.titleBar { margin-bottom: 5px!important; }

openvpn und /var/flash/freetz to big

Dieses Thema im Forum "Freetz" wurde erstellt von fow0ryl, 30 Dez. 2017.

  1. fow0ryl

    fow0ryl Neuer User

    Registriert seit:
    27 Nov. 2004
    Beiträge:
    155
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Braunschweig
    Hallo,

    ich habe openvpn seit einigen Jahren erfolgreich auf meiner 7570 laufen.
    Neben der Konfiguration als Server habe ich auch einige Client Definitionen erstellt.
    Jetzt wurde das Verschlüsselungsverfahren inkl. der Schlüssellängen auf allen betroffenen Systemen auf einen aktuellen Stand gebracht. (Besser spät als nie ...)
    Die Konfiguration habe ich immer über die Weboberfläche vorgenommen. Speichern funktioniert jetzt aber nicht mehr, da wegen der längeren Schlüssel das 32k Limit gesprengt wird.
    Leider habe ich zu dem Thema nichts wirklich aktuelles, bzw hilfreiches gefunden.
    Ich habe auch keine anderweitigen Konfigurationsdaten gefunden, die ich löschen könnte...

    Gibt es es eine funktionsfähigen Workaround? Z.B. auslagern der Konfigurationen auf den angeschlossenen USB-Stick?
    Da wäre ja massenhaft Platz...
    Und wenn ja, wo finde ich Info's dazu?

    Gruß
    Henning
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,923
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #2 MaxMuster, 2 Jan. 2018
    Zuletzt bearbeitet: 3 Jan. 2018
    Grundsätzlich kein Problem, du kannst auch andere Dateien nutzen...
    Aber vorher: Ist es wirklich das OpenVPN, das "zu groß" ist, oder sind vielleicht noch andere "Datei-Leichen" in /tmp/flash auf der Box, die die Datei aufblähen?

    Ansonsten gibt es mehrere Optionen:
    Du kannst z.B. vor dem Start des OpenVPN die Dateien "an die passende Stelle kopieren", dann musst du die Konfig nicht ändern (1)
    oder
    Du kannst in der Konfig die Datei-Pfade zu den Zertifikaten usw. auf dem USB-Drive verändern und dann diese Konfig als "eigene" Datei speichern (unter "/tmp/flash/openvpn/own_${DAEMON}.conf" passend zu deinen Konfig-Namen)
    oder
    Du kannst die "GUI V2" nutzen, da musst/kannst du dann direkt Textdateien als Konfig eingeben (die "schicke" GUI gibt es da nicht und du musst alles neu machen) und kanns da natürlich auch beliebige Dateipfade nutzen ...
    oder
    du kannst das shell-Skript umschreiben, dass die Config-Datei erstellt ("/etc/default.openvpn/openvpn_conf") und dort die Pfade statt auf /tmp/flash/openvpn/... auf andere Pfade zeigen lassen

    [EDIT] zu (1):
    die einfachste Methode, wenn wirklich die Keys und Zertifikate der Auslöser sind:
    Kopiere die Dateien an eine beliebige Stelle auf USB, und mache dann z.B. für das Box-Zertifikat der "default"-Konfig:
    Code:
    # "echte" Datei löschen ...
    rm /tmp/flash/openvpn/box.crt
    # ... und statt der Datei einen Link auf die Datei an anderer Stelle einfügen
    ln -s /wo/auch/immer/die/Datei/liegt/box.crt /tmp/flash/openvpn/box.crt
    
    
    Das ganze dann auch für die anderen Zertifikate/Schlüssel machen (maximal also für box.crt, ca.crt, dh.pem, static.key und box.key) und ggf. auch für die anderen Konfigs...

    [/EDIT]
     
  3. fow0ryl

    fow0ryl Neuer User

    Registriert seit:
    27 Nov. 2004
    Beiträge:
    155
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Braunschweig
    Hallo,

    erst mal Entschuldigung, das ich mich erst jetzt melde.
    War lange Wochen in der Klinik ... Volles Progamm.

    Dann noch vielen Dank für die Hinweise.
    Ich habe mich entschieden erst mal die Variante mit den Links zu verwenden.
    Funktioniert erwartungsgemäß problemlos.

    Die immer wieder gestellte Frage nach Altlasten, die das /tmp/flash zumüllen ist zwar ok, dürfte aber in den wenigsten Fällen zur Lösung des Problem's beitragen.

    Wenn man sich die Größen der einzelnen OpenVPN Dateien anschaut, wird klar das /tmp/flash hierfür nur in einfachen Fällen der richtige Ort sein kann.
    Mit dem unsicheren Blowfish/md5 hatte ich ja auch nie Probleme...
    Bei Verwendung eines Zertifikates mit AES-128 und Signatur mit "sha256WithRSAEncryption" und mit 4096 bit public key wird es eng.
    Für box.key, box.crt und ca.crt kommt man auf eine Dateigröße von gut 13kB pro Client Verbindung.
    D.h. man kann maximal 2 Client Verbindungen definieren. Da hilft dann auch (Platz)sparen nicht wirklich weiter.

    Gruß
    Henning
     
  4. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,923
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Schön, dass es geklappt hat.

    Auch wenn es in deinem speziellen Fall vielleicht nichts gebracht hat, halte ich das durchaus für einen legitimen Vorschlag.

    Erstmal können z.B. Pakete, die irgendwann mal auf der Box waren, können durchaus noch die ein oder andere Datei dort hinterlassen, die man dann über die GUI nicht "weg bekommt".

    Zudem hast du die jetzt konkreten "Randbedingungen" (4k Keys mit 13kB pro Client) erst in deiner Antwort geschrieben; in der Frage ging es um "einige" Configs, deren Schlüssellängen auf "einen aktuellen Stand" gebracht wurden. Das könnten also durchaus 2048 bit basierte Keys sein, von denen eine ganze Menge auf die Box passen sollten und die Fehlermeldung dann auf "andere Platzfresser" hinweisen könnte.