HowTo: openvpn mit persönlichen Client Zertifikaten, Static Key und Authentifizierung

[jahlives]

schau mal in unser Wiki zum Thema. von ipkg gibt es auch openvpn, welches in einigen Belangen flexibler ist, als die Lösung von Synology

 

[gobbli]

uber das ipkg openvpn Paket musste es funktionieren.

 

[soerenwagneremden]

uber das ipkg openvpn Paket musste es funktionieren.

Wirst du es ausprobieren?

 

[gobbli]

Wirst du es ausprobieren?

Hab ich gerade mal gemacht. Funktioniert wunderbar. Sobald ist z.B. "http://fritz.box" eingebe, wird ein VPN Tunnel aufgebaut.
Für eine Anleitung hab ich aber gerade keine Zeit, sorry.

Als Tipp, ich habe alle Konfigurationen und Keys, welche ich mit der oben aufgeführtne Anleitung erstellt habe, gespeichert. Danach habe ich den VPN Server von Synology deinstalliert und mittels ipkg den openvpn installiert. Danach habe ich die Config und keys aus /usr/syno/etc/packages/VPNCenter/ nach /opt/etc/openvpn kopiert und die openvpn.conf angepasst.

Zur Erstellung des iPhone Profile bin ich deinem Link gefolgt und habe es genau so gemacht. Die persönlichen Zertifikate in einem pkcs12 gespeichert und mit in das Profil eingebunden. Wichtig ist das der ca.key und ta.key keinen Zeilensprung am Ende der Zeile haben sondern der Zeilensprung durch "\n" ersetzt wird.


Viel Erfolg ;-)

-Gobbli-

 

[soerenwagneremden]

Nice! Das sind gute Nachrichten. Danke fürs Testen!

Dann werde ich mich wohl mal durchkämpfen - falls ich es hinbekomme werde ich ne Step-by-Step Doku machen.

 

[drever]

Also ich habe alle zertifkate, keys und dh1024.pem mittels easy-rsa gemacht und es funktioniert bestens. auch ohne Static key.

Habe zuerst die zertifikate, etc. nach dieser anleitung gemacht: [url]http://www.dennisvanleur.nl/kb/index.php?option=com_content&view=article&id=212:create-openvpn-with-certificates&catid=239fsense&Itemid=11, [/URL]

und danach über putty ins verzeichnis: /var/packages/VPNCenter/target/etc/openvpn/keys reingeschreiben (die alten darin überschrieben)
(wichtig ist den richtigen ordner zu wählen, habs zuerst in den user/syno/... reingeschrieben und das hat nichts gebracht)

und die openvpn.conf mittels vi (http://www.linux-fuer-alle.de/doc_show.php?docid=29) bearbeitet, also nur den eintrag: #client-cert-not-required "rausgenommen".

den client wie im ersten posting beschrieben adabtiert.

und es hat funktioniert und das mit dem synology vpn client, ohne ipgk nachinstallation.

den einzigen key den ich am synology gemacht habe war der ta.key wie oben mittels: openvpn --genkey --secret ta.key

 

[soerenwagneremden]

und es hat funktioniert und das mit dem synology vpn client, ohne ipgk nachinstallation.

Das ist ja genial. Also Dein iPhone stellt jetzt on demand die Verbindung per VPN her?

Hast Du vielleicht Lust dazu ne ausführliche Doku zu machen fürs Forum und fürs Wiki?! - Wenn ich es zum laufen bekommen würde, würde ich das übernehmen. War bisher leider nicht erfolgreich.

 

[drever]

Soweit bin ich noch nicht. Habs mit dem Wondows client probiert und alles ist gut gegangen. Was in der ersten Anleitung fehlt ist die Modifikation der server.conf im selben ordner, da muss man den ta.key auch eintragen:

# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth ta.key 0 # This file is secret

bei der fett markierten Zeile muss man den ";" davor weggeben.

 

[soerenwagneremden]

Soweit bin ich noch nicht.

ahh ok, weil das "geht nicht" von gobbli bezog sich ja auf VPN on demand mit dem iphone. Das scheint also wirklich nur über das ipkg-Paket zu gehen. Es sei denn Du beweist uns das Gegenteil Das wäre natürlich fein.

LG

 

[honu]

genau, bei der Nachinstallation des ipkg-Pakets ging es nur um die VPN on demand Einrichtung. Wenn es "nur" um Windows/Mac/iOS/Android (usw) clients geht, dann braucht man das ipkg Paket nicht. Die Anleitung hierfür hat gobbli ja im ersten Post dieses Threads gegeben.

Viele Grüße

 

[gobbli]

Das ist ja genial. Also Dein iPhone stellt jetzt on demand die Verbindung per VPN her?

Hast Du vielleicht Lust dazu ne ausführliche Doku zu machen fürs Forum und fürs Wiki?! - Wenn ich es zum laufen bekommen würde, würde ich das übernehmen. War bisher leider nicht erfolgreich.

Hallo soerenwagneremden,

das geht nur mit der ipkg Installation. Bei der Einrichtung auf dem iOS Devices sind auch ein paar Sachen zu beachten. Links sind ein paar Postings vorher zu entnehmen. Da ich zur Zeit leider beruflich ziemlich beschäftigt bin, habe ich leider keine Zeit für HowTos. Das Synology Packet würde ich nicht mehr nehmen, da es hier ein paar Sicherheitsprobleme gibt.

Gruß und einen schönen Sonntag,

Gobbli

 

[gobbli]

Soweit bin ich noch nicht. Habs mit dem Wondows client probiert und alles ist gut gegangen. Was in der ersten Anleitung fehlt ist die Modifikation der server.conf im selben ordner, da muss man den ta.key auch eintragen:


bei der fett markierten Zeile muss man den ";" davor weggeben.

Hallo Drever,

der ta.key wird doch in der Anleitung auf der ersten Seite mit aufgeführt, oder?

tls-auth /var/packages/VPNCenter/target/etc/openvpn/keys/ta.key 0

 

[drever]

ja sorry ich weiss!, werd auch nicht mehr posten!

Danke für die Anleitung hat mir sehr geholfen!

 

[gobbli]

ja sorry ich weiss!, werd auch nicht mehr posten!

Sorry falls es falsch rüber gekommen ist. Habe ich nicht böse gemeint. Streiche einfach das Wort "oder?".

Gruß Gobbli

 

[Hessi30]

Danach die generierten Zertifikate von Synology gegen eure Zertifikate im Verzeichnis /usr/syno/etc/packages/VPNCenter/openvpn/keys/ austauschen.

Anschliessend die folgende Konfiguration übernehmen und den Eintrag "PUSH Route" auf Euer Netzwerk anpssen und zum Schluss die Dateien openvpn.ovpn, ca.key, ta.key, client.crt, client.key über iTunes einspielen.
Zum Schluss nicht vergessen die Privilegien in openvpn dem entsprechenden User zuweisen.

Ich benötige ebenfalls einen kleinen Denkanstoss. Wie kann ich denn die Zertifikate austauschen? Ich steh da grad auf dem Schlauch.... Gibt es auch eine andere Möglichkeit wie die Dateien über itunes einzuspielen?

 

[soerenwagneremden]

Ich benötige ebenfalls einen kleinen Denkanstoss. Wie kann ich denn die Zertifikate austauschen? Ich steh da grad auf dem Schlauch....

Ich glaube hier würde uns allen eine von A-Z Doku helfen ---> Wer hat Lust und Zeit? ;-)

 

[honu]

Ich benötige ebenfalls einen kleinen Denkanstoss. Wie kann ich denn die Zertifikate austauschen? Ich steh da grad auf dem Schlauch.... Gibt es auch eine andere Möglichkeit wie die Dateien über itunes einzuspielen?

Hi!
Ja, die Dateien über iTunes einspielen. Wenn du dein iPhone/iPad an deinen Computer angeschlossen hast und iTunes geöffnet hast, dann musst du das Gerät in iTunes auswählen. Oben gibt es dann einen Reiter "Apps", wo du festlegen kannst, welche Apps synkronisiert werden. In der unteren Hälfte auf dieser Seite findest du dan sowas wie eine Möglichkeit zum Dateiaustausch für ausgwählte Prgramme. Hier kannst du dann deine Zertifikate für OpenVPN auswählen, so dass sie an der richtigen Stelle auf deinem iPhone/iPad landen.

 

[Hessi30]

Hi!
Ja, die Dateien über iTunes einspielen. Wenn du dein iPhone/iPad an deinen Computer angeschlossen hast und iTunes geöffnet hast, dann musst du das Gerät in iTunes auswählen. Oben gibt es dann einen Reiter "Apps", wo du festlegen kannst, welche Apps synkronisiert werden. In der unteren Hälfte auf dieser Seite findest du dan sowas wie eine Möglichkeit zum Dateiaustausch für ausgwählte Prgramme. Hier kannst du dann deine Zertifikate für OpenVPN auswählen, so dass sie an der richtigen Stelle auf deinem iPhone/iPad landen.

Ok das verstehe ich aber trotzdem müssen doch die erstellten Zertifikaten (also Server Zertifikat) auf dem Synology Server sein oder nicht?

 

[drever]

so jetzt muss ich mich doch noch einmal melden...

hab seit eben dsm 4.2 oben und da geht bei mir gar nichts mehr?
(habs zumindest am windows client alles am laufen gehabt)
hat jemand eine idee?

mein openvpn server/ die disksation wird seit dem update nicht mehr erreicht

EDIT: sorry war eigentlich nicht passend hier, aber nach dem 3x neu installieren ist es gegangen, irgend etwas hat nicht funktioniert mit dem update vom dsm 4.2 und der aktualisierung vom vpnserver

 

[stargate2k]

Hi,

ich habe mal ne generell Frage zu OpenVPN.. laut erstem Post, wird hier ja die Variante mit static Key beschrieben, ich dachte aber aufgrund der generierten Zertifikate, handelt es sich um die Zertifikatbasierte Anmeldung ? woran erkenne ich denn um welche Anmeldungsart es sich handelt, bzw wo wird das festgelegt ?
und generiert xca keine öffentlichen Schlüssel ? ich sehe da nur Private ?

mfg stargate