.titleBar { margin-bottom: 5px!important; }

Openvpn webinterface fuer ns-cert-type server

Dieses Thema im Forum "Freetz" wurde erstellt von ozett, 7 Nov. 2008.

  1. ozett

    ozett Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    hi,
    fuer die openvpn konfiguration wird wohl immer wenn man im webinterface zertifikate wählt in der konfigurationsdatei die option "ns-cert-type server" mit aktiviert. ich habe das manuelle in source disabled, da eine gateprotect gegenstelle keine solcherart gekennzeichneten serverzertifikate erstellt oder verwendet. und damit käme dann auch keine vpn-verbindung zustande. eine option im webinterface von freetz um diese strenge prüfung auch auszuschalten fände ich gut. gibts dazu überlegungen das mal anzuregen/umzusetzen?

    grüsse,
    ozett
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #2 MaxMuster, 7 Nov. 2008
    Zuletzt bearbeitet: 7 Nov. 2008
    Das ist deswegen "automatisch" mit drin, weil das Rauslassen ein echter Sicherheitsnachteil ist (jeder, der ein Client-Cert hat, könnte sich als Server ausgeben!).

    Letztlich ist für deinen Vorschlag ein "schöner" Platz in der GUI sowie eine zusätzliche Config-Variable nötig, was wegen der mehrfachen Configs "einiges" an Aufwand ist.

    Mal sehen, wenn ich mal zuviel Zeit habe ;-)...

    Jörg
     
  3. ozett

    ozett Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    client-server

    hi,
    ok. verstehe. erstmal danke fürs drübernachdenken, ;)

    mein real-life ausgangsstellung ist, dass auf der gateprotect-firewall ein zertifikat-wizard ist, der leider den server-type nicht mit ins zertifikat schreibt. mit den voreinstellungen im freetz für openvpn gibts also bei der strengen ns-cert-type-prüfung keine verbindung. meine manuelle änderung der quellen geht, aber vielleicht hilft ja anderen auch ne gui option. müsste wohl unter experteneinstellungen mit warnhinweis laufen. oder als option im freifeld, um die bestehende option zu neutralsieren ...?

    also erstmal danke fürs registrieren, ich guck mal weiter im trunk obs auftaucht ...

    :cool:

    grüsse.
    ozett
     
  4. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... versuche doch mal, ob dieser Patch dir was bringt...
    (Patch im freetz-Verzeichnis auspacken und dann "patch -p0 < openvpn_20081108.diff")

    Jörg
     

    Anhänge:

  5. ozett

    ozett Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    option hidden

    hi maxmuster,
    habe mal ins diff geschauft und sehe sowas wie "Auch Zertifikate ohne \"ns-cert-type server\" akzeptieren'". super. ich habe den patch jetzt mal im freetz-devel 2721 für die fritzbox5140 gemacht. patch war ohne fehler, allerdings habe ich die option nicht endecken können. bestimmt von einer anderen vorauswahl abhängig, oder? vielleicht bin ich auch etwas blind.:gruebel:

    ich mache jetzt noch mal ein image für eine fritzbox fon und gucke dann da nocheinmal nach, ob ich was entdecken kann. sonst ein tip?

    grüsse,ozett
     
  6. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ja, das geht (oder sollte gehen?!?) nur bei der Auswahl Client und Zertifikate.
    Ist das ein Denkfehler?!?

    Ach so:
    Vor einem make mal das "alte" Paket löschen mit "rm -rf packages/openvpn-2.1_rc13/ ; rm packages/.openvpn-2.1_rc13 "


    Jörg
     
  7. ozett

    ozett Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    openvon webif weg ...

    hi, und oooops,
    das remove gemacht, ein image gemacht, und: ooops :oops:, der Menupunkt für openvpn ist nicht mehr da.:(

    jetzt habe ich ein make config-clean-deps gemacht, und lass das nochmal bauen. hoffe es hilft. oder fehlt noch was im patch ? :-?

    grüsse,ozett
     
  8. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    hoffe ich auch nicht...
    Steht denn was von "openvpn" da im make-Lauf? Wird der Ordner "packages/openvpn-2.1_rc13/" neu angelegt?
    Du kannst vor dem Flashen schon im build/modified/filesystem Ordner stöbern, ob und was alles da ist.


    Jörg
     
  9. ozett

    ozett Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #9 ozett, 10 Nov. 2008
    Zuletzt bearbeitet: 10 Nov. 2008
    weg ist weg

    hi,
    ordner openvpn unter packages ist neu angelegt, aber nicht im build/filesystem und nicht im image. hmmmm? neue .config anlegen? oder kaputt?

    grüsse,
    ozett

    ------naachtrag:
    ich versuche es mal mit "make clean" und ner neuen .config im freetz-devel 2723m. ergebnis kommt dann ....
     
  10. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Schaust du nochmal, ob openvpn gewählt ist? Ist der Ordner in packages auch "richtig gefüllt", also unter etc/default_openvpn, usr/lib/cgi-bin usw?
    Steht beim make-Lauf das openvpn unter "installing packages" da?

    Jörg
     
  11. ozett

    ozett Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    [Edit frank_m24: Mehrere Beiträge innerhalb weniger Minuten zusammengefasst. Man kann seine Beiträge auch editieren. Lies noch mal die Forumregeln.]
    hi,
    also make clean gemacht (alle alten images in /images auch weg. na gut)
    .config gelöscht. make menuconfig gemacht. openvpn neu ausgewählt.
    in make-lauf erscheint auch das package, im webif ist es nicht da. und auch im /build/modified/filesystem/etc sieht nix nach openvpn aus. das ist komisch. hat der patch was magisches gehabt? ;)

    [Beitrag 2:]
    ---------nachtrag:
    nochmal im /packages verzeichnis openvpn entfernt, und auch die .openvpn im root von packages. dann ein make gemacht. und im /build/modified sieht es besser auch. flashe nochmal und dann gibts rückmeldung ...

    hi,
    so openvpn taucht als packet wieder auf. auf der optionsseite sehe ich leider noch keine möglichkeit die ns-type-server option zu aktivieren.

    dafür gibts jetzt jeweils eine checkbox für:
    Code:
    Eigene Keys/Certs für diese Config                         Key-Einstellung ausblenden 
    
    die verschwindet wenn man sie anklickt. glitschiger fisch!

    neu scheinen mir vpn-ip optionen, die gar nicht verschwinden wollen.

    ist das der devel-status, oder ist irgenwas mit dem patch noch nicht so wies soll?

    grüsse,
    ozett
     

    Anhänge:

  12. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #12 MaxMuster, 10 Nov. 2008
    Zuletzt bearbeitet: 10 Nov. 2008
    ... ist ja noch nicht so optimal ;-)

    Die "eigenen Zertifikate ausblenden" sollte eigentlich kommen,
    bei mehreren Konfigs && Zertifikate && Haken bei "eigene Zertifikate+Keys für diese Konfig"

    Könntest du ggf. mal neu anfangen (defaults laden)?

    Jörg

    Das ganze sollte eigentlich so aussehen: (Moment, ich muss gerade hier auf diesem Rechner das Image basteln...)
    Ooops, ist auch bei mir ein Fehler drin.
    Sorry, teste doch mal bitte den korrigierten Anhang (vorher das alte gepatchte mit "patch -p0 -R < openvpn_20081108.diff" rückgängig machen), dann wieder Ordner und .openvpn-Datei löschen...
     

    Anhänge:

  13. ozett

    ozett Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #13 ozett, 10 Nov. 2008
    Zuletzt bearbeitet: 10 Nov. 2008
    wird gemacht

    aber gerne, compile läuft ....

    grüsse,ozett

    --------und:
    sieht alles super aus. nun wieder gerade, richtig, und in ordnung. irgenwie waren wellen auf der oberfläche. (kann zwar nicht mit gegenstelle testen, wird aber nachgeholt). das gui sieht aber superaus.

    vielen dank für die hilfe, echt stark! :groesste:
     

    Anhänge:

  14. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... ach so, zum Testen reicht dann ein (ggfls. IP anpassen)
    Code:
    scp build/modified/filesystem/usr/lib/cgi-bin/openvpn.cgi root@192.168.178.1:/tmp
    
    und auf der Box (per telnet oder ssh oder RudiShell):
    Code:
    mount --bind /tmp/openvpn.cgi  /usr/lib/cgi-bin/openvpn.cgi
    
    Jörg
     
  15. ozett

    ozett Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    aber nicht drin

    hi,
    danke für den testtip. dann ist es aber nur zum testen des gui, oder? funktional ist es nicht. zumindes wohl nicht nach aus- und einschalten, was?
     
  16. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... jein ;-)
    In diesem Fall (oder immer dann, wenn nur die GUI selbst geändert wurde und z.B. die Parameter gleich bleiben) ist das, solange es auf der Box ist, auch funktionabel, d.h. wenn du damit eine Einstellung machst, so wird die auch vorgenommen. Und da in diesem Fall die Parametererweiterung usw. schon korrekt waren und nur die GUI einen Fehler hatte, klappt das: Nach dem Neustart ist dann die Einstellung noch da, die GUI aber weg...

    Jörg