OpenVPN-Paket

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
678
Punkte für Reaktionen
4
Punkte
18
Ich hab das Problem nun durch schrittweisen Abgleich der ds-mod config mit meiner eigenen "geknackt".
Es funktionierte, wenn ich den Parameter "no-replay" händisch eingab.

Also hab ich den auf dem Server jetzt aus der config herausgenommen und, voilá schon geht´s.
Kaum macht man es richtig, schon funktioniert es - ein Teufelskreis.

Warum ich "no-replay" damals mit herangenommen habe, kann ich gar nicht mehr sagen.
Ist wohl schon fast 10 Jahre her, dass ich die configs gemacht habe.
Damals hab ich das mit den Anleitungen auf openvpn.net aufgebaut.

Vielen Dank für Deine Unterstützung MaxMuster.
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
3
Punkte
38
... wie peinlich, genau den "entscheidenden" Unterschied ("no-replay") hab ich in meinem "Vergleich" der Konfigs übersehen ;-)
 

wambolino

Neuer User
Mitglied seit
20 Mrz 2016
Beiträge
29
Punkte für Reaktionen
0
Punkte
1
Hallo,

bin neu bei Freetz und möchte die Fritzbox eigentlich nur als OpenVPN Client (tun) benutzen.
habe in den FAQ folgendes gefunden:
"Nach dem Flashen ist das AVM-Webinterface nicht mehr erreichbar
Wenn im Image (z.B. wegen OpenVPN) die OpenSSL-Libraries eingebaut wurden, gibt es Probleme mit TR069. Es ist dann erforderlich entweder auf OpenSSL-Libs zu verzichten, sie statisch mit in die jeweiligen Pakete einzubauen (Speicherverschwendung), TR069 zu deaktivieren (funktioniert nur bei älterer Firmware) oder per patch TR069 komplett zu entfernen (funktioniert auch bei aktueller Firmware)."
Ist das noch aktuell ? Sollte ich TR069 wirklich entfernen? Klingt für mich wie ein Protokoll, mit dem der Provider mit der Box spricht, also zu support-Zwecken. Macht es Sinn OpenSSL statisch ins OpenVPN zu integrieren? (Evtl. weil sich die Info auf ältere Modelle mit weniger Speicher bezog?)
- FritzBox 7360SL mit aktueller Firmware 06.30, OpenVPN soll durchgehend laufen (2 Lans miteinander verbinden))

Edit: nach mehr Recherche: ist wohl noch aktuell, und der Platz auf der Box sehr begrenzt. Also TR069 entfernen!


PS: Als Client kann ich mir ja auch das Portforwarding ersparen ? (Im Wiki zu OpenVPN sind mehrere Methoden beschrieben, von denen wohl mind. 2 aktuell nicht mehr gehen. Das Paket AVM-Firewall wurde halb portiert für die neue FW als AVM-Forwarding, welches aber nicht im Wiki oder unter packages zu finden ist. Ich habe zu wenig Ahnung davon um hier "nachzuarbeiten"
 
Zuletzt bearbeitet:

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
3
Punkte
38
Bei "sehr begrenztem Platz" bietet sich die Nutzung von PolarSSL beim Bauen des OpenVPNs an; damit werden zugleich auch die mögliche OpenSSL-Probleme umgangen.

Und: Ja, die Nutzung als Client benötigt kein Portforwarding, das benötigt nur der Server.
 

wambolino

Neuer User
Mitglied seit
20 Mrz 2016
Beiträge
29
Punkte für Reaktionen
0
Punkte
1
PolarSSL habe ich im makemenu (bei Pakete->OpenVPN bzw. Unterpunkten) nicht gesehen, findet man das unter einem anderen Punkt? (Patches oder so?)
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
3
Punkte
38
Unter dem OpenVPN müsste ein Punkt "SSL library" sein, wo man das auswählen kann...

[EDIT] Sieht ungefähr so aus (wenn schon "PolarSSL" gewählt ist, sonst steht da "OpenSSL" in der Klammer)

Code:
  │ │    
[*] OpenVPN                                                      │ │  
[B][COLOR=#ff0000]  │ │          SSL library (PolarSSL)  --->                               │ │  [/COLOR][/B]
  │ │    
[*]   Include cipher blowfish in PolarSSL                        │ │  
  │ │    [ ]   Create statically linked binary                            │ │  
  │ │    
[*]   With LZO compression                                       │ │  
  │ │    [ ]   With traffic obfuscation                                   │ │

Wenn du eine Gegenstelle mit "Blowfish" hast, musst du den Punkt drunter bei PolarSSL mit auswählen ...

[/EDIT]
 
Zuletzt bearbeitet:

wambolino

Neuer User
Mitglied seit
20 Mrz 2016
Beiträge
29
Punkte für Reaktionen
0
Punkte
1
Okay, dass man da mit Enter nochmal ein Menü weiterkommt war mir nicht so ersichtlich XD
Allerdings bekomme ich dann beim "make":
configure: error: ssl is required but missing
Vermutlich brauche ich das OpenSSL für dropbear, aber müsste es dann nicht dort als Abhängigkeit erscheinen, mit reinkommen, und mein Image zu groß werden lassen?

--> Ich versuchs mal mit komplett neu ausschecken und nur OpenVPN mit Polar, und dropbear
--> Hat funktioniert.
 
Zuletzt bearbeitet:

JokerGermany

Mitglied
Mitglied seit
7 Aug 2007
Beiträge
564
Punkte für Reaktionen
5
Punkte
18
Ich hab auch nochmal ne Frage:
Habe 2 Fritzboxen, die eine greift auf die "Server-Fritzbox" über einen Proxy zu.

Möchte jetzt gerne von einem Ubuntu Client mcih in die Server-Fritzbox einwählen, brauche also ein weiteres Zertifikat und alles was dazu gehört.

Ich finde nicht mehr die Daten auf dem Rechner die ich damals zum erstellen genutzt habe, habe also nur das was man in die Fritzbox einträgt.

Ich habe zuerst mal im ubuntuusers forum nachgefragt ( https://forum.ubuntuusers.de/topic/openvpn-weiterer-client/) wo ich auf eine Anleitung einer Webseite verwiesen wurde. Leider verstehe ich diese nicht, da ich nicht weiß welche Zertifikate die option benötigt.

Code:
openssl x509 -req -in zertifikat.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out zertifikat-pub.pem -days 365 -sha512
Was aus freetzt brauche ich für ca-root.pem, ca-key.pem ?

Kann mir dort jemand helfen wie ich unter ubuntu möglichst einfach ein neues Zertifikat für den client generiere?
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
3
Punkte
38
Du brauchst die Daten "deiner" CA.
Die CA ist quasi die Bestätigungsinstanz, die das Zertifikat unterschreibt.
Ohne das Zertifikat und dem Key der (damals genutzten) CA kannst du keine neuen Zertifikate signieren....
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
3
Punkte
38
Ebenfalls "unschön", aber möglich, sofern keine Client-abhängigen Settings (Routing usw) benötigt werden:
Die doppelte Nutzung eines der vorhandenen Zertifikate/Keys auf dem Client.
Dafür benötigtest du dann "duplicate-cn" als Parameter in der Server Konfiguration.
 

grauGolz

Mitglied
Mitglied seit
27 Apr 2013
Beiträge
270
Punkte für Reaktionen
0
Punkte
0
Dem Autor von Beitrag #1229 ist eine Kleinigkeit entgangen. In OpenVPN gibt es serverseitig die Option "duplicate-cn".

Diese Option hat aber Nebeneffekte in Bezug auf die Benutzung von "Client Specific Overrides". Im Notfall kann man diese Option eine begrenzte Zeit verwenden.

Für Linux/xBSD gibt es z. B. XCA für jene, die mit openssl Mühe haben.
 
Zuletzt bearbeitet:

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
3
Punkte
38
@grauGolz: Was möchtest du damit sagen?

#1229 geht um die Frage, ob/wie man neue Zertifikate signieren kann, was ohne die CA-Dateien nicht geht.
Die Möglichkeit,
duplicate-cn auf dem Server zu nutzen, incl. der "Nebenwirkungen", sind in #1231 genannt.

 

grauGolz

Mitglied
Mitglied seit
27 Apr 2013
Beiträge
270
Punkte für Reaktionen
0
Punkte
0
Der Autor von Betrag #1228 ist scheinbar in der Lage, neue Schlüssel/Zertifikate zu erstellen und den Zusammenhang von CA und OpenVPN zu erkennen.

Die Verwendung von "duplicate-cn" serverseitig schien ihm aber nicht bekannt zu sein.

Viel Spaß mit OpenVPN wünscht der

grauGolz
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
3
Punkte
38
??? Du schreibst oben etwas über "meinen" Beitrag (#1229), jetzt von #1228.

Und der Autor von #1228 ist offensichtlich nicht in der Lage, neue Zertifikate zu erstellen/signieren, da ihm die Daten der CA offensichtlich fehlen:
"Ich finde nicht mehr die Daten auf dem Rechner die ich damals zum erstellen genutzt habe, habe also nur das was man in die Fritzbox einträgt"

Und bereits (direkt) vor deinem Beitrag steht der Verweis auf
duplicate-cn
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
3
Punkte
38
Nein, das Zertifikat der CA reicht nicht, du brauchst für neue Zertifikate den "Stempel" für die Beglaubigung neuer Zertifikate, das ist in deinem Beispiel der Teil "-CAkey ca-key.pem". Dieser "geheime Schlüssel" deiner "CA" wird nur für das Singnieren von Zertifikaten genutzt, also während des "Erzeugens" der Zertifikate.
Er ist vermutlich verloren, wenn ich deine Ausführungen richtig gelesen habe, dass du nur noch die "Dateien auf der FB" hast.
 

wambolino

Neuer User
Mitglied seit
20 Mrz 2016
Beiträge
29
Punkte für Reaktionen
0
Punkte
1
Nein, dh = Diffie Hellman spielt an anderer Stelle als Verschlüsselung eine Rolle (bin mir aber nicht 100% sicher)
 

JokerGermany

Mitglied
Mitglied seit
7 Aug 2007
Beiträge
564
Punkte für Reaktionen
5
Punkte
18
Ebenfalls "unschön", aber möglich, sofern keine Client-abhängigen Settings (Routing usw) benötigt werden:
Die doppelte Nutzung eines der vorhandenen Zertifikate/Keys auf dem Client.
Dafür benötigtest du dann "duplicate-cn" als Parameter in der Server Konfiguration.

Nutze ich derzeit schon, weil sowieso nur der eine Client on ist, wenn der andere Off ist usw...
Tatsächlich sind Client-abhängige Settings mein Problem.

- - - Aktualisiert - - -

Also, nicht "schön" aber möglich: erstelle dir einfahc komplett neue Zertifikate (für alle Clients) CA usw.
Komfortabel möglich mit diesem Tool:
http://forum.openvpn.eu/viewtopic.php?f=1&t=8040
Dann natürlich überall jeweils ersetzen.
Die Config-Files brauchst du wohl nicht.

Finde es ziemlich kritisch ein Tool für so etwas sicherheitskritisches zu nutzen, für den der Quelltext nicht einsehbar ist...
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via