Hallo,

meine wlan-Sicherung per openvpn läuft hervorragend. Mal sehen, wann die ersten Fremdlinge sich in mein bis zum AP unverschlüsseltes WLAN wagen. :)

Zum Thema: Ich authentifiziere die zugelasenen Clients per Zertifikat. Klappt wunderbar. Ich möchte aber eigentlich ein whitelisting einführen, ähnlich wie bei postfix, wo man ja auch erst die zum relaying zugelassenen Zertifikate angeben muss. Wie trage ich das in meine vpn.conf ein? Und vor allem: Was muss da rein?

Die zweite Frage ist: Wie kann man vom VPN-Server aus den Clients ein standard-gateway zuweisen? Bisher bekommen die Clients per DHCP das standard-gateway mitgeteilt. Dieses wird dann auch für das VPN benutzt. Nehme ich die option



option routers x.x.x.x;


aus der dhcpd.conf raus, klappen die Verbidnungen ins Internet nicht mehr. über die blabla.conf kann man per openvpn den clients ja gewisse Einstellungen per push übergeben. Gibt es da auch eine Option für das standard-gateway?


Danke!
Mett

Hallo,

so, auch dieses Problem wäre gelöst. Allerdings ist die Frage mit dem Sperren von Zertifikaten noch offen. Weiß da jemand was?

Edit: Das Problem mit dem standard-gateway muss ich gelöst haben, in dem ich in die server-Konfiguration folgende Zeilen geschrieben habe:



push "route x.x.x.0 255.255.255.0"
push "dhcp-option DNS x.x.x.1"
push "dhcp-option DOMAIN internblabla"
push "dhcp-option ROUTERS x.x.y.1"


Mett

http://openvpn.net/howto.html#revoke

*patsch* Danke. Vielleicht sollte ich langsam mal ins Bett und mich ausschlafen. Achso, das hab ich ja heute Nacht. Mist, ich fühl mich wie gerädert. Trotzdem danke für den dezenten Hinweis. :)


Gute Nacht
Mett

Hi,

so, ich hab mal auf der Seite nachgeschaut. Die setzen irgendwie ein Skript namens easy-rsa voraus. Das setze ich aber nicht ein. Ich hab ein eigenes Skript, mit dem ich unterschriebene Zertifikate für meine ganzen Server-Dienste selbst erstelle. Ich will ja außerdem ein Zertifikat nicht komplett zurückziehen, sondern nur bestimmt, wofür ein Zertifikat eingesetzt werden darf, so wie es bei postfix möglich ist.

Gibt es bei openvpn denn keine Möglichkeit, eine whitelist einzurichten?


Mett

Ich weis jetzt nicht, was du machen möchtest. :confused:

Hi,

ich will festlegen können, welche Zertifikate sich per openvpn anmelden können. So wie man unter postfix festlegen kann, welche Zertifikate zum relaying zugelassen sind. Standardmäßig sind unter openvpn ja alle Zertifikate zum login zugelassen, die von meiner CA unterschrieben sind.


Mett

Ich glaube, dass geht nicht.

So, doch. Das geht. Zufällig hab ich rausgefunden wie es geht und natürlich möchte ich niemanden dumm sterben lassen:

Also. Zuerst muss natürlich das Zertifikat "revoked" werden. Das geht per openssl und zwar so (generell wechselt man in das ssl-Verzeichnis; bei mir ist das /etc/ssl):


openssl ca -revoke pfadzumcert/cert.pem

Damit wird das Zertifikat zurückgezogen. Nun benötigt man noch eine Liste, in der alle zurückgezogenen Zertifikate stehen. Die sogenannte Certificate Revocation List (CRL). Die liegt bei mir in /etc/ssl/crl und heißt crl.pem. Alle zurückgezogenen Zertifikate werden in der /etc/ssl/index.txt als revoked markiert und aus dieser Datei entsteht per


openssl ca -gencrl -out crl/crl.pem

die CRL. Diesen zweiten Befehl muss man immer ausführen, wenn man ein Zertifikat für ungültig erklärt hat.

Damit openVPN diese Liste nutzt, muss in die openVPN-Server-Config folgende Zeile hinein:


crl-verify /etc/openvpn/crl/crl.pem

Ich kopiere die Datei /etc/ssl/crl/crl.pem in das Verzeichnis /etc/openvpn/crl. Nun macht man einen Neustart des openvpn-daemon und das wars. Alle zurückgezogenen Zertifikate werden nun nicht mehr von openVPN zur Anmeldung akzeptiert.

Wenn es noch Fragen gibt: Fragen!

Edit: Hier noch mein kleines Skript:



#!/bin/sh

# Aufruf dieses Skriptes mit bspw.
# revoke pfadzumcert/cert.pem

# SSL-Zertifikat wird zurueckgezogen...
openssl ca -revoke $1

# CRL erstellen...
openssl ca -gencrl -out crl/crl.pem

#CRL an die beoetigten Stellen kopieren...
cp /etc/ssl/crl/crl.pem /etc/openvpn/crl/crl.pem



Tschö
Mett

Hallo,

so, auch dieses Problem wäre gelöst. Allerdings ist die Frage mit dem Sperren von Zertifikaten noch offen. Weiß da jemand was?


Mett
Und wie?
Iregndwann möchte ich mich auch mal an openvpn machen - das scheint mir eine wichtige Funktion!?

Greetz
Thomas

das scheint mir eine wichtige Funktion!?

Was? Das Sperren von Zertifikaten? Bitte stelle eine präzise Frage. :p


Gute Nacht
Mett

Was? Das Sperren von Zertifikaten? Bitte stelle eine präzise Frage. :p


Gute Nacht
Mett

So präzise wie deine Aussage :confused: , die ich zitiert habe. Du schreibst in deinem 2. Post (siehe dort) "so, auch dieses Problem wäre gelöst - jetzt noch das Sperren von Zertifikaten....". Unter Berücksichtigung deines 1. Posts wenige Pixel oben drüber und der Hoffnung, dass Du bei Sinnen warst, muß der geneigte Leser davon ausgehen, dass du das Standard-Gateway-Thema gelöst hast - ohne allerdings zu erzählen wie (sehr beliebt in Foren: Frage stellen und gleich danach eine "gelöst"-Meldung ohne Kommentar :ugly: ).

Ist aber auch nicht so wichtig.
Thomas

Unter Berücksichtigung deines 1. Posts wenige Pixel oben drüber und der Hoffnung, dass Du bei Sinnen warst, muß der geneigte Leser davon ausgehen, dass du das Standard-Gateway-Thema gelöst hast - ohne allerdings zu erzählen wie (sehr beliebt in Foren: Frage stellen und gleich danach eine "gelöst"-Meldung ohne Kommentar :ugly: ).

Stimmt, das standard-gateway-Problem war gelöst. Die Lösung reinzuschreiben habe ich schlicht vergessen. Das das nicht meine Art ist, siehst du bei einem meiner letzten Posts. Du hättest dir den Seitenhieb also sparen können. Ich werde den Post ganz oben mal editieren.


Gute Nacht
Mett

Stimmt, das standard-gateway-Problem war gelöst. Die Lösung reinzuschreiben habe ich schlicht vergessen. Das das nicht meine Art ist, siehst du bei einem meiner letzten Posts. Du hättest dir den Seitenhieb also sparen können. Ich werde den Post ganz oben mal editieren.


Gute Nacht
Mett

Ja, habe mich auch gewundert, dass du es nicht reingeschrieben hast. Das mit dem Seitenhieb war nach deinem "bitte stelle eine präzise Frage" zu verlockend :D .
Die Lösung sehe ich mir gleich mal an. Thx.

Greetz