HowTo: openvpn mit persönlichen Client Zertifikaten, Static Key und Authentifizierung

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
2
Punkte
0
der static key ist wie eine zusätzliche Schicht über dem Cert Login des Clients d.h. ohne static key kommt der Client niemals bis dorthin wo die Clientcerts geprüft würden. In diesem Fall ist es nicht Static Key oder Client Key, sondern static Key UND Client Key. Der Static Key dient dazu Pakete mit einer Signatur zu versehen. Nur wenn diese Signatur passt nimmt der ovpn Server die Pakete überhaupt an.
Und was meinst du mit xca?
 

stargate2k

Benutzer
Mitglied seit
13. Mrz 2012
Beiträge
299
Punkte für Reaktionen
0
Punkte
0
Hi,

danke erstmal für deine Antwort.
Mit XCA meine ich das Tool im ersten Post mit dem man die Schlüssel und Zertis generieren kann http://wiki.openvpn.eu/index.php/Schlüsselverwaltung_mit_XCA XCA wird als alterntive zu easy-rsa empfohlen..

Also laut Wiki bietet openvpn 2 Authentifizierungsverfahren.. Pre-shared Key und Zertifikatbasiert.. und hier werden dann also beide Verfahren verwendet ? Weil auf Wikipedia steht http://de.wikipedia.org/wiki/OpenVPN#Authentifizierung das beim Zertibasierten Auth der Client mit dem öffentlichen Schlüssel des Servers das „pre-master secret" verschlüsselt. Der öffentlich Schlüssel des Servers ist im Zertifikat des Servers enthalten oder ?

mfg stargate
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
2
Punkte
0
http://openvpn.net/index.php/open-source/documentation/howto.html#security
G
rundsätzlich gilt bei PublicKey Verfahren: der private Key wird verwendet um sich zu authentifizieren und der public Key wenn verschlüsselt werden soll. Wenn also der client sich gegenüber dem Server authentifizieren muss, dann "verschlüsselt" der Client - vereinfacht gesagt - eine dem Server bekannte Zeichenfolge mit dem seinem private Key und schickt sie an den Server. Wenn dann der Server diese Zeichenkette erfolgreich mit dem public Key des Clients entschlüsseln kann, dann weiss er, dass der Client Zugriff auf den erwarteten private Key haben muss und er gilt als authentifiziert. Dabei ist wichtig: der Inhalt des private Keys wird NIEMALS übertragen.
Ich weiss die Trennung zwischen Zertifikat und Key ist nicht ganz immer eindeutig, aber grundsätzlich kann man sagen ein Zertifikat ist der öffentliche Schlüssel und ein Key der zugehörige private Schlüssel
 

stargate2k

Benutzer
Mitglied seit
13. Mrz 2012
Beiträge
299
Punkte für Reaktionen
0
Punkte
0
Hi,

also ich hab jetzt openvpn auch mal auf meiner syno eingerichtet, aber irgendwie ist es grottenlangsam bei mir.. der Seitenaufbau von z.b spiegel.de dauert ca 30-40sec. weiß einer woran das liegen könnte ? ich habe eigentlich alles so gemacht wie im ersten post beschrieben.. außer dass ich 2048bit keys und ein 2048bit ta.key file erstellt habe.. liegt es vll da dran ? sollte ich vll dann ein 2048bit dh2048.pem erstellen ? wenn ja muss man dann noch was in den configs ändern ? bisher verwende ich noch die dh1024.pem die bei der syno dabei war.
Ich baue die Verbindung über mein iPad auf.

mfg stargate
 

DrHasen

Benutzer
Mitglied seit
23. Jun 2013
Beiträge
29
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich muss leider diesen alten Beitrag noch mal aktivieren.

Leider komme ich mit der erzeugen eines Open VPN Tunnels zwischen meiner DS713+ und einem iPhone/IPad (iOS 7) nicht weiter.

Nach der Anleitung un Post #1 habe ich:

- mit xca Zertifikate erstellt (Server und Client .p12 Datein, eine ca.crt)
- mit Post #5 eine ta.key und eine dh1024.pem

was mir noch fehlt sind :

- server.crt und server.key Datein.
- client.key und .crt sind auch nicht vorhanden

Wo bekomme ich sie denn her? Xca kann diese Formate nicht erzeugen.

Unter /usr/syno/etc/packages/VPNCenter/openvpn/keys/ waren ursprünglich nur:

ca.crt
server.crt
server.key

Nach Post #5 noch zusätzlich

ta.key
dh1024.pem


Oder kann ich einfach anstelle der .key und .crt Datein die .p12/pem Datein verwenden? Müssen die in server.pem (oder. cer) und client.p12 umbenannt werden?

Ich habe auf der DS DSM 4.3 laufen und nutze das OpenVPN Paket von Synology.

VG Hagen
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hier ist das entsprechend beschrieben.

Gruß Frank
 

klarglas789

Benutzer
Mitglied seit
08. Feb 2013
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe mein VPN nach der Anleitung eingerichtet, also inklusive Server-, Client-Zertifikaten und TLS Authentifizierung. Da in den letzten Tagen der Heartbleed Bug öffentlich wurde frage ich wie es um die Sicherheit der Verbindung steht. In einem Beitrag hier wird ja bereits diskutiert über die Problematik in Verbindung mit https und sftp usw.
So wie es scheint ist OpvenVPN grundsätzlich aus betroffen, wie sieht es aber genau in der hier beschriebenen config aus, da ja zusätzlich TLS aktiv war?
Sollte der Server nicht nur von einen Client angreifbar sein mit gültigen TLS Zertifikat?

Danke

Gruß Markus
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
2
Punkte
0
Sollte der Server nicht nur von einen Client angreifbar sein mit gültigen TLS Zertifikat?
nur die Verwendung eines ta.key hat vor Heartbleed geschützt. Der Client Key konnte nicht schützen, weil der Heartbeat möglich ist bevor das Client Zertifikat übermittelt wurde
 

klarglas789

Benutzer
Mitglied seit
08. Feb 2013
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Ok danke, dann sollte es ja alles noch sicher sein, da ich genau die Konfig (mit ta.key) aus dem ersten Beitrag hier verwendet habe. :)
 
Zuletzt bearbeitet:

klarglas789

Benutzer
Mitglied seit
08. Feb 2013
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Hat diese Anleitung hier schon mal jemand mit DSM 5 verwendet ?

Ich habe das Problem das ich leider meinen VPN Server (1.2-2414) nicht mehr zum laufen bekomme, nach dem Update von 4.3 auf 5. Anscheinend kopiert der VPN Server bei jedem Start die Zertifikate und Keys aus dem Ordner /usr/syno/etc/ssl/ und überschreibt meine eigenen Zertifikate die ich unter /usr/syno/etc/packages/VPNCenter/openvpn/keys/ bzw. /volume1/@appstore/VPNCenter/etc/openvpn/keys/ ablege. Auch der Tausch aller Zertifikate und Keys unter /usr/syno/etc/ssl/ brachte keinen Erfolg.
Was hat Synology unter der Haube noch alles geändert?

Gruß Markus
 
Zuletzt bearbeitet:

DRIV3R

Benutzer
Mitglied seit
05. Apr 2014
Beiträge
51
Punkte für Reaktionen
0
Punkte
0
Zum offensichtlich fehlerhaften VPNCenter 1.2-2414 gibt es hier einen Thread.
Da scheint Synology ordentlich was mit den Zertifikaten verdreht zu haben.
Schau mal HIER

P.S. Synology hat schon zwei Support Tickets von mit zum Thema VPNCenter 2414 mit eigenen Zertifikaten. Keine Antwort bis heute. Vielleicht versuchst du es auch mal mit nem Ticket.
 

cj182

Benutzer
Mitglied seit
30. Jan 2021
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
In DSM: Würdet ihr davon abraten, die eingebaute Funktion für die Zertifikat Generierung zu nutzen ("Konfigurationsdatei exportieren")?
Dabei wird ein Server Zertifikat und keine Client Zertifikate erzeugt. Die VPN Verbindung wird dann ohne Client Zertifikate aufgebaut.
Da ich noch recht neu auf dem Gebiet bin, bitte reingrätschen und korrigieren wenn ich was falsch verstanden habe 🙃Danke

DS920+
DSM 9
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.516
Punkte für Reaktionen
410
Punkte
459
  • Haha
Reaktionen: mayo007 und the other

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.780
Punkte für Reaktionen
441
Punkte
109
Moinsen,
allgemein würde ich davon abraten, den VPN Server auf dem Fileserver zu betreiben...
Auch mit DSM 9
;)