Openvpn webinterface fuer ns-cert-type server

ozett

Neuer User
Mitglied seit
25 Jul 2006
Beiträge
85
Punkte für Reaktionen
0
Punkte
6
hi,
fuer die openvpn konfiguration wird wohl immer wenn man im webinterface zertifikate wählt in der konfigurationsdatei die option "ns-cert-type server" mit aktiviert. ich habe das manuelle in source disabled, da eine gateprotect gegenstelle keine solcherart gekennzeichneten serverzertifikate erstellt oder verwendet. und damit käme dann auch keine vpn-verbindung zustande. eine option im webinterface von freetz um diese strenge prüfung auch auszuschalten fände ich gut. gibts dazu überlegungen das mal anzuregen/umzusetzen?

grüsse,
ozett
 
Das ist deswegen "automatisch" mit drin, weil das Rauslassen ein echter Sicherheitsnachteil ist (jeder, der ein Client-Cert hat, könnte sich als Server ausgeben!).

Letztlich ist für deinen Vorschlag ein "schöner" Platz in der GUI sowie eine zusätzliche Config-Variable nötig, was wegen der mehrfachen Configs "einiges" an Aufwand ist.

Mal sehen, wenn ich mal zuviel Zeit habe ;-)...

Jörg
 
Zuletzt bearbeitet:
client-server

hi,
ok. verstehe. erstmal danke fürs drübernachdenken, ;)

mein real-life ausgangsstellung ist, dass auf der gateprotect-firewall ein zertifikat-wizard ist, der leider den server-type nicht mit ins zertifikat schreibt. mit den voreinstellungen im freetz für openvpn gibts also bei der strengen ns-cert-type-prüfung keine verbindung. meine manuelle änderung der quellen geht, aber vielleicht hilft ja anderen auch ne gui option. müsste wohl unter experteneinstellungen mit warnhinweis laufen. oder als option im freifeld, um die bestehende option zu neutralsieren ...?

also erstmal danke fürs registrieren, ich guck mal weiter im trunk obs auftaucht ...

:cool:

grüsse.
ozett
 
... versuche doch mal, ob dieser Patch dir was bringt...
(Patch im freetz-Verzeichnis auspacken und dann "patch -p0 < openvpn_20081108.diff")

Jörg
 

Anhänge

  • openvpn_20081108.diff.gz
    2 KB · Aufrufe: 5
option hidden

hi maxmuster,
habe mal ins diff geschauft und sehe sowas wie "Auch Zertifikate ohne \"ns-cert-type server\" akzeptieren'". super. ich habe den patch jetzt mal im freetz-devel 2721 für die fritzbox5140 gemacht. patch war ohne fehler, allerdings habe ich die option nicht endecken können. bestimmt von einer anderen vorauswahl abhängig, oder? vielleicht bin ich auch etwas blind.:gruebel:

ich mache jetzt noch mal ein image für eine fritzbox fon und gucke dann da nocheinmal nach, ob ich was entdecken kann. sonst ein tip?

grüsse,ozett
 
Ja, das geht (oder sollte gehen?!?) nur bei der Auswahl Client und Zertifikate.
Ist das ein Denkfehler?!?

Ach so:
Vor einem make mal das "alte" Paket löschen mit "rm -rf packages/openvpn-2.1_rc13/ ; rm packages/.openvpn-2.1_rc13 "


Jörg
 
openvon webif weg ...

hi, und oooops,
das remove gemacht, ein image gemacht, und: ooops :oops:, der Menupunkt für openvpn ist nicht mehr da.:(

jetzt habe ich ein make config-clean-deps gemacht, und lass das nochmal bauen. hoffe es hilft. oder fehlt noch was im patch ? :-?

grüsse,ozett
 
hoffe ich auch nicht...
Steht denn was von "openvpn" da im make-Lauf? Wird der Ordner "packages/openvpn-2.1_rc13/" neu angelegt?
Du kannst vor dem Flashen schon im build/modified/filesystem Ordner stöbern, ob und was alles da ist.


Jörg
 
weg ist weg

hi,
ordner openvpn unter packages ist neu angelegt, aber nicht im build/filesystem und nicht im image. hmmmm? neue .config anlegen? oder kaputt?

grüsse,
ozett

------naachtrag:
ich versuche es mal mit "make clean" und ner neuen .config im freetz-devel 2723m. ergebnis kommt dann ....
 
Zuletzt bearbeitet:
Schaust du nochmal, ob openvpn gewählt ist? Ist der Ordner in packages auch "richtig gefüllt", also unter etc/default_openvpn, usr/lib/cgi-bin usw?
Steht beim make-Lauf das openvpn unter "installing packages" da?

Jörg
 
[Edit frank_m24: Mehrere Beiträge innerhalb weniger Minuten zusammengefasst. Man kann seine Beiträge auch editieren. Lies noch mal die Forumregeln.]
hi,
also make clean gemacht (alle alten images in /images auch weg. na gut)
.config gelöscht. make menuconfig gemacht. openvpn neu ausgewählt.
in make-lauf erscheint auch das package, im webif ist es nicht da. und auch im /build/modified/filesystem/etc sieht nix nach openvpn aus. das ist komisch. hat der patch was magisches gehabt? ;)

[Beitrag 2:]
---------nachtrag:
nochmal im /packages verzeichnis openvpn entfernt, und auch die .openvpn im root von packages. dann ein make gemacht. und im /build/modified sieht es besser auch. flashe nochmal und dann gibts rückmeldung ...

hi,
so openvpn taucht als packet wieder auf. auf der optionsseite sehe ich leider noch keine möglichkeit die ns-type-server option zu aktivieren.

dafür gibts jetzt jeweils eine checkbox für:
Code:
Eigene Keys/Certs für diese Config                         Key-Einstellung ausblenden

die verschwindet wenn man sie anklickt. glitschiger fisch!

neu scheinen mir vpn-ip optionen, die gar nicht verschwinden wollen.

ist das der devel-status, oder ist irgenwas mit dem patch noch nicht so wies soll?

grüsse,
ozett
 

Anhänge

  • packages.JPG
    packages.JPG
    59.8 KB · Aufrufe: 7
  • webif.JPG
    webif.JPG
    35 KB · Aufrufe: 7
  • vpn-ip.JPG
    vpn-ip.JPG
    44 KB · Aufrufe: 7
... ist ja noch nicht so optimal ;-)

Die "eigenen Zertifikate ausblenden" sollte eigentlich kommen,
bei mehreren Konfigs && Zertifikate && Haken bei "eigene Zertifikate+Keys für diese Konfig"

Könntest du ggf. mal neu anfangen (defaults laden)?

Jörg

Das ganze sollte eigentlich so aussehen: (Moment, ich muss gerade hier auf diesem Rechner das Image basteln...)
Ooops, ist auch bei mir ein Fehler drin.
Sorry, teste doch mal bitte den korrigierten Anhang (vorher das alte gepatchte mit "patch -p0 -R < openvpn_20081108.diff" rückgängig machen), dann wieder Ordner und .openvpn-Datei löschen...
 

Anhänge

  • openvpn_20081108_v2.diff.gz
    2 KB · Aufrufe: 5
  • Bildschirmphoto9.png
    Bildschirmphoto9.png
    22.1 KB · Aufrufe: 5
Zuletzt bearbeitet:
wird gemacht

aber gerne, compile läuft ....

grüsse,ozett

--------und:
sieht alles super aus. nun wieder gerade, richtig, und in ordnung. irgenwie waren wellen auf der oberfläche. (kann zwar nicht mit gegenstelle testen, wird aber nachgeholt). das gui sieht aber superaus.

vielen dank für die hilfe, echt stark! :groesste:
 

Anhänge

  • ns-cert-type.JPG
    ns-cert-type.JPG
    100.1 KB · Aufrufe: 8
Zuletzt bearbeitet:
... ach so, zum Testen reicht dann ein (ggfls. IP anpassen)
Code:
scp build/modified/filesystem/usr/lib/cgi-bin/openvpn.cgi [email protected]:/tmp

und auf der Box (per telnet oder ssh oder RudiShell):
Code:
mount --bind /tmp/openvpn.cgi  /usr/lib/cgi-bin/openvpn.cgi

Jörg
 
aber nicht drin

hi,
danke für den testtip. dann ist es aber nur zum testen des gui, oder? funktional ist es nicht. zumindes wohl nicht nach aus- und einschalten, was?
 
... jein ;-)
In diesem Fall (oder immer dann, wenn nur die GUI selbst geändert wurde und z.B. die Parameter gleich bleiben) ist das, solange es auf der Box ist, auch funktionabel, d.h. wenn du damit eine Einstellung machst, so wird die auch vorgenommen. Und da in diesem Fall die Parametererweiterung usw. schon korrekt waren und nur die GUI einen Fehler hatte, klappt das: Nach dem Neustart ist dann die Einstellung noch da, die GUI aber weg...

Jörg
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.