IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 15.12.2017, 18:50

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: OpenVPN ns-cert-type is DEPRECATED
BeitragVerfasst: 28.11.2017, 10:52 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 12.04.2005
Beiträge: 206
Wohnort: Südrand Ruhrgebiet
Hallo zusammen,

ich habe auf meinem Leppe neulich eine neue Version vom OpenVPN-Client installiert.
Beim Verbindungsaufbau sprang mich dann eine Zeile in rot an:
Code:
WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.

Was verbirgt sich denn dahinter?
Suchmaschine angeworfen und fündig geworden: https://forum.ipfire.org/viewtopic.php?t=18852
Es geht also darum, dass der Client überprüft, ob er sich überhaupt mit dem richtigen Server verbindet - und nicht mit einem Mann in der Mitte dazwischen.
Sehr sinnvoll also.

Nur reicht das einfache Ersetzen des Parameters in der client.conf nicht aus, weil das Host-Zertifikat auf meinem Cop die TLS Web Server Authentication nicht unterstützt.
Also brauche ich wohl neue Zertifikate auf dem Cop - das ist schon mal keine gute Nachricht, weil dann auch alle Client-Zertifikate erneuert und verteilt werden müssen.
Aber so soll es wohl sein - und besser jetzt als nach Erscheinen der 2.5

Frage deshalb: Wo stelle ich ein, dass beim Erzeugen der Host-Zertifikate TLS Web Server Authentication dabei ist?
Oder ist das mit einem der Updates 2.1.x bereits erfolgt und ich muss die Zertifikate einfach nur neu erzeugen?

Gruß
Claus

_________________

ipcop001: P3-466; 256MB; 2*60GB; GREEN-RED
ipcop100: E6300; 1GB; 2*160GB; GREEN-RED-BLUE
ipcop110: Celeron 430; 1GB; 2*500GB; APC SU-2200; GREEN-RED-BLUE
Software: IPCop 2 mit OpenVPN, Update-Accelerator, URL-Filter


Nach oben
   
BeitragVerfasst: 29.11.2017, 09:22 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 797
thc hat geschrieben:
Hallo zusammen,

Code:
WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.

Was verbirgt sich denn dahinter?
Suchmaschine angeworfen und fündig geworden: https://forum.ipfire.org/viewtopic.php?t=18852
Es geht also darum, dass der Client überprüft, ob er sich überhaupt mit dem richtigen Server verbindet - und nicht mit einem Mann in der Mitte dazwischen.
Sehr sinnvoll also.

.....
Frage deshalb: Wo stelle ich ein, dass beim Erzeugen der Host-Zertifikate TLS Web Server Authentication dabei ist?
Oder ist das mit einem der Updates 2.1.x bereits erfolgt und ich muss die Zertifikate einfach nur neu erzeugen?

Gruß
Claus


Ja ..und weiter ??

Solange du nicht upgradest auf eine Version, die das NICHT mehr kann ist doch alles gut.
Zu update... Manual lesen, welche openVPN-Version dort zum Einsatz kommt und was die kann.

Warning ist eben nicht Error, nur der dezente Hinweis, daß es mit neueren Versionen evtl. nicht mehr geht.
Also "wühlst du", was deine aktuelle openVPN-Version kann .

Ggfs. mußt du eben (auch) einen alten Client nehmen und nur die fehlerhaften Dinge (stehen in den Release-notes) nicht verwenden! Problematisch waren ja nur bestimmte "Konfigurationen".

Ja - ich weiß: macht (Zusatz)Arbeit! ;-)

Fred
ps: wer hat dir das Märchen von neu zu erzeugenden Zertifikaten erzählt ? Die Problematik liegt im Bereich SSL/TLS


Nach oben
   
BeitragVerfasst: 29.11.2017, 11:48 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 12.04.2005
Beiträge: 206
Wohnort: Südrand Ruhrgebiet
Zitat:
Solange du nicht upgradest auf eine Version, die das NICHT mehr kann ist doch alles gut.

Kann man natürlich machen - es soll ja auch noch den einen oder anderen Rechner mit XP geben, weil der kein Update bekommen sollte oder durfte.
Eine richtige Option ist das für mich aber auf Dauer nicht.
Irgendwann kommt 2.5 und 2.4.x wird auf dem letzten Stand eingefroren.
Irgendwann stellt jemand fest, dass im Client ein Problem steckt, das in 2.4 auch schon drin war - und dort natürlich nicht mehr behoben wird, weil es ja inzwischen 2.5 gibt.
Und dann?
Doch Upgrade auf 2.5.x ganz ohne Authentifizierung des Servers, weil die geht ja dann nicht mehr mit ns-cert-type?

Praktischerweise habe ich sowieso gerade in meinen Cop zu Hause größere Platten eingebaut und deshalb die alten zum Rumspielen zur Verfügung.
Also habe ich eine davon mal an ein Testboard gehangen und angefangen, mich an Hand des Beitrags im anderen Forum auf die Suche zu machen, was überall geändert werden muss.
In /etc/ssl gibt es zum Beispiel zwei Dateien openssl.cnf und openvpn.cnf - und die openssl.cnf ist die für das Erzeugen der Zertifikate maßgebliche.
Wofür die openvpn.cnf gut ist, weiß ich (noch) nicht - kommt aber noch.
Ein besonderer Stolperstein liegt dann noch darin, dass in der vpnca.cgi für die Signierung des Host-Zertifikats ausgerechnet der Abschitt mit den X509-Erweiterungen hardkodiert ist.
Das mag ich eigentlich gar nicht, Dateien vom Cop zu ändern, die zum Lieferumfang gehören.

Auf jeden Fall habe ich auf dem Test-IPCop jetzt schon mal Zertifikate mit TLS Web Server Authentication.
Nächster Schritt wird dann sein, die mal mit einem Client auch tatsächlich auszuprobieren.

Gruß
Claus

P.S.
Zitat:
Märchen von neu zu erzeugenden Zertifikaten

Da möchte ich doch mal sehen, wie ohne neue Zertifikate remote-cert-tls funktionieren soll

_________________

ipcop001: P3-466; 256MB; 2*60GB; GREEN-RED
ipcop100: E6300; 1GB; 2*160GB; GREEN-RED-BLUE
ipcop110: Celeron 430; 1GB; 2*500GB; APC SU-2200; GREEN-RED-BLUE
Software: IPCop 2 mit OpenVPN, Update-Accelerator, URL-Filter


Nach oben
   
BeitragVerfasst: 29.11.2017, 19:22 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 797
thc hat geschrieben:
P.S.
Zitat:
Märchen von neu zu erzeugenden Zertifikaten

Da möchte ich doch mal sehen, wie ohne neue Zertifikate remote-cert-tls funktionieren soll


Das haben dir Millionen von (https) Websites vorgemacht ! Und Mailserver....
Umstellung SSL/TLS auf neuere Versionen .... und bei keinem User mußten Zertifikate getauscht werden (public Keys)

Zumal ja Zertifikate und TLS nicht miteinander zu tun haben; das Zertifikat bestätigt ja nur die Echtheit des Benutzers.

Aber wie man an deiner Frage (siehe Topic) sieht, kennst du dich da viel besser aus ;-)

Fred
ps: ich habe auch meine "alten" RW Zertifikate von Ipcop 1.4x auf den IPCop 2.x (und dann auch auf einen Raspi) immer mitgenommen und die funktionieren noch. Das war "sicher falsch" ;-)


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de