HowTo: openvpn mit persönlichen Client Zertifikaten, Static Key und Authentifizierung

[jahlives]

der static key ist wie eine zusätzliche Schicht über dem Cert Login des Clients d.h. ohne static key kommt der Client niemals bis dorthin wo die Clientcerts geprüft würden. In diesem Fall ist es nicht Static Key oder Client Key, sondern static Key UND Client Key. Der Static Key dient dazu Pakete mit einer Signatur zu versehen. Nur wenn diese Signatur passt nimmt der ovpn Server die Pakete überhaupt an.
Und was meinst du mit xca?

 

[stargate2k]

Hi,

danke erstmal für deine Antwort.
Mit XCA meine ich das Tool im ersten Post mit dem man die Schlüssel und Zertis generieren kann http://wiki.openvpn.eu/index.php/Schlüsselverwaltung_mit_XCA XCA wird als alterntive zu easy-rsa empfohlen..

Also laut Wiki bietet openvpn 2 Authentifizierungsverfahren.. Pre-shared Key und Zertifikatbasiert.. und hier werden dann also beide Verfahren verwendet ? Weil auf Wikipedia steht http://de.wikipedia.org/wiki/OpenVPN#Authentifizierung das beim Zertibasierten Auth der Client mit dem öffentlichen Schlüssel des Servers das „pre-master secret" verschlüsselt. Der öffentlich Schlüssel des Servers ist im Zertifikat des Servers enthalten oder ?

mfg stargate

 

[jahlives]

http://openvpn.net/index.php/open-source/documentation/howto.html#security
Grundsätzlich gilt bei PublicKey Verfahren: der private Key wird verwendet um sich zu authentifizieren und der public Key wenn verschlüsselt werden soll. Wenn also der client sich gegenüber dem Server authentifizieren muss, dann "verschlüsselt" der Client - vereinfacht gesagt - eine dem Server bekannte Zeichenfolge mit dem seinem private Key und schickt sie an den Server. Wenn dann der Server diese Zeichenkette erfolgreich mit dem public Key des Clients entschlüsseln kann, dann weiss er, dass der Client Zugriff auf den erwarteten private Key haben muss und er gilt als authentifiziert. Dabei ist wichtig: der Inhalt des private Keys wird NIEMALS übertragen.
Ich weiss die Trennung zwischen Zertifikat und Key ist nicht ganz immer eindeutig, aber grundsätzlich kann man sagen ein Zertifikat ist der öffentliche Schlüssel und ein Key der zugehörige private Schlüssel

 

[stargate2k]

Hi,

also ich hab jetzt openvpn auch mal auf meiner syno eingerichtet, aber irgendwie ist es grottenlangsam bei mir.. der Seitenaufbau von z.b spiegel.de dauert ca 30-40sec. weiß einer woran das liegen könnte ? ich habe eigentlich alles so gemacht wie im ersten post beschrieben.. außer dass ich 2048bit keys und ein 2048bit ta.key file erstellt habe.. liegt es vll da dran ? sollte ich vll dann ein 2048bit dh2048.pem erstellen ? wenn ja muss man dann noch was in den configs ändern ? bisher verwende ich noch die dh1024.pem die bei der syno dabei war.
Ich baue die Verbindung über mein iPad auf.

mfg stargate

 

[DrHasen]

Hallo,

ich muss leider diesen alten Beitrag noch mal aktivieren.

Leider komme ich mit der erzeugen eines Open VPN Tunnels zwischen meiner DS713+ und einem iPhone/IPad (iOS 7) nicht weiter.

Nach der Anleitung un Post #1 habe ich:

- mit xca Zertifikate erstellt (Server und Client .p12 Datein, eine ca.crt)
- mit Post #5 eine ta.key und eine dh1024.pem

was mir noch fehlt sind :

- server.crt und server.key Datein.
- client.key und .crt sind auch nicht vorhanden

Wo bekomme ich sie denn her? Xca kann diese Formate nicht erzeugen.

Unter /usr/syno/etc/packages/VPNCenter/openvpn/keys/ waren ursprünglich nur:

ca.crt
server.crt
server.key

Nach Post #5 noch zusätzlich

ta.key
dh1024.pem


Oder kann ich einfach anstelle der .key und .crt Datein die .p12/pem Datein verwenden? Müssen die in server.pem (oder. cer) und client.p12 umbenannt werden?

Ich habe auf der DS DSM 4.3 laufen und nutze das OpenVPN Paket von Synology.

VG Hagen

 

[fpo4711]

Hier ist das entsprechend beschrieben.

Gruß Frank

 

[klarglas789]

Hallo,

ich habe mein VPN nach der Anleitung eingerichtet, also inklusive Server-, Client-Zertifikaten und TLS Authentifizierung. Da in den letzten Tagen der Heartbleed Bug öffentlich wurde frage ich wie es um die Sicherheit der Verbindung steht. In einem Beitrag hier wird ja bereits diskutiert über die Problematik in Verbindung mit https und sftp usw.
So wie es scheint ist OpvenVPN grundsätzlich aus betroffen, wie sieht es aber genau in der hier beschriebenen config aus, da ja zusätzlich TLS aktiv war?
Sollte der Server nicht nur von einen Client angreifbar sein mit gültigen TLS Zertifikat?

Danke

Gruß Markus

 

[jahlives]

Sollte der Server nicht nur von einen Client angreifbar sein mit gültigen TLS Zertifikat?

nur die Verwendung eines ta.key hat vor Heartbleed geschützt. Der Client Key konnte nicht schützen, weil der Heartbeat möglich ist bevor das Client Zertifikat übermittelt wurde

 

[klarglas789]

Ok danke, dann sollte es ja alles noch sicher sein, da ich genau die Konfig (mit ta.key) aus dem ersten Beitrag hier verwendet habe.

 

[klarglas789]

Hat diese Anleitung hier schon mal jemand mit DSM 5 verwendet ?

Ich habe das Problem das ich leider meinen VPN Server (1.2-2414) nicht mehr zum laufen bekomme, nach dem Update von 4.3 auf 5. Anscheinend kopiert der VPN Server bei jedem Start die Zertifikate und Keys aus dem Ordner /usr/syno/etc/ssl/ und überschreibt meine eigenen Zertifikate die ich unter /usr/syno/etc/packages/VPNCenter/openvpn/keys/ bzw. /volume1/@appstore/VPNCenter/etc/openvpn/keys/ ablege. Auch der Tausch aller Zertifikate und Keys unter /usr/syno/etc/ssl/ brachte keinen Erfolg.
Was hat Synology unter der Haube noch alles geändert?

Gruß Markus

 

[DRIV3R]

Zum offensichtlich fehlerhaften VPNCenter 1.2-2414 gibt es hier einen Thread.
Da scheint Synology ordentlich was mit den Zertifikaten verdreht zu haben.
Schau mal HIER

P.S. Synology hat schon zwei Support Tickets von mit zum Thema VPNCenter 2414 mit eigenen Zertifikaten. Keine Antwort bis heute. Vielleicht versuchst du es auch mal mit nem Ticket.

 

[cj182]

In DSM: Würdet ihr davon abraten, die eingebaute Funktion für die Zertifikat Generierung zu nutzen ("Konfigurationsdatei exportieren")?
Dabei wird ein Server Zertifikat und keine Client Zertifikate erzeugt. Die VPN Verbindung wird dann ohne Client Zertifikate aufgebaut.
Da ich noch recht neu auf dem Gebiet bin, bitte reingrätschen und korrigieren wenn ich was falsch verstanden habe ?Danke

DS920+
DSM 9

 

[Puppetmaster]

DS920+
DSM 9

Cool! In anderen Threads hier gehen die Nerds noch bei DSM7 Beta steil. Da bist du eindeutig schon weiter.

 

[the other]

Moinsen,
allgemein würde ich davon abraten, den VPN Server auf dem Fileserver zu betreiben...
Auch mit DSM 9