Openvpn webinterface fuer ns-cert-type server

[ozett]

hi,
fuer die openvpn konfiguration wird wohl immer wenn man im webinterface zertifikate wählt in der konfigurationsdatei die option "ns-cert-type server" mit aktiviert. ich habe das manuelle in source disabled, da eine gateprotect gegenstelle keine solcherart gekennzeichneten serverzertifikate erstellt oder verwendet. und damit käme dann auch keine vpn-verbindung zustande. eine option im webinterface von freetz um diese strenge prüfung auch auszuschalten fände ich gut. gibts dazu überlegungen das mal anzuregen/umzusetzen?

grüsse,
ozett

[MaxMuster]

Das ist deswegen "automatisch" mit drin, weil das Rauslassen ein echter Sicherheitsnachteil ist (jeder, der ein Client-Cert hat, könnte sich als Server ausgeben!).

Letztlich ist für deinen Vorschlag ein "schöner" Platz in der GUI sowie eine zusätzliche Config-Variable nötig, was wegen der mehrfachen Configs "einiges" an Aufwand ist.

Mal sehen, wenn ich mal zuviel Zeit habe ...

Jörg

[ozett]

hi,
ok. verstehe. erstmal danke fürs drübernachdenken,

mein real-life ausgangsstellung ist, dass auf der gateprotect-firewall ein zertifikat-wizard ist, der leider den server-type nicht mit ins zertifikat schreibt. mit den voreinstellungen im freetz für openvpn gibts also bei der strengen ns-cert-type-prüfung keine verbindung. meine manuelle änderung der quellen geht, aber vielleicht hilft ja anderen auch ne gui option. müsste wohl unter experteneinstellungen mit warnhinweis laufen. oder als option im freifeld, um die bestehende option zu neutralsieren ...?

also erstmal danke fürs registrieren, ich guck mal weiter im trunk obs auftaucht ...



grüsse.
ozett

[MaxMuster]

... versuche doch mal, ob dieser Patch dir was bringt...
(Patch im freetz-Verzeichnis auspacken und dann "patch -p0 < openvpn_20081108.diff")

Jörg

[ozett]

hi maxmuster,
habe mal ins diff geschauft und sehe sowas wie "Auch Zertifikate ohne \"ns-cert-type server\" akzeptieren'". super. ich habe den patch jetzt mal im freetz-devel 2721 für die fritzbox5140 gemacht. patch war ohne fehler, allerdings habe ich die option nicht endecken können. bestimmt von einer anderen vorauswahl abhängig, oder? vielleicht bin ich auch etwas blind.

ich mache jetzt noch mal ein image für eine fritzbox fon und gucke dann da nocheinmal nach, ob ich was entdecken kann. sonst ein tip?

grüsse,ozett

[MaxMuster]

Ja, das geht (oder sollte gehen?!?) nur bei der Auswahl Client und Zertifikate.
Ist das ein Denkfehler?!?

Ach so:
Vor einem make mal das "alte" Paket löschen mit "rm -rf packages/openvpn-2.1_rc13/ ; rm packages/.openvpn-2.1_rc13 "


Jörg

[ozett]

hi, und oooops,
das remove gemacht, ein image gemacht, und: ooops , der Menupunkt für openvpn ist nicht mehr da.

jetzt habe ich ein make config-clean-deps gemacht, und lass das nochmal bauen. hoffe es hilft. oder fehlt noch was im patch ?

grüsse,ozett

[MaxMuster]

hoffe ich auch nicht...
Steht denn was von "openvpn" da im make-Lauf? Wird der Ordner "packages/openvpn-2.1_rc13/" neu angelegt?
Du kannst vor dem Flashen schon im build/modified/filesystem Ordner stöbern, ob und was alles da ist.


Jörg

[ozett]

hi,
ordner openvpn unter packages ist neu angelegt, aber nicht im build/filesystem und nicht im image. hmmmm? neue .config anlegen? oder kaputt?

grüsse,
ozett

------naachtrag:
ich versuche es mal mit "make clean" und ner neuen .config im freetz-devel 2723m. ergebnis kommt dann ....

[MaxMuster]

Schaust du nochmal, ob openvpn gewählt ist? Ist der Ordner in packages auch "richtig gefüllt", also unter etc/default_openvpn, usr/lib/cgi-bin usw?
Steht beim make-Lauf das openvpn unter "installing packages" da?

Jörg

[ozett]

[Edit frank_m24: Mehrere Beiträge innerhalb weniger Minuten zusammengefasst. Man kann seine Beiträge auch editieren. Lies noch mal die Forumregeln.]
hi,
also make clean gemacht (alle alten images in /images auch weg. na gut)
.config gelöscht. make menuconfig gemacht. openvpn neu ausgewählt.
in make-lauf erscheint auch das package, im webif ist es nicht da. und auch im /build/modified/filesystem/etc sieht nix nach openvpn aus. das ist komisch. hat der patch was magisches gehabt?

[Beitrag 2:]
---------nachtrag:
nochmal im /packages verzeichnis openvpn entfernt, und auch die .openvpn im root von packages. dann ein make gemacht. und im /build/modified sieht es besser auch. flashe nochmal und dann gibts rückmeldung ...

hi,
so openvpn taucht als packet wieder auf. auf der optionsseite sehe ich leider noch keine möglichkeit die ns-type-server option zu aktivieren.

dafür gibts jetzt jeweils eine checkbox für:

Code:

Eigene Keys/Certs für diese Config                         Key-Einstellung ausblenden

die verschwindet wenn man sie anklickt. glitschiger fisch!

neu scheinen mir vpn-ip optionen, die gar nicht verschwinden wollen.

ist das der devel-status, oder ist irgenwas mit dem patch noch nicht so wies soll?

grüsse,
ozett

[MaxMuster]

... ist ja noch nicht so optimal

Die "eigenen Zertifikate ausblenden" sollte eigentlich kommen,
bei mehreren Konfigs && Zertifikate && Haken bei "eigene Zertifikate+Keys für diese Konfig"

Könntest du ggf. mal neu anfangen (defaults laden)?

Jörg

Das ganze sollte eigentlich so aussehen: (Moment, ich muss gerade hier auf diesem Rechner das Image basteln...)
Ooops, ist auch bei mir ein Fehler drin.
Sorry, teste doch mal bitte den korrigierten Anhang (vorher das alte gepatchte mit "patch -p0 -R < openvpn_20081108.diff" rückgängig machen), dann wieder Ordner und .openvpn-Datei löschen...

[ozett]

aber gerne, compile läuft ....

grüsse,ozett

--------und:
sieht alles super aus. nun wieder gerade, richtig, und in ordnung. irgenwie waren wellen auf der oberfläche. (kann zwar nicht mit gegenstelle testen, wird aber nachgeholt). das gui sieht aber superaus.

vielen dank für die hilfe, echt stark!

[MaxMuster]

... ach so, zum Testen reicht dann ein (ggfls. IP anpassen)

Code:

scp build/modified/filesystem/usr/lib/cgi-bin/openvpn.cgi root@192.168.178.1:/tmp

und auf der Box (per telnet oder ssh oder RudiShell):

Code:

mount --bind /tmp/openvpn.cgi  /usr/lib/cgi-bin/openvpn.cgi

Jörg

[ozett]

hi,
danke für den testtip. dann ist es aber nur zum testen des gui, oder? funktional ist es nicht. zumindes wohl nicht nach aus- und einschalten, was?

[MaxMuster]

... jein
In diesem Fall (oder immer dann, wenn nur die GUI selbst geändert wurde und z.B. die Parameter gleich bleiben) ist das, solange es auf der Box ist, auch funktionabel, d.h. wenn du damit eine Einstellung machst, so wird die auch vorgenommen. Und da in diesem Fall die Parametererweiterung usw. schon korrekt waren und nur die GUI einen Fehler hatte, klappt das: Nach dem Neustart ist dann die Einstellung noch da, die GUI aber weg...

Jörg