Open VPN Zertifikat auf 2 verschieden Diskstations nutzbar

[7ynolge]

Hallo,

ich bin ein wenig irritiert.

Folgende Ausgangslage: ich habe open VPN auf einem Ipad/Iphone installiert sowie auf einer Diskstation den VPN Server richtig konfiguriert.

Das Zertifikat habe ich dann exportiert und mit meiner DDNS versehen. Danach habe ich über itunes den import auf mein Ipad und Iphone gemacht.

Im Router dann den Port 1194 geöffnet, und alles läuft wie es soll. Voller Zugriff auf alle Geraete/Dateien im eigene Netzwerk.

Das man anscheinend auf verschiedenen devices das selbe Zertifikat nutzen kann hat mich zwar gewundert, aber nicht weiter gestört.

Was mich allerdings erschreckt, ist das ich nach der Migration meiner Festplatten auf eine andere neue Synology nun mit oben genanntem Zertifikat (von der alten Synology) weiterhin problemlos auf die neue Synology von extern zugreifen kann.

Ich ging davon aus, das die MAC Adresse gecheckt wird und somit der Zugriff verweigert wird??

Die einzige Vermutung die ich habe, ist dass ich die Zugriffsrechte durch das übertragen der Konfigurationsdatei von alter Synology zur neuen Synology habe.

Ist das alles richtig so, oder übersehe ich ein Sicherheitsrisiko??

Danke vielmals für Eure Rückinfos...

 

[Frogman]

Ein Zugriffszertifikat ist auf der Client-Seite in der Regel nicht an Hardware gebunden - und auch nicht auf der Serverseite. Solche Sachen kommen erst jetzt langsam in Mode (bspw. in solchen Standards wie EAC (Extended Access Control), wo es server- und clientseitig Authentifikationsprotokolle auf Basis von Hardware-Schlüsseln gibt). Daher heißt es gerade auf der Client-Seite: immer schön 'drauf aufpassen - und falls es wegkommt, das Serverzertifikat wegschmeissen.

 

[7ynolge]

Danke für die rasche Antwort, bedeutet wenn ich die die ddns adresse kenne kann ich für jede Synology das gleiche Zertifikat verwenden???

Der Gedanke macht mir Angst.

Was genau meinst du mit wegschmeissen? Ich bin ja in der Lage dieses Zertifikat auf andere Geräte zu nutzen.

Wie kann ich auf der Diskstation das Zertifikat ändern, so dass dieses unbrauchbar wird? Mir ist das nicht ganz klar.

 

[Frogman]

Damit meine ich, dass Du Dir dann einen neuen Schlüssel und damit neue Zertifkate erstellst und die dann einspielst - damit verliert das alte Zertifikat seine Gültigkeit. Es hängt also nicht an dem DDNS-Namen, sondern nur an den kryptogrfischen Schlüsseldateien.

 

[7ynolge]

Ok, dann anders gefragt: Woher kennt meine neue Diskstation den Schlüssel der alten Diskstation??

 

[jahlives]

die Diskstation muss den Schlüssel nicht kennen. Sie vertraut dem ca.crt resp ca.key. Wenn also ein Client mit einem Zertifikat kommt, das vom bekannten ca.key signiert wurde, dann wird das Zertifikat des Clients akzeptiert.

 

[7ynolge]

ok, wenn sie den Schlüssel nicht kennen muss, dann komme ich wieder auf die ganz oben schon gestellte Frage.

bedeutet wenn ich die die ddns adresse kenne kann ich für jede Synology das gleiche Zertifikat verwenden???

...das kann doch nicht sein??

 

[jahlives]

du kannst das Zertifikat für den OVPN von jeder DS verwenden, die dasselbe ca.crt resp ca.key hat

 

[7ynolge]

vielleicht stehe ich auf dem Schlauch, oder drücke mich falsch aus. Sorry dafür, wenn dem so ist.

Nochmal: ich habe von meiner 212j die ovpn.zip exportiert und daraus das Zertifikat erstellt! Exakt dieses in mein iphone geladene Zertifikat nutze ich um jetzt auf meine 713+ zu kommen. Würde ja bedeuten die haben beide das gleiche ca.??

 

[jahlives]

ja das würde auch für mich heissen die haben dasselbe ca hinterlegt. Hast du ja vielleicht mal importiert? Wenn du von aussen zugreifst, dann landest du aber immer auf derselben DS (jene welche die Portweiterleitung abbekommt). Von dort gehst du dann weiter auf deine zweite DS?

 

[7ynolge]

ne, es gibt nur noch eine Diskstation im Netz. Verstanden wenn ich das alte von der 212j in die 713+ importiert habe, was ich oben ja geschrieben habe, dann ist das so.

Jetzt haben wir also alle meine Fragen beantwortet.

Das bedeutet jede DS hat ein eigenes Zertifikat. Wenn man es von einer anderen DS nimmt, dann kann man es auf jede weitere kopieren, richtig??

Letzte Frage, kann ich denn nun das überschriebene in der 713+ löschen und ein ganz neues von der DS erstellen lassen?

 

[7ynolge]

Letzte Frage, kann ich denn nun das überschriebene in der 713+ löschen und ein ganz neues von der DS erstellen lassen?

Wo kann ich mir die gültigen Zertifikate auf der DS anzeigen lassen?

Kann mir das noch jemand beantworten?

Vielen Dank