Anzeige:
Ergebnis 1 bis 5 von 5

Thema: openvpn vpn: unterschied: secret + cert

  1. #1
    Registrierter Benutzer Avatar von sam600
    Registriert seit
    Sep 2007
    Beiträge
    341

    openvpn vpn: unterschied: secret + cert

    hallo

    ich richte meine vpn verbindungen mit folgender config ein:

    Code:
    dev tun1
    ifconfig 192.168.18.1 192.168.18.2
    secret vpnkey11.key
    port 6000
    immer wieder lese ich, das man auch zertikate anlegen kann und mit folgender config eine vpn aufbauen kann:

    z.b.:
    Code:
    ...
    ca certs/vpn-ca.pem 
    cert certs/servercert.pem 
    key certs/serverkey.pem
    ...
    frage:
    ist die vpn mit dem "key" sicher?
    oder warum sollte man ein zertifikat erstellen, wenn es mit dem key auch geht?

    danke

  2. #2
    root !*****istrator Avatar von mbo
    Registriert seit
    Oct 2000
    Ort
    Karlsruhe
    Beiträge
    1.717
    OpenVPN mit PresharedKey hat den Nachteil, dass Du nicht unendliche viele (theoretisch) PSK verwenden kannst, sondern nur einen, es sei denn, Du richtest für jeden ein eigenen OpenVPN-Server ein. Dumm ist es, wenn dieser Key in falsche Hände gerät, dann musst Du jedem befugtem den neuen Key zukommen lassen. Zertifikate kannst Du entsprechend personalisieren und einzeln revoken , hast aber ein Problem, wenn Deine CA "korrumpiert" wird (CA gut abschließen). Für einzel- bzw. überschaubare Anzahl der Verbindungen ist der PSK noch geeignet. Philosophisch gibt es ständige Diskussionen und Grabenkämpfe zw. PSK- und Cert-Verfechtern.

    Eines unserer letzten Szenarios: OpenVPN mit OpenSSL-Zertifikaten und ldap-auth gegen das AD. Die gleichen Zertifikate werden für die https-Seiten verwendet, und die Clients haben alle ihre Zertifikate für die Website-Bereiche, die nur mit Clientzertifikate gem. CN/OU erreichbar sind.

    Fazit: Mit Certifikaten ist die Unterscheidung der Benutzer und das Management (Austausch, Gültigkeit, Verwendbarkeit etc) bedeuten leichter.
    Lohnt sich aber wirklich erst bei mehr als ein/zwei Benutzer oder enstprechender Vielzahl an Anwendungen mit Certifikatsunterstützung.
    Geändert von mbo (03.07.08 um 14:11 Uhr) Grund: rethorik
    42

  3. #3
    Registrierter Benutzer Avatar von sam600
    Registriert seit
    Sep 2007
    Beiträge
    341
    Zitat Zitat von mbo Beitrag anzeigen
    Fazit: Mit Certifikaten ist die Unterscheidung der Benutzer und das Management (Austausch, Gültigkeit, Verwendbarkeit etc) bedeuten leichter.
    Lohnt sich aber wirklich erst bei mehr als ein/zwei Benutzer oder enstprechender Vielzahl an Anwendungen mit Certifikatsunterstützung.
    super danke duer deine ausfuehrlich antwort.
    d.h.: psk + cert sind beide sicher!

    derzeit habe ich 12 vpn verbindungen mit psk.
    der vorteil: denke ich zumindest, ich kann jederzeit einzelen vpn abschalten bzw. wieder einschalten.

    danke

  4. #4
    root !*****istrator Avatar von mbo
    Registriert seit
    Oct 2000
    Ort
    Karlsruhe
    Beiträge
    1.717
    Du kennst die Managementkonsole von OpenVPN?

    Wenn nicht: management localhost 7505 in die Config eintragen und dann restart und per telnet localhost 7505 connecten.
    42

  5. #5
    Registrierter Benutzer Avatar von sam600
    Registriert seit
    Sep 2007
    Beiträge
    341
    Zitat Zitat von mbo Beitrag anzeigen
    Du kennst die Managementkonsole von OpenVPN?

    Wenn nicht: management localhost 7505 in die Config eintragen und dann restart und per telnet localhost 7505 connecten.
    nein, aber schaue ich mir gerade an.

    habs verstanden...

    mit der management konsole kann ich vpn verbinden administrieren die mit cert laufen...
    Geändert von sam600 (03.07.08 um 16:16 Uhr)

Ähnliche Themen

  1. Openvpn und NetworkManager in Suse 10.3
    Von junker im Forum Anbindung an die Aussenwelt
    Antworten: 1
    Letzter Beitrag: 13.06.08, 04:09
  2. TLS-Error: Unroutable Control Packet bei OpenVPN
    Von Miksch im Forum Anbindung an die Aussenwelt
    Antworten: 5
    Letzter Beitrag: 24.04.06, 16:51
  3. Kaffeine und Kax-TV
    Von dingeling im Forum Neue Programme/Versionen
    Antworten: 6
    Letzter Beitrag: 23.03.05, 07:47
  4. Fehlermeldung mit ipsec
    Von VPN-Projekt im Forum Sicherheit
    Antworten: 6
    Letzter Beitrag: 06.02.04, 14:30
  5. VPN will mag nicht!
    Von Diabolo im Forum Sicherheit
    Antworten: 4
    Letzter Beitrag: 26.06.02, 17:21

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •