Toggle sidebar

OpenVPN connectet trotz Zertifikatswechsel

Status
Für weitere Antworten geschlossen.
P

Pablo Diablo

Benutzer
Mitglied seit
04. Jan 2013
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Ich habe nach dem Heartbleed-Bug meine Syno aktualisiert und das Zertifikat (über Systemsteuerung / Sicherheit) neu erstellt. Das wurde auch übernommen, mindestens musste ich sogleich im Firefox eine neue Ausnahme für das Zertifikat hinzufügen. Danach die ios.ovpn exportiert und über iTunes an iPhone und iPad verteilt.

Das funktioniert auch alles. Nun habe ich aber festgestellt, dass ich auch mit der alten Konfig, die noch im OpenVPN sichtbar ist, von extern auf meien Syno zugreifen kann.

Das dürfte doch nicht sein!?! Weiss jemand was ich falsch gemacht habe?
 
O

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.851
Punkte für Reaktionen
1.144
Punkte
288
hmm, nur wie unterscheidet sich die alte Konfig? Die Konfig ist doch nur ein Text, alles was mit einem Schlüssel zu tun hat ist der Name des CA Files drin, das ca ca.crt

Irgendwelche Cert Nummern etc finde ich drin nicht.

Ich meine wenn das immer noch so heisst dann warum soll sich es nicht verbinden?
 
P

Pablo Diablo

Benutzer
Mitglied seit
04. Jan 2013
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
In die Datei ios.ovpn, die ich nach dem Neuerstellen des Zertifikats von der Syno geholt hab, werden Zertifikat und Key automatisch miteingetragen. Erstelldatum der Datei war zum gleichen Zeitpunkt wie das Neugenerieren des Zertifikats.

Das würde dann wohl heissen, dass trotz neuem Zertifikat und Key noch das alte Zertifikat und Key in das neue ios.ovpn geschrieben wurden. Anders kann ich mir das nicht erklären. Das wäre dann aber eine ziemlich gefährliche Geschichte... Ich hab vor dem Wechsel des Zertifikats extra noch das VPN-Server Paket deinstalliert um solches zu vermeiden...

Oder hat jemand eine andere Idee?
 
jahlives

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
dann müsste die neue ios Datei ja gleich ein wie die alte. Hast du die beiden Versionen mal veglichen?
Zudem nur weil du ein Client Certifikat neu machst, heisst das nicht die alten Zertifikate wären ungültig. Die müsstest du explizit widerrufen. Wenn das nicht geht müsstest du ein neues CA.crt generieren lassen. Dann basierend auf diesem CA einen neuen Client Key/Cert erstellen. OVPN traut allen Certs welche mit dem gültigen CA unterschrieben wurden
 
P

Pablo Diablo

Benutzer
Mitglied seit
04. Jan 2013
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hab die OVPN nicht verglichen. Hmm, daran wirds wohl liegen. Ich merke grade dass ich mir in Sachen CA, Certs und Keys noch ein bisschen Grundwissen aneignen muss... :-/

Vielen Dank jahlives!

Gruss
Pablo
 
T

till213

Benutzer
Mitglied seit
18. Okt 2012
Beiträge
144
Punkte für Reaktionen
8
Punkte
18
Bin auch an diesem Thema brennend interessiert! :)

Ich meine auf einem blog gelesen zu haben, dass das Neuerstellen der Zertifikate via Einstellungen -> Sicherheit eben NICHT dazu führt, dass das neue Zertifikat auch für den OpenVPN Server verwendet wird! (Das mag aber auch eine Falschingormation sein bzw. bloss für die DSM 4.2 gelten, über welche der blog berichtete).

Jedenfalls wäre es hilfreich, wenn hier jemand einmal seine Erfahrungen über einen erfolgreichen Zertifikateechsel preisgeben könnte. Insbesondere für eine "plain vanilla" OpenVPN Installation (die bei mir zu einer user/password Authentifikation führt). Und natürlich so, dass Clients mit alten Zertifikaten nicht mehr akzeptiert werden, selbst wenn sie die korrekte user/password Kombination kennen - oder he Moment, trifft in diesem Szenario der Zertifikatwechsel gar nicht zu, da ja eh ein Passwort zum Zuge kommt? *verwirrt*

Danke
 
aportmann

aportmann

Benutzer
Mitglied seit
03. Jul 2012
Beiträge
123
Punkte für Reaktionen
0
Punkte
22
stelle mir diese frage ebenfalls. habe das zertifikat neu generiert, trotzdem kommen die vpn-clients noch mit dem alten zertifikat auf den server. scheinbar hat das neue zertifikat keine auswirkung auf den vpn-server.

gruss andi
 
jahlives

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
ich zitiere mich mal selbst
jahlives schrieb:
Zudem nur weil du ein Client Certifikat neu machst, heisst das nicht die alten Zertifikate wären ungültig. Die müsstest du explizit widerrufen. Wenn das nicht geht müsstest du ein neues CA.crt generieren lassen. Dann basierend auf diesem CA einen neuen Client Key/Cert erstellen. OVPN traut allen Certs welche mit dem gültigen CA unterschrieben wurden
Zum Vergrößern anklicken....
 
DKeppi

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.216
Punkte für Reaktionen
69
Punkte
114
aportmann

aportmann

Benutzer
Mitglied seit
03. Jul 2012
Beiträge
123
Punkte für Reaktionen
0
Punkte
22
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten
Zurück