OPEN VPN mit Lets Encrypt Zertifikat
- Ersteller pitamerica
- Erstellt am
Hallo pitamerica,
Bücher und Hardware zum Thema gibt es bei Amazon: OPEN VPN mit Lets Encrypt Zertifikat
Bücher und Hardware zum Thema gibt es bei Amazon: OPEN VPN mit Lets Encrypt Zertifikat
Hi, überleben eure Änderungen ein update vom VPNserver? Oder müsst ihr danach wieder Hand anlegen?
Hi,
so, habe mal auf meiner neuen DS918+ openVPN mit TLS Key erweitert, auf dem Droiden geht es zumindest erst mal.
Was mir aber gerade aufgefallen ist, es gibt ja zwei Verzeichnisse:
was genau ist der Unterschied???
in /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf haben ich meine Änderungen gemacht, unter 1. gibt es auch eine conf, aber die ist nicht gleich???
laut Prozess wird er wohl von 2. genährt
Aber wozu ist das unter 1. die conf Datei?
Keys komme ja von 1. aber der rest, etwas verwirrend was Sysnology da treibt, oder hat einer eine Erklärung?
so, habe mal auf meiner neuen DS918+ openVPN mit TLS Key erweitert, auf dem Droiden geht es zumindest erst mal.
Was mir aber gerade aufgefallen ist, es gibt ja zwei Verzeichnisse:
Rich (BBCode):
1. /var/packages/VPNCenter/target/etc/openvpn
und
2. /usr/syno/etc/packages/VPNCenter/openvpnwas genau ist der Unterschied???
in /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf haben ich meine Änderungen gemacht, unter 1. gibt es auch eine conf, aber die ist nicht gleich???
laut Prozess wird er wohl von 2. genährt
Rich (BBCode):
root 18343 0.0 0.1 109200 6196 ? Ssl 20:47 0:00 /var/packages/VPNCenter/target/sbin/openvpn --daemon --cd /usr/syno/etc/packages/VPNCenter/openvpn --config openvp .conf --writepid /var/run/ovpn_server.pidAber wozu ist das unter 1. die conf Datei?
Keys komme ja von 1. aber der rest, etwas verwirrend was Sysnology da treibt, oder hat einer eine Erklärung?
Hallo Leute!
Ich wäre auch an einer Anleitung interessiert.
Nutzt hier jemand den Openvpn Server von Synology mit Zertifikaten für iOS on demand Verbindung?
Habe nämlich in älteren Threads von 2013 oder 2011 (ich glaub war noch dsm 4.X) gelesen das dies mit dem OpenVpn Server nicht möglich ist und stattdessen ein eigener Server installiert werden muss.
Gruß
Stefan
Ich wäre auch an einer Anleitung interessiert.
Nutzt hier jemand den Openvpn Server von Synology mit Zertifikaten für iOS on demand Verbindung?
Habe nämlich in älteren Threads von 2013 oder 2011 (ich glaub war noch dsm 4.X) gelesen das dies mit dem OpenVpn Server nicht möglich ist und stattdessen ein eigener Server installiert werden muss.
Gruß
Stefan
galdak
Benutzer
- Mitglied seit
- 06. Okt 2010
- Beiträge
- 107
- Punkte für Reaktionen
- 0
- Punkte
- 22
Hi
ich habe ein paar generelle Fragen zu openvpn mit Let's Encrypt-Zertifikat:
- Das LE-Zertifikat wird ja alle 3 Monate automatisch erneuert. Muss ich nun das neue Zertifikat jeweils auch an alle Clients verteilen? Theoretisch ja schon. Aber wie kann ich das automatisiert machen, v.a. auf ein Remote-NAS, welches nur zu Backup-Zeiten gestartet wird?
- Ist es generell sinnvoll ein LE-Zertifikat für das VPN zu verwenden? Oder nehme ich besser ein selbstsigniertes Zertifikat dafür, welches nicht alle 90 Tage neu verteilt werden muss?
ich habe ein paar generelle Fragen zu openvpn mit Let's Encrypt-Zertifikat:
- Das LE-Zertifikat wird ja alle 3 Monate automatisch erneuert. Muss ich nun das neue Zertifikat jeweils auch an alle Clients verteilen? Theoretisch ja schon. Aber wie kann ich das automatisiert machen, v.a. auf ein Remote-NAS, welches nur zu Backup-Zeiten gestartet wird?
- Ist es generell sinnvoll ein LE-Zertifikat für das VPN zu verwenden? Oder nehme ich besser ein selbstsigniertes Zertifikat dafür, welches nicht alle 90 Tage neu verteilt werden muss?
- Mitglied seit
- 11. Jun 2017
- Beiträge
- 2.117
- Punkte für Reaktionen
- 256
- Punkte
- 129
Hallo galdak!
Sieh dir sonst einfach mal die englische Anleitung verlinkt in diesem Thread / Post #18 an.
Ich würde kein Zertifikat von LE nehmen, welches alle 3 Monate abläuft.
Ich habe für mich im privaten Haushalt alles mit selbstsignierten Server- und Clientzertifikaten aufgesetzt. Da diese nur von meiner Frau und mir verwendet werden, habe ich die Laufzeit auf 10 Jahre gestellt. Sollte hier mal was abhanden kommen, würde ich from-the-scratch alles entfernen und komplett neue Zertifikate für Server/Client generieren und verteilen. Das ist mir lieber, als jedes Jahr wieder auszustellen ...
Wenn wir hier aber von mehr User und evt. Firma reden, ist es wohl doch best-Practice diese vielleicht nur für 1 Jahr auszustellen und ggf. diese dann zu erneuern und wieder zu verteilen.
Sieh dir sonst einfach mal die englische Anleitung verlinkt in diesem Thread / Post #18 an.
Ich würde kein Zertifikat von LE nehmen, welches alle 3 Monate abläuft.
Ich habe für mich im privaten Haushalt alles mit selbstsignierten Server- und Clientzertifikaten aufgesetzt. Da diese nur von meiner Frau und mir verwendet werden, habe ich die Laufzeit auf 10 Jahre gestellt. Sollte hier mal was abhanden kommen, würde ich from-the-scratch alles entfernen und komplett neue Zertifikate für Server/Client generieren und verteilen. Das ist mir lieber, als jedes Jahr wieder auszustellen ...
Wenn wir hier aber von mehr User und evt. Firma reden, ist es wohl doch best-Practice diese vielleicht nur für 1 Jahr auszustellen und ggf. diese dann zu erneuern und wieder zu verteilen.
galdak
Benutzer
- Mitglied seit
- 06. Okt 2010
- Beiträge
- 107
- Punkte für Reaktionen
- 0
- Punkte
- 22
@tproko
Danke für den Input. Da war ich doch schon mal, hab's aber nicht mehr wieder gefunden.
Bei mir geht's auch um Privathaushalt, aber v.a. für das Backup an einen entfernten Standort. Daher die VPN-Verbindung um möglichst keine Ports öffnen zu müssen.
Ich habe bei meinem LE-Zertifikat nochmals nachgeschaut. Das exportierte Zertifikat von LE ist nicht nur 90 Tage, sondern bei mir bis (aktuell) 2021 gültig. Das bedeutet, dass ich das Zertifikat wohl vorerst nicht alle 3 Monate erneuern müsste.
Danke für den Input. Da war ich doch schon mal, hab's aber nicht mehr wieder gefunden.
Bei mir geht's auch um Privathaushalt, aber v.a. für das Backup an einen entfernten Standort. Daher die VPN-Verbindung um möglichst keine Ports öffnen zu müssen.
Ich habe bei meinem LE-Zertifikat nochmals nachgeschaut. Das exportierte Zertifikat von LE ist nicht nur 90 Tage, sondern bei mir bis (aktuell) 2021 gültig. Das bedeutet, dass ich das Zertifikat wohl vorerst nicht alle 3 Monate erneuern müsste.
- Mitglied seit
- 11. Jun 2017
- Beiträge
- 2.117
- Punkte für Reaktionen
- 256
- Punkte
- 129
Ok, dazu kann ich dann nichts sagen. Bei mir muss ich alle 90 Tage das LE-Zertifikat erneuern.
Wie gesagt, habe sämtliche Zertifikate selbst erzeugt inkl. geheimer Passphrase. Von daher spricht für mich da nichts dagegen, dass beim VPN Server auch so zu machen. Sehe eigentlich keinen Vorteil oder Nachteil für dich, egal welches Zertifikat du nimmst. Für mich war LE halt für den Zugriff von außen per HTTPS. Das wollte ich dann nicht wieder verwenden.
Wie gesagt, habe sämtliche Zertifikate selbst erzeugt inkl. geheimer Passphrase. Von daher spricht für mich da nichts dagegen, dass beim VPN Server auch so zu machen. Sehe eigentlich keinen Vorteil oder Nachteil für dich, egal welches Zertifikat du nimmst. Für mich war LE halt für den Zugriff von außen per HTTPS. Das wollte ich dann nicht wieder verwenden.
galdak
Benutzer
- Mitglied seit
- 06. Okt 2010
- Beiträge
- 107
- Punkte für Reaktionen
- 0
- Punkte
- 22
ich war eigentlich auch erstaunt, dass das exportierte LE-Zertifikat bis 2021 gültig ist. Bin nun mal gespannt, was passiert, sobald das nächste Mal das LE-Zert aktualisiert wird.
Wenn das VPN nach der nächsten Aktualisierung nicht mehr funktioniert, werde ich auch ein eigenes Zertifikat für VPN erstellen - wie du das gemacht hast.
Wenn das VPN nach der nächsten Aktualisierung nicht mehr funktioniert, werde ich auch ein eigenes Zertifikat für VPN erstellen - wie du das gemacht hast.
und galdak, musstest nach update des Zertifikats bei letsencrypt alles auf die Clients neu verteilen?
galdak
Benutzer
- Mitglied seit
- 06. Okt 2010
- Beiträge
- 107
- Punkte für Reaktionen
- 0
- Punkte
- 22
Nein, musste ich nicht. Telefon, Notebook und PC funktionieren weiterhin tiptop. Beim Remote-NAS musste ich's auch nicht neu verteilen - da habe ich aber aktuell andere Probleme.
Die sollten aber nichts mit dem LE Certificate zu tun haben.
Die sollten aber nichts mit dem LE Certificate zu tun haben.
Hi, weiß einer was sich geändert hat bei dem Let's Encrypt Zertifikat? Hatte gestern ein Zertifikatsupdate, heute geht OpenVPN GUI nicht mehr...
Softwarepacket auf der DS hat sich nicht geändert, hatte das auch einer von euch?
Softwarepacket auf der DS hat sich nicht geändert, hatte das auch einer von euch?
galdak
Benutzer
- Mitglied seit
- 06. Okt 2010
- Beiträge
- 107
- Punkte für Reaktionen
- 0
- Punkte
- 22
habe dasselbe Problem. Der Aussteller des Zertifikats hat sicherlich geändert.
was bei mir jedoch eher ausschlaggebend war: das Ablaufdatum des Zertifikats wurde erreicht. Weiss nicht genau, welches von beiden die effektive Ursache war.
was bei mir jedoch eher ausschlaggebend war: das Ablaufdatum des Zertifikats wurde erreicht. Weiss nicht genau, welches von beiden die effektive Ursache war.
Zuletzt bearbeitet von einem Moderator:
Ich hatte da in den letzten Tagen auch Schwierigkeiten .. hab festgestellt, dass die bisherige LetsEncrypt-Zertifikatskette auf ein Zertifikat mit ...X3 zurückgeführt war - seit dem letzten Update war die Kette dann auf ...R3 zurückgeführt und das an meine Clients verteilte CA-Zertifikat hat damit nicht mehr gepasst.
Ich hab jetzt erst mal wieder auf self-signed mit etwas längerer Laufzeit umgebaut.
Ich hab jetzt erst mal wieder auf self-signed mit etwas längerer Laufzeit umgebaut.
- Mitglied seit
- 11. Jun 2017
- Beiträge
- 2.117
- Punkte für Reaktionen
- 256
- Punkte
- 129
Denke das macht im OpenVpn setup durchaus Sinn.
Mir ist es hier lieber, länger Ruhe zu haben, und da ich zusätzlich sowieso noch pro User (derzeit eh nur 2) client certs habe, lässt sich da ein einzelnes Cert bzw. User ggf. leicht blockieren wenn mal ein Gerät gestohlen wird.
Mir ist es hier lieber, länger Ruhe zu haben, und da ich zusätzlich sowieso noch pro User (derzeit eh nur 2) client certs habe, lässt sich da ein einzelnes Cert bzw. User ggf. leicht blockieren wenn mal ein Gerät gestohlen wird.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
