser Datei zahlreiche Variablen, die dann beim Ausführen des Scripts für die aktuelle Shell Sitzung gesetzt werden. Auf dieses greift dann die Easy-RSA Skripte zurück, was den Vorteil hat, dass du Zertifikatangaben nicht mehr erneut manuell eingeben musst.

Im Prinzip brauchst du diesen Befehl nicht durchführen, wenn es für dich sehr störend ist. Aber dann musst du die ganzen Eingaben bei jedem einzelnen Zertifikat manuell eingeben. Insbesondere bei vielen Zertifikaten macht das auf dauer keinen Spaß

Was mir noch nicht ganz klar wird, die CA die ich erstellt habe wird dann aber auch immer dafür genutzt oder ?

Klar. Mit dieser werden die Zertifikate signiert. Auch kannst du damit eine CRL erstellen, die der OpenVPN Server prüft. Somit kannst du jederzeit einzelne Zertifikate widerrufen.
Bitte warten ..
Mitglied: fundave3
13.01.2019 um 11:47 Uhr
Ahhh ja.
Klar, jetzt verstehe ich was du meinst.
Da ich zwei Server im NEtz stehen habe , ( Web / Mail etc. ) wollte ich eine Externe CA nutzen und auf beiden Zertifikate importieren .
CRL kann ich dann auf der CA durchführen was es einfacher macht.

Vielen Dank.
Bitte warten ..
Mitglied: 129580
13.01.2019 um 12:05 Uhr
Da ich zwei Server im NEtz stehen habe , ( Web / Mail etc. ) wollte ich eine Externe CA nutzen und auf beiden Zertifikate importieren .

Öffentliche CAs stellen keine Zertifikate für interne DIenste aus. Aber selbst wenn das möglich wäre, wäre das eine sehr teuere Angelegenheit und unsinnig wäre das auch.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen

OpenVPN Zertifikat pro User oder Allgemein

gelöst Frage von geocastSicherheitsgrundlagen10 Kommentare

Hallo zusammen Da einige unserer Mitarbeiter zugang zum Netzlaufwerk haben wollen, wenn sie Mobil unterwegs sind, richte ich ihnen ...

Netzwerkgrundlagen

Subnetting allgemein

Frage von G4ruDANetzwerkgrundlagen5 Kommentare

Hallo zusammen ich verfolge das Forum bereits seit einiger Zeit und konnte mir hier so manche Lösungen für meine ...

Sicherheit

Allgemein VPN Fragen

gelöst Frage von Michel94Sicherheit3 Kommentare

Hallo, ich habe mich schon bei Google und auch hier in der Suche umgeschaut konnte aber nicht so richtig ...

Datenschutz

Handysuche zurückverfolgen Datenschutz allgemein

Frage von 129463Datenschutz6 Kommentare

Hi, ich habe vor ca. vier Jahren eine Suche per iPhone auf Google gemacht - diese Eingabe war leider ...

Neue Wissensbeiträge
Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 4 TagenWindows 101 Kommentar

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Off Topic
Computermuseum Stuttgart
Tipp von NixVerstehen vor 5 TagenOff Topic5 Kommentare

Hallo zusammen, letzte Woche habe ich mit meinem 16-jährigen Sohn das Computermuseum Stuttgart (Uni Stuttgart) besucht, um ihm und ...

Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 5 TagenWindows 105 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 5 TagenWindows 106 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Heiß diskutierte Inhalte
Windows 10
WLAN-Verbindung wird getrennt, wenn per RDP auf das System zugegriffen wird
Frage von LordGurkeWindows 1015 Kommentare

Hallo, ich habe hier eine eigentlich sehr einfache Konstellation, die aber nun plötzlich Probleme verursacht: Es gibt ein Notebook ...

LAN, WAN, Wireless
WLAN in Veranstaltungshalle
Frage von coltseaversLAN, WAN, Wireless13 Kommentare

Hallo zusammen, für eine Halle mit 1300 m² suche ich derzeit nach einer WLAN-Hotspot-Lösung für bis zu 500 User ...

Windows 10
Windows 10 Logonskript greift nicht
Frage von xbast1xWindows 1011 Kommentare

Hallo zusammen, da sich die per GPO gemappten Laufwerke bei allen Usern schließen und das Problem sich nicht lösen ...

LAN, WAN, Wireless
Timeout beim TLS-Handshake bei einer bestimmten wLAN-Verbindung
gelöst Frage von SarekHLLAN, WAN, Wireless10 Kommentare

Hallo zusammen, bei meinem neuen Netbook (Windows 10 x64 Pro 1903) habe ich ein kleines Problemchen. Bei einer bestimmten ...