Logwarnungen nach VPN-Server Update

[Puppetmaster]

Hi zusammen!

Nachdem ich eben dann auch meine 4.2 Beta mal auf die letzte VPN-Server Version geupdatet habe, hatte ich folgende Meldungen im Log:

Apr 11 18:51:53 openvpn[13884]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Apr 11 18:51:53 openvpn[13884]: WARNING: file '/var/packages/VPNCenter/target/etc/openvpn/keys/server.key' is group or others accessible
Apr 11 18:51:53 openvpn[13884]: WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate

Soll mich das jetzt beunruhigen? Bzw. ist das normal?

 

[jahlives]

die NOTE kenn ich von meinen Servern ist recht normal Die ersten WARNING darf nicht sein. Der key ist der pirvate Teil des public Key und sollte nie Leserechte für irgenjemanden ausser dem Eigentümer haben. Die letzte WARNING sollte nicht sein wenn du für jeden Client auch ein Zeritfikat hast. Hast du denn auf deinem Client ein client.crt und einen client.key, welche für die OVPN Verbindung zum Server verwendet werden?

 

[Puppetmaster]

Die ersten WARNING darf nicht sein. Der key ist der pirvate Teil des public Key und sollte nie Leserechte für irgenjemanden ausser dem Eigentümer haben.

So in etwa hatte ich mir das auch schon gedacht. Aber wie kann das sein? Die Rechte habe ich nie selbst angefasst?!

Die letzte WARNING sollte nicht sein wenn du für jeden Client auch ein Zeritfikat hast. Hast du denn auf deinem Client ein client.crt und einen client.key, welche für die OVPN Verbindung zum Server verwendet werden?

Habe mich erst gestern einmal an das Thema Open-VPN herangetastet. Vorher hatte ich ausschließlich PPTP genutzt.
Meine Versuche gestern beschränkten sich auch auf Open-VPN vom Android Smartphone aus. Zertifikate habe ich (noch) keine, da mir noch absolut nicht klar ist, ob das notwendig und wenn ja, wie man das anstellt eines in die Smartphone App zu bringen (bzw. wie ich das generiere).

Was ich nicht verstehe: wieso meckert die DS jetzt ein Client-Zertifikat an? Bei Installation des Serverupdates? Verbunden habe ich mich doch gar nicht per VPN...

 

[joku]

Hallo, ich hatte mal was gelesen, nur wo ?
Schau mal nach den Rechten
/usr/syno/etc/packages/VPNCenter/openvpn/keys
-rw------- 1 root root 1204 Oct 10 2012 ca.crt
-rw------- 1 root root 891 Oct 10 2012 ca.key
-rw------- 1 root root 17 Oct 10 2012 ca.srl
-rw------- 1 root root 1184 Oct 10 2012 server.crt
-rw------- 1 root root 741 Oct 10 2012 server.csr
-rw------- 1 root root 916 Oct 10 2012 server.key

Gruß Jo

 

[Puppetmaster]

Schau mal nach den Rechten
/usr/syno/etc/packages/VPNCenter/openvpn/keys

Hm, sieht bei mir so aus:

-r-------- 1 root root 1204 Jan 26 22:40 ca.crt
-r-------- 1 root root 891 Jan 26 22:40 ca.key
-rw-rw-rw- 1 root root 17 Jan 26 22:40 ca.srl
-rw-rw-rw- 1 root root 1184 Jan 26 22:40 server.crt
-rw-rw-rw- 1 root root 741 Jan 26 22:40 server.csr
-rw-rw-rw- 1 root root 916 Jan 26 22:40 server.key

Wie kann das sein??

 

[joku]

Wie kann das sein??

Das wird an dem SPK Packer liegen.
600 ist das beste, also nur -rw-------
Das Verzeichniss bei Dir hat zwar nur lesen.
Ändere es und es ist Ruhe im Log

Gruß Jo

 

[Puppetmaster]

Das wird an dem SPK Packer liegen.

Synology??

Dann müßte es bei dir doch auch so aussehen...
Na, werde die Rechte morgen mal ändern. Danke euch beiden erstmal! Für heute ist bei mir Schluss...

 

[joku]

Synology??

Wer sonst

Dann müßte es bei dir doch auch so aussehen...

So war es
bei einer ist es noch -rw-r--r-- , da ist aber noch 4.0 und VPN Server 1.1-2256 drauf.

Gruß Jo

 

[Puppetmaster]

So, die Rechte der Dateien habe ich jetzt mit einem chmod 600 entsprechend korrigiert. Trotzdem seltsam, dass Synology ein Paket mit derartigen "Lücken" schnürt.
Aber immerhin bleibt die Warnung im Log jetzt aus.

Diese ganze Zertifikatsgeschichte bei openvpn ist mir allerdings auch noch nicht klar. Bei Aktivieren von openvpn im DSM wird ja eine Konfig-Datei erzeugt, die man speichern kann. In dem .zip-File ist auch eine Datei 'ca.crt', mit der ich aber unter Android nicht wirklich etwas anzufangen weiß. Wozu benötige ich die?
OpenVPN funktioniert vom Smartphone aus, sobald ich die config-Datei importiert habe. Darin steht aber nichts wirklich interessantes ausser IP etc. Also läuft OpenVPN so bei mir erstmal ohne Zertifikat.

Frage: ist das sinnvoll? Bzw. macht das dann überhaupt Sinn? Oder kann ich dann auch PPTP verwenden...?

 

[jahlives]

also ich betreibe meine VPNs nur mit Key/Certs pro Client. Allerdings weiss ich ned ob das mit der Syno-Version von OVPN überhaupt auch geht. Mit derjenigen von ipkg (so wie im Wiki beschrieben) geht's aber problemlos mit Zertifikaten/Keys pro Client

 

[Puppetmaster]

Allerdings weiss ich ned ob das mit der Syno-Version von OVPN überhaupt auch geht.

Ja, ok. Das bzgl. der IPKG-Variante hatte ich auch mal gelesen. Ich war jetzt davon ausgegangen, dass die im DSM implementierte OpenVPN Lösung ähnlich (genauso) funktioniert wie die IPKG Variante.
Im DSM selbst kann ich da auch weiter gar nichts einstellen/konfigurieren bzgl. Sicherheit und Authentifizierung.
Da stellt sich mir dann die Frage, was bringt mir 'diese' OpenVPN Variante in Bezug auf PPTP? Offenbar gar nichts...

 

[goetz]

Hallo,

Darin steht aber nichts wirklich interessantes ausser IP etc.

oh doch,
ca ca.crt
das ist der Verweis auf das Zertifikat.

Gruß Götz

 

[Puppetmaster]

oh doch,
ca ca.crt
das ist der Verweis auf das Zertifikat.

Ja, ok. Aber was bringt das jetzt genau bei OpenVPN vom Smartphone aus? Da konnte ich mit ca.crt bisher nichts reissen. Ich weiß nicht wirklich, was ich damit tun soll.

 

[jahlives]

das ca.crt bringt dir in Bezug auf Client Zertifikate überhaupt nichts Das dient dem Client nur dazu dass er kontrollieren kann von wem das Cert des Servers signiert wurde. Das ist aber kein Certifikatslogin

 

[Puppetmaster]

Dann verstehe ich das ganze Prozedere nicht. Das Handbuch und die Hilfe schweigt sich dazu ja auch mal wieder aus.
Es wird nicht wirklich erklärt, was ich da genau exportiere, wenn ich die DSM-Variante des openVPN aktiviere. Ja, ok, eine config-Datei, die die Einstellungen für den Client enthält. Aber die ca.crt?
Das ist verwirrend. Ich habe zwar hinterher genauso Zugriff auf meine DS wie es auch mit PPTP geht, aber habe ich dadurch was gewonnen? Hm...

Ich guck mir wohl nochmal die IPKG Variante im Wiki an. Vielleicht bringt das ja ein bißchen Licht ins Dunkel.

Danke!

 

[joku]

Ich dachte immer, das die Zertifikate der Verschlüsselung dienen
Deutsches OpenVPN Howto

Gruß Jo

 

[Puppetmaster]

Ich dachte immer, das die Zertifikate der Verschlüsselung dienen

Ist die Verschlüsselung nicht erstmal unabhängig bereits durch SSL/SSH sichergestellt?
Das Zertifikat dient doch letztlich 'nur' der Legitimation.
https ist ja auch verschlüsselt, selbst wenn du kein Zertifikat hast.

 

[joku]

Das Zertifikat dient doch letztlich 'nur' der Legitimation.

Mit dem Zertifikat erfogt eine Authentisierung, mit der Du berechtigt bist Dich am Server anzumelden.
Ok falsch Ausgedrückt

Gruß Jo

 

[jahlives]

Mit dem Zertifikat erfogt eine Authentisierung, mit der Du berechtigt bist Dich am Server anzumelden.
Ok falsch Ausgedrückt

Gruß Jo

ne genau anders rum ;-) Mit einem key (private Key) erfolgt die auth und mit einem Cert (public Key) wird verschlüsselt

 

[joku]

mit einem Cert (public Key) wird verschlüsselt

Also doch
danke

Gruß Jo