OpenVPN Umgang mit Let's Encrypt

[nevyen]

Hallo zusammen,

wir haben den OpenVPN Server aktiviert und ihm ein Let's Encrypt Zertifikat zugewiesen.

Jetzt ist irgendwie das Problem, dass ja das Zertifikat alle drei Monate abläuft. Dann müssen aber auch alle Clients das neue Zertifikat importieren.
Die Anwender von dem VPN sind jetzt nicht die IT-Profis, so dass das nicht so einfach umsetzbar ist.

Jetzt könnte ich natürlich ein Zertifikat erzeugen, was die nächsten 10 Jahre gültig ist und das dem VPN-Server zuweisen. Dann kommt aber in 10 Jahren die große Überraschung.
Und es ist ja irgendwie auch nicht im Sinne des Erfinders, die Zertifikate mit so langen Gültigkeiten auszustellen.

Optimal wäre, wenn nach der Aktualisierung des Zertifikates die VPN-Config irgendwo auf dem NAS abgelegt werden könnte. Dann könnte ich den Benutzer sagen, holt euch die neue Konfiguration einfach da ab.
Ich möchte das aber auch nicht alle drei Monate händisch machen.

Wie handhabt ihr das so?

 

[Tuxnet]

Was hat den das Let's Encrypt Zertifikat mit dem VPN-Server zu tun ?

Du benutzt doch kein https um dich zu verbinden, sondern die dyn Dns Adresse und den Port.

 

[alexhell]

Men kann aber auch Zertifikate verwenden um sich bei einem Server anzumelden. Das macht es noch sicherer. Das ist auch gängig bei openVPN.

@nevyen leider kann ich dir nicht weiterhelfen

 

[nevyen]

@Tuxnet ich kenne OpenVPN nur mit Zertifikat.

Mann kann es bestimmt auch ohne machen. Aber die Möglichkeit wurde bestimmt nicht umsonst eingeführt.

Ich überlege auch inzwischen auf die WireGuard-Lösung von der Fritzbox zu gehen. Mal schauen wo die Reise hinführt.

 

[Grischabock]

Habe mir letzte Woche auch WireGuard auf der Fritzbox eingerichtet und das funktioniert Super über Mobile und Desktop (Apple / Microsoft / Android)

 

[Ulfhednir]

wir haben den OpenVPN Server aktiviert und ihm ein Let's Encrypt Zertifikat zugewiesen.

Wie wäre es denn, wenn du hierfür ein selbst signiertes mit verlängerter Gültigkeit verwendest?

 

[alexhell]

OpenVPN hat den Vorteil, dass man das auch über 443 laufen lassen kann. Je nach dem wo man unterwegs ist, kann es sein, dass die Ports die WireGuards nutzt gesperrt sind. 443 wird eigentlich immer auf sein.

 

[ralhako]

Optimal wäre, wenn nach der Aktualisierung des Zertifikates die VPN-Config irgendwo auf dem NAS abgelegt werden könnte. Dann könnte ich den Benutzer sagen, holt euch die neue Konfiguration einfach da ab.
Ich möchte das aber auch nicht alle drei Monate händisch machen.

Wie handhabt ihr das so?

- Zertifikat mit acme.sh erstellen, zuvor aber folgendens ausführen
-- acme.sh installieren (Hinweise hier)
-- deloy synology_dsm.sh kopieren nach my_synology_dsm.sh (Ordner dnsapi)
-- Zeile "vpn-config-erstellen.sh" oder "php vpn-config-erstellen.php" am Ende von my_synology_dsm.sh einfügen

- exports für --dns dns_welche_erforderlich_ist setzen
- acme.sh --issue --log --dnssleep xx -d subname.domain.tld -d *.subname.domain.tld --dns dns_welche_erforderlich_ist

- in Datei vpn-config-erstellen.sh / vpn-config-erstellen.php die Erstellung und Speicherung von VPN-Config definieren (Zertifikate liegen in acme.sh/subname.domain.tld)

- export SYNO_Username="deinadmin"
- export SYNO_Password="deinpasswort"
- export SYNO_Hostname="deinenasip"
- acme.sh --deploy -d subname.domain.tld --deploy-hook my_synology_dsm

- Taskplaner Task für Update des Zertifikats einrichten

Bei jedem Update des Zertifikat wird der deploy-hook my_synology_dsm ausgeführt und damit auch der Shell-Script vpn-config-erstellen.sh oder der PHP-Script vpn-config-erstellen.php.

 

[Fusion]

Die persönlichen Zertifikate zur Absicherung neben Benutzer und Passwort haben nichts mit dem Let's Encrypt Zertifikat am Hut.

Zudem habe ich auch noch nie die config neu exportieren müssen nach Wechsel des Let's Encrypt Zertifikats auf der DS (habe ein Wildcard auf eigene Domain, OpenVPN Client prüft den Servernamen).

 

[Tuxnet]

Meine Rede

 

[ralhako]

Optimal wäre, wenn nach der Aktualisierung des Zertifikates ...

So geht's do_action_if_cert_changed

 

[nevyen]

Hallo zusammen.

Vielen Dank für eure ganzen Antworten.
@Fusion meint ja, dass kein Wechsel der Config nötig ist. Ich werde also erstmal die drei Monate abwarten und schauen, was passiert.

Wenn man doch die Config anpassen muss, wurden hier jetzt ja zwei alternativen genannt wie man das hinbekommen kann.

Vielen Dank nochmal für eure Hilfe

Ich werde auf jeden Fall nochmal Rückmeldung geben, was jetzt die Lösung für mein Problem war.