Toggle sidebar

OpenVPN Umgang mit Let's Encrypt

  • Aktuell gibt es ein Problem mit dem Mail-Versand. Der Mailversand ist deswegen gestoppt. Wir arbeiten dran.
N

nevyen

Benutzer
Mitglied seit
17. Aug 2023
Beiträge
3
Punkte für Reaktionen
2
Punkte
53
Hallo zusammen,

wir haben den OpenVPN Server aktiviert und ihm ein Let's Encrypt Zertifikat zugewiesen.

Jetzt ist irgendwie das Problem, dass ja das Zertifikat alle drei Monate abläuft. Dann müssen aber auch alle Clients das neue Zertifikat importieren.
Die Anwender von dem VPN sind jetzt nicht die IT-Profis, so dass das nicht so einfach umsetzbar ist.

Jetzt könnte ich natürlich ein Zertifikat erzeugen, was die nächsten 10 Jahre gültig ist und das dem VPN-Server zuweisen. Dann kommt aber in 10 Jahren die große Überraschung.
Und es ist ja irgendwie auch nicht im Sinne des Erfinders, die Zertifikate mit so langen Gültigkeiten auszustellen.

Optimal wäre, wenn nach der Aktualisierung des Zertifikates die VPN-Config irgendwo auf dem NAS abgelegt werden könnte. Dann könnte ich den Benutzer sagen, holt euch die neue Konfiguration einfach da ab.
Ich möchte das aber auch nicht alle drei Monate händisch machen.

Wie handhabt ihr das so?
 
Was hat den das Let's Encrypt Zertifikat mit dem VPN-Server zu tun ?

Du benutzt doch kein https um dich zu verbinden, sondern die dyn Dns Adresse und den Port.
 
Men kann aber auch Zertifikate verwenden um sich bei einem Server anzumelden. Das macht es noch sicherer. Das ist auch gängig bei openVPN.

@nevyen leider kann ich dir nicht weiterhelfen
 
  • Like
Reaktionen: Tuxnet
@Tuxnet ich kenne OpenVPN nur mit Zertifikat.

Mann kann es bestimmt auch ohne machen. Aber die Möglichkeit wurde bestimmt nicht umsonst eingeführt.

Ich überlege auch inzwischen auf die WireGuard-Lösung von der Fritzbox zu gehen. Mal schauen wo die Reise hinführt.
 
  • Like
Reaktionen: Tuxnet
Habe mir letzte Woche auch WireGuard auf der Fritzbox eingerichtet und das funktioniert Super über Mobile und Desktop (Apple / Microsoft / Android)
 
nevyen schrieb:
wir haben den OpenVPN Server aktiviert und ihm ein Let's Encrypt Zertifikat zugewiesen.
Zum Vergrößern anklicken....
Wie wäre es denn, wenn du hierfür ein selbst signiertes mit verlängerter Gültigkeit verwendest?
 
  • Like
Reaktionen: alexhell
OpenVPN hat den Vorteil, dass man das auch über 443 laufen lassen kann. Je nach dem wo man unterwegs ist, kann es sein, dass die Ports die WireGuards nutzt gesperrt sind. 443 wird eigentlich immer auf sein.
 
  • Like
Reaktionen: Tuxnet
nevyen schrieb:
Optimal wäre, wenn nach der Aktualisierung des Zertifikates die VPN-Config irgendwo auf dem NAS abgelegt werden könnte. Dann könnte ich den Benutzer sagen, holt euch die neue Konfiguration einfach da ab.
Ich möchte das aber auch nicht alle drei Monate händisch machen.

Wie handhabt ihr das so?
Zum Vergrößern anklicken....
- Zertifikat mit acme.sh erstellen, zuvor aber folgendens ausführen
-- acme.sh installieren (Hinweise hier)
-- deloy synology_dsm.sh kopieren nach my_synology_dsm.sh (Ordner dnsapi)
-- Zeile "vpn-config-erstellen.sh" oder "php vpn-config-erstellen.php" am Ende von my_synology_dsm.sh einfügen

- exports für --dns dns_welche_erforderlich_ist setzen
- acme.sh --issue --log --dnssleep xx -d subname.domain.tld -d *.subname.domain.tld --dns dns_welche_erforderlich_ist

- in Datei vpn-config-erstellen.sh / vpn-config-erstellen.php die Erstellung und Speicherung von VPN-Config definieren (Zertifikate liegen in acme.sh/subname.domain.tld)

- export SYNO_Username="deinadmin"
- export SYNO_Password="deinpasswort"
- export SYNO_Hostname="deinenasip"
- acme.sh --deploy -d subname.domain.tld --deploy-hook my_synology_dsm

- Taskplaner Task für Update des Zertifikats einrichten

Bei jedem Update des Zertifikat wird der deploy-hook my_synology_dsm ausgeführt und damit auch der Shell-Script vpn-config-erstellen.sh oder der PHP-Script vpn-config-erstellen.php.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: nevyen
Die persönlichen Zertifikate zur Absicherung neben Benutzer und Passwort haben nichts mit dem Let's Encrypt Zertifikat am Hut.

Zudem habe ich auch noch nie die config neu exportieren müssen nach Wechsel des Let's Encrypt Zertifikats auf der DS (habe ein Wildcard auf eigene Domain, OpenVPN Client prüft den Servernamen).
 
  • Like
Reaktionen: Tuxnet
Meine Rede
 
Zuletzt bearbeitet von einem Moderator:
Hallo zusammen.

Vielen Dank für eure ganzen Antworten.
@Fusion meint ja, dass kein Wechsel der Config nötig ist. Ich werde also erstmal die drei Monate abwarten und schauen, was passiert.

Wenn man doch die Config anpassen muss, wurden hier jetzt ja zwei alternativen genannt wie man das hinbekommen kann.

Vielen Dank nochmal für eure Hilfe :-)

Ich werde auf jeden Fall nochmal Rückmeldung geben, was jetzt die Lösung für mein Problem war.
 
  • Like
Reaktionen: Grischabock
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten