Hallo allerseits,
ich habe mir eine funktionierende VPN Konfig Datei gemacht, mit folgendem Inhalt:
dev tun
tls-client
remote IP ADDRESS 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
dhcp-option DNS IP ADDRESS
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
</key>
Problem bei dieser Konfig ist (soweit ich es meine zu verstehen), dass ich hier den privaten Schlüssel /Server Key des Zertifikats drin habe, mit dem das Zertifikat für die DS erstellt wurde.
Ist das in irgendeiner Form unsicher oder nicht empfehlenswert, auch wenn es funktioniert? Oder ist es taächlich nicht empfehlenswert, den Server so zukonfigurieren?
Ausserdem kann man ja noch aus dem VPN Server direkt eine Konfig und eine ca.crt bekommen, die aber nicht funktioniert (auf iOS 8 mit openVPN App), da dem iPhone wohl ein Client Zertifikat fehlt?
Die Konfig aus dem Server direkt sieht folgendermaßen aus:
dev tun
tls-client
remote IP ADDRESS 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
dhcp-option DNS IP ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
comp-lzo
reneg-sec 0
auth-user-pass
setenv CLIENT_CERT 0
Hoffe Ihr könnt mir weiterhelfen?
Gruß
Simon
ich habe mir eine funktionierende VPN Konfig Datei gemacht, mit folgendem Inhalt:
dev tun
tls-client
remote IP ADDRESS 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
dhcp-option DNS IP ADDRESS
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
</key>
Problem bei dieser Konfig ist (soweit ich es meine zu verstehen), dass ich hier den privaten Schlüssel /Server Key des Zertifikats drin habe, mit dem das Zertifikat für die DS erstellt wurde.
Ist das in irgendeiner Form unsicher oder nicht empfehlenswert, auch wenn es funktioniert? Oder ist es taächlich nicht empfehlenswert, den Server so zukonfigurieren?
Ausserdem kann man ja noch aus dem VPN Server direkt eine Konfig und eine ca.crt bekommen, die aber nicht funktioniert (auf iOS 8 mit openVPN App), da dem iPhone wohl ein Client Zertifikat fehlt?
Die Konfig aus dem Server direkt sieht folgendermaßen aus:
dev tun
tls-client
remote IP ADDRESS 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
dhcp-option DNS IP ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
comp-lzo
reneg-sec 0
auth-user-pass
setenv CLIENT_CERT 0
Hoffe Ihr könnt mir weiterhelfen?
Gruß
Simon
