OPEN VPN mit Lets Encrypt Zertifikat

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
1.371
Punkte für Reaktionen
114
Punkte
89
@Goetz... ja leider ist der Post noch im Nirvana. Hätte schon meine erstellten Beiträge durchgesehen. Da ist der nicht mehr dabei.
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
528
Punkte für Reaktionen
7
Punkte
38
Hi, überleben eure Änderungen ein update vom VPNserver? Oder müsst ihr danach wieder Hand anlegen?
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
94
Punkte
134
Generell sollen die Updates die Configs nicht antasten. Bei mir ist eig. auch so der Fall, dass alles "beim Alten" bleibt nach den Updates.
 

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
1.371
Punkte für Reaktionen
114
Punkte
89
Habe das einmal vor einem Jahr eingerichet und läuft seitdem inkl einiger Updates von dsm bzw. VpnServer.
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
528
Punkte für Reaktionen
7
Punkte
38
Hi,

so, habe mal auf meiner neuen DS918+ openVPN mit TLS Key erweitert, auf dem Droiden geht es zumindest erst mal.

Was mir aber gerade aufgefallen ist, es gibt ja zwei Verzeichnisse:
Rich (BBCode):
1. /var/packages/VPNCenter/target/etc/openvpn
und
2. /usr/syno/etc/packages/VPNCenter/openvpn

was genau ist der Unterschied???

in /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf haben ich meine Änderungen gemacht, unter 1. gibt es auch eine conf, aber die ist nicht gleich???

laut Prozess wird er wohl von 2. genährt
Rich (BBCode):
root     18343  0.0  0.1 109200  6196 ?        Ssl  20:47   0:00 /var/packages/VPNCenter/target/sbin/openvpn --daemon --cd /usr/syno/etc/packages/VPNCenter/openvpn --config openvp .conf --writepid /var/run/ovpn_server.pid

Aber wozu ist das unter 1. die conf Datei?

Keys komme ja von 1. aber der rest, etwas verwirrend was Sysnology da treibt, oder hat einer eine Erklärung?
 

stiffler17

Benutzer
Mitglied seit
31. Jul 2014
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Hallo Leute!

Ich wäre auch an einer Anleitung interessiert.

Nutzt hier jemand den Openvpn Server von Synology mit Zertifikaten für iOS on demand Verbindung?
Habe nämlich in älteren Threads von 2013 oder 2011 (ich glaub war noch dsm 4.X) gelesen das dies mit dem OpenVpn Server nicht möglich ist und stattdessen ein eigener Server installiert werden muss.

Gruß
Stefan
 

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
Hi

ich habe ein paar generelle Fragen zu openvpn mit Let's Encrypt-Zertifikat:
- Das LE-Zertifikat wird ja alle 3 Monate automatisch erneuert. Muss ich nun das neue Zertifikat jeweils auch an alle Clients verteilen? Theoretisch ja schon. Aber wie kann ich das automatisiert machen, v.a. auf ein Remote-NAS, welches nur zu Backup-Zeiten gestartet wird?
- Ist es generell sinnvoll ein LE-Zertifikat für das VPN zu verwenden? Oder nehme ich besser ein selbstsigniertes Zertifikat dafür, welches nicht alle 90 Tage neu verteilt werden muss?
 

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
1.371
Punkte für Reaktionen
114
Punkte
89
Hallo galdak!

Sieh dir sonst einfach mal die englische Anleitung verlinkt in diesem Thread / Post #18 an.

Ich würde kein Zertifikat von LE nehmen, welches alle 3 Monate abläuft.

Ich habe für mich im privaten Haushalt alles mit selbstsignierten Server- und Clientzertifikaten aufgesetzt. Da diese nur von meiner Frau und mir verwendet werden, habe ich die Laufzeit auf 10 Jahre gestellt. Sollte hier mal was abhanden kommen, würde ich from-the-scratch alles entfernen und komplett neue Zertifikate für Server/Client generieren und verteilen. Das ist mir lieber, als jedes Jahr wieder auszustellen ... :)
Wenn wir hier aber von mehr User und evt. Firma reden, ist es wohl doch best-Practice diese vielleicht nur für 1 Jahr auszustellen und ggf. diese dann zu erneuern und wieder zu verteilen.
 

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
@tproko
Danke für den Input. Da war ich doch schon mal, hab's aber nicht mehr wieder gefunden. ;)
Bei mir geht's auch um Privathaushalt, aber v.a. für das Backup an einen entfernten Standort. Daher die VPN-Verbindung um möglichst keine Ports öffnen zu müssen.


Ich habe bei meinem LE-Zertifikat nochmals nachgeschaut. Das exportierte Zertifikat von LE ist nicht nur 90 Tage, sondern bei mir bis (aktuell) 2021 gültig. Das bedeutet, dass ich das Zertifikat wohl vorerst nicht alle 3 Monate erneuern müsste.
 

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
1.371
Punkte für Reaktionen
114
Punkte
89
Ok, dazu kann ich dann nichts sagen. Bei mir muss ich alle 90 Tage das LE-Zertifikat erneuern.

Wie gesagt, habe sämtliche Zertifikate selbst erzeugt inkl. geheimer Passphrase. Von daher spricht für mich da nichts dagegen, dass beim VPN Server auch so zu machen. Sehe eigentlich keinen Vorteil oder Nachteil für dich, egal welches Zertifikat du nimmst. Für mich war LE halt für den Zugriff von außen per HTTPS. Das wollte ich dann nicht wieder verwenden.
 

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
ich war eigentlich auch erstaunt, dass das exportierte LE-Zertifikat bis 2021 gültig ist. Bin nun mal gespannt, was passiert, sobald das nächste Mal das LE-Zert aktualisiert wird.
Wenn das VPN nach der nächsten Aktualisierung nicht mehr funktioniert, werde ich auch ein eigenes Zertifikat für VPN erstellen - wie du das gemacht hast.
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
528
Punkte für Reaktionen
7
Punkte
38
und galdak, musstest nach update des Zertifikats bei letsencrypt alles auf die Clients neu verteilen?
 

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
Nein, musste ich nicht. Telefon, Notebook und PC funktionieren weiterhin tiptop. Beim Remote-NAS musste ich's auch nicht neu verteilen - da habe ich aber aktuell andere Probleme.
Die sollten aber nichts mit dem LE Certificate zu tun haben. ;)
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.085
Punkte für Reaktionen
19
Punkte
104
Verwende das LW Zertifikat mit OpenVPN, Cloudstation und meiner Homepage seit einem Jahr ohne Probleme.
Neuverteilung war nie nötig...Erneuerung funktionierte auch immer sehr zuverlässig.
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
528
Punkte für Reaktionen
7
Punkte
38
Hi, weiß einer was sich geändert hat bei dem Let's Encrypt Zertifikat? Hatte gestern ein Zertifikatsupdate, heute geht OpenVPN GUI nicht mehr...

Softwarepacket auf der DS hat sich nicht geändert, hatte das auch einer von euch?
 

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
habe dasselbe Problem. Der Aussteller des Zertifikats hat sicherlich geändert.
was bei mir jedoch eher ausschlaggebend war: das Ablaufdatum des Zertifikats wurde erreicht. Weiss nicht genau, welches von beiden die effektive Ursache war.
 
Zuletzt bearbeitet von einem Moderator:

Tasso

Benutzer
Mitglied seit
23. Jun 2021
Beiträge
1
Punkte für Reaktionen
1
Punkte
1
Ich hatte da in den letzten Tagen auch Schwierigkeiten .. hab festgestellt, dass die bisherige LetsEncrypt-Zertifikatskette auf ein Zertifikat mit ...X3 zurückgeführt war - seit dem letzten Update war die Kette dann auf ...R3 zurückgeführt und das an meine Clients verteilte CA-Zertifikat hat damit nicht mehr gepasst.
Ich hab jetzt erst mal wieder auf self-signed mit etwas längerer Laufzeit umgebaut.
 
  • Like
Reaktionen: tproko

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
1.371
Punkte für Reaktionen
114
Punkte
89
Denke das macht im OpenVpn setup durchaus Sinn.
Mir ist es hier lieber, länger Ruhe zu haben, und da ich zusätzlich sowieso noch pro User (derzeit eh nur 2) client certs habe, lässt sich da ein einzelnes Cert bzw. User ggf. leicht blockieren wenn mal ein Gerät gestohlen wird.