Hallo,
done.
Gruß, noisefloor
Ehemaliger
Anmeldungsdatum: Beiträge: 28954 Wohnort: WW |
Hallo, done. Gruß, noisefloor |
Anmeldungsdatum: Beiträge: 55 Wohnort: Herne |
Danke. Noch ne Frage. Ich weiß nicht in wie weit sich jemand auskennt. aber ich habe vor kurzen das Widerrufen eines Zertifikats getestet und das hat auf Anhieb nicht funktioniert. Nach Recherchen im Internet konnte ich das Problem lösen. Das war nämlich, dass die crl.pem im keys Ordner abgelegt war (laut Anleitung aus der Wiki), der VPN Dienst aber als eingeschränkter Benutzer keine Zugriffsrechte hatte zu dieser Datei. Um dies zu umgehen, habe ich die crl.pem in /etc/openvpn/ verschoben und die Zugriffsrechte auf den gleichen Benutzer gelegt, unter dem auch der Dienst gestartet wird (z. B. nobody). Ich wollte die Zugriffsrechte der Unterordner nicht "aufweichen" wegen dieser Datei. Wenn jemand diesen Umstand bestätigen könnte, würde ich den Artikel gerne ändern/erweitern. Oder hat jemand eine andere Lösung? |
Anmeldungsdatum: Beiträge: 6 |
Hallo, ich hatte Probleme, das der DNS von Server nicht in die resolve.conf eingetragen wird. dies lies sich ändern mit dem Eintrag der Zeilen in die client.conf script-security 2 up /etc/openvpn/update-resolv-conf down /etc/openvpn/update-resolv-conf Gruß |
Anmeldungsdatum: Beiträge: 14259 |
Und? Ohne jegliche Informationen zum System (Ubuntu- und openVPN-Version, Systemarchitektur), fuer das deine Einstellung funktioniert, sind solche Aussagen irrelevant. Bitte zukuenftig beruecksichtigen. Davon abgesehen gab es weder eine Datei resolve.conf noch gibt es solche, die in welchem Ordner liegen sollte? Falls /etc/resolv.conf gemeint ist, warum enthaelt diese dann folgenden Hinweis? # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN |
Anmeldungsdatum: Beiträge: 6 |
Hallo, ich hatte das Problem bis jetzt in 12.04, 12.10, 13.04, 13.10 und 14.04 Ubuntu, so wie Kubuntu und Lubuntu (alles nicht im NetworkManager bzw. das Pendant der jeweiligen Version) Sobald sich der Client mit dem Server verbindet, sollte der Client den DNS-Server nehmen, der in der Datei /etc/openvpn/server.conf unter dem Eintrag push "dhcp-option DNS 10.8.0.1" nehmen. Das macht der Client (laut google nur bei Linux) aber nicht. Somit hat man ggf. keine so ganz sichere Leitung, das DNS-anfragen so über den Router an den lokalen Zugangsanbieter gehen und nicht an den Openvpn Server. Dadurch entsteht zum einen der Nachteil, das DNS-Sperren nicht umgangen werden können und zum anderen der unsichere Zugangansanbieter zumindest sehen kann, welche Seiten man an surft. Wer auch das Problem hat, dem ist damit geholfen, in dem er das von mir beschrieben macht.
kann man z.B. hier nachlesen https://wiki.archlinux.de/title/Resolv.conf |
Anmeldungsdatum: Beiträge: 14259 |
Das ist jetzt schon wesentlich informativer - danke ☺ Wie man das allerdings in den Wiki-Artikel einbauen koennte, ist mir noch nicht klar. Insbesondere da eigentlich alle Ubuntu-Varianten den Network-Manager einsetzen und damit Aenderungen an /etc/resolv.conf nicht zu empfehlen sind. Vielleicht hat ja noch jemand anderes eine Idee? |
Anmeldungsdatum: Beiträge: Zähle... |
Kurzer Hinweis: Ich denke, es wird im Beitrag nicht deutlich genug, dass der ca.key nicht auf dem Server liegen muss. Bspw. dieses Bild leitet einen in die Irre: http://media.cdn.ubuntu-de.org/wiki/thumbnails/d/d9/d9bad18144ae20c1b787a8f133a66468df4fe833i300x.png Der CA Key sollte möglichst auf keinem Rechner mit Netzanbindung liegen, höchstens kurzzeitig, während neue Client/Server Keys erzeugt werden. Der CA Key ist nur für die Signierung der Keys notwendig, er hat keine Bedeutung im laufenden Betrieb mehr. Ganz im Gegenteil - sollte bspw. ein Angreifer diesen Key in die Finger bekommen, kann er sich selbst beliebige neue Keys erstellen/signieren und ungehindert VPN Verbindungen aufbauen. |
Ehemaliger
Anmeldungsdatum: Beiträge: 28954 Wohnort: WW |
Hallo, @trapperjohn: du kannst den Text gerne dahingehend korrigieren. Bzgl. des Bilds müssen wir mal sehen... Weiß gerade gar nicht, wo das her kommt bzw. was die Quelle ist. Gruß, noisefloor |
Anmeldungsdatum: Beiträge: 14259 |
Das muesste OpenVPN/openvpn-key-overview.png sein - wurde im Mai dieses Jahres hinzugefuegt. |
Anmeldungsdatum: Beiträge: 235 |
Was mir ein bischen fehlt ist, die erstellung der *.ovpn, die man zur herstellen der verbindung braucht, normaler weise. |
Anmeldungsdatum: Beiträge: Zähle... |
Huhu - das ist doch nicht ernsthaft eine Konfigurationsanleitung, oder? |
Anmeldungsdatum: Beiträge: 55 Wohnort: Herne |
Hallo trapperjohn, danke für den Hinweis. Das Bild hab ich erstellt, die Revisioinsübersicht sagt dazu "Uebersichtsbild des Key-Speicherorte eingefuegt". Abgesehen von einem Rechtschreibfehler stimmts so 😉. Zudem gibts ja auch die Info über die Anhänge, in der der Bearbeiter ebenfalls sichtbar ist. Soweit ich mich erinnere, hat der Artikel das damals so beschrieben. Oder aber ich habe ihn missverstanden 😉. Ich habe die Datei in der Grafik in Klammern gesetzt. Ich denke, da sie zur Sicherheit (aber trotzdem optional) nicht auf dem Server abgelegt sein solle, wäre die jetzige Darstellung ein Weg. Was haltet ihr von dem Vorschlag? Gruß
|
Anmeldungsdatum: Beiträge: 11 |
Man kann den CA Key natürlich ablegen, wo man möchte - technisch spricht nichts dagegen. Aber aus Sicherheitsgründen sollte gerade der Server der letzte Ort der Wahl sein. Ich hätte auf dem Bild einen separaten Rechner dargestellt, der die Aufgabe der CA übernimmt. |
Anmeldungsdatum: Beiträge: 55 Wohnort: Herne |
Ich habe das Bild entsprechend modifiziert. Danke für die Info. Im Detail kenne ich mich nicht mit OpenVPN aus, daher finde ich den Hinweis auf jeden Fall wichtig. Bitte nach Bedarf nochmal die Übersicht kontrollieren. |
Anmeldungsdatum: Beiträge: 11 |
Sieht gut aus! |