Nach Update von 2.4.5 auf 2.5.1 keine Stagged CAs mehr bei OpenVPN?
-
@jürgen-garbe said in Nach Update von 2.4.5 auf 2.5.1 keine Stagged CAs mehr bei OpenVPN?:
Es handelt sich um eine schon 2006 etablierte Fernwartungslösung für weltweit verbaute Maschinen. Diese verbinden per "Knopfdruck des Kunden" auf verschiedenste Weisen über genau einen Port durchs WAN auf unseren "Fernwartungsserver" (der früher ein Linuxserver war und heute eine pfSense-Instanz ist).
Darf man fragen welche Hardware ihr in den Maschinen als VPN Router einsetzt?
Gelernt habe ich jedenfalls daraus: vor meiner Rente läuft nichts davon mehr ab ;)
-
Darf man fragen welche Hardware ihr in den Maschinen als VPN Router einsetzt?
Keine dedizierte Hardware, das macht die Windows-Maschinensteuerung nebenbei (nicht hauen!).
-
@jürgen-garbe Es ist was es ist und es war (so gewachsen) wie es war. Da gibt's ja keinen Grund jemand zu hauen für irgendwas :)
Bei solchen Lösungen muss man nur eben wissen, was man getan hat/tut und einen halbwegs brauchbaren Plan haben um mit den Auswirkungen umzugehen. Zertifikatshandling haben leider viele gar nicht mal so gut auf dem Schirm, daher ist mehr Aufmerksamkeit da sicher nicht schlecht.
Ich vermute aber jetzt mal einfach so dahin: OpenVPN hat(te) die beiden CAs einfach als CA Liste angenommen - was per se jetzt auch kein Problem sein dürfte. Eventuell ist aber jetzt in pfSense 2.5 der Zertifikatsmanager nicht mehr in der Lage zwei CAs in einen Eintrag zu speichern und kann das deshalb nicht an den VPN Server geben/auswählen.
Du könntest aber ggf. das CA File das du so zusammenkopiert hast als File auf der Sense ablegen und das dann in der Konfiguration via Custom Option Textfeld ein-/nachladen. Eventuell funktioniert es über diesen Weg dann noch.
-
@jegr Hm, ich habe jetzt mehrere Versuche getätigt und eine andere gültige CA mal vor, mal hinter die eigentliche gepackt. Es sieht so aus, dass nur die erste ausgewertet wird und somit das Feature "Stacked CA" m. E. aktuell nicht mehr funktioniert (wobei ich nicht weiß, ob das nun an der pfSense oder am OpenVPN-Package liegt).
Du könntest aber ggf. das CA File das du so zusammenkopiert hast als File auf der Sense ablegen und das dann in der Konfiguration via Custom Option Textfeld ein-/nachladen. Eventuell funktioniert es über diesen Weg dann noch.
Würde ich gerne versuchen, weiß aber leider nicht wie und wäre deshalb zur Klärung für konkrete Handlungsanweisungen dankbar.
-
@jürgen-garbe In /var/etc/openvpn liegt die Server Conf sowie deren zusätzliche Files. Dort gibts dan auch das serverX.ca file.
Entweder kann man dreckig dort mal das zusammenkopierte File reinstecken (einfach das File überschreiben) und den Server dann via UI neu starten (und schauen ob er hochkommt).
Soweit ich das kurz bei OpenVPN 2.4 überflogen habe, ist das dort gültig wenngleich nicht empfohlen (This file can have multiple certificates in .pem format, concatenated together.) -
Wahrscheinlich meinst Du mit 'serverX.ca' nicht genau diesen Dateinamen sondern etwas generisches...
So sieht es bei mir aus:
Welche Datei meinst Du? -
@jürgen-garbe Unterordner server1 sollte alles enthalten, was den Server betrifft. Da ist auch ein CA Ordner da sollte dann das Server Zert drin sein (in deinem Beispiel müsste das 377fb034.0 sein). Da müsste man jetzt schauen, was im config.ovpn drin steht ob dort ein CApath gepusht wird oder ein CA definiert ist. Aber da könnte man dann eines dazu legen und beide angeben. :)
-
Ja, das ist die CA Datei.
In der Config sehe ich nichts auffälliges, nur die übliche Zeile:
capath /var/etc/openvpn/server1/ca
Was ich so interpretiere, dass die CA eben aus diesem Verzeichnis geladen wird (wobei... der exakte Dateiname 377fb034.0 nirgends auftaucht).Es verhält sich so:
In der CA Datei finden sich, wenn im Cert Manager eine Stacked CA definiert wurde, auch vollkommen richtig beide Zertifikate -> GUI von OpenVPN arbeitet auf jeden Fall korrekt.
Nun gibt es 2 Fälle:
a) Die abgelaufene CA befindet sich an erster Stelle -> Clients (neue CA...) können nicht mehr verbinden.
b) Die aktuelle CA befindet sich an erster Stelle -> Clients (neue CA...) verbinden wieder.Ich habe auch versucht, Deinen Vorschlag umzusetzen und in der OpenVPN Config Datei die CAs inline einzufügen. Die Ergebnisse sind aber nicht wirklich zu interpretieren, da ja bei jedem (Re-)Start von OpenVPN das Config file neu gebaut wird und ich somit die ganz oben genannte "capath" Zeile nicht wegbekomme...
Für mich sieht das aktuell immer mehr danach aus, als ob bei der Anwendung von Stacked CAs diese nicht mehr wie 'ehemals' durchprobiert werden sondern nur noch das erste gefundene angewendet wird, womit das Konzept 'Stacked CA' nicht mehr anwendbar zu sein scheint.
-
@jürgen-garbe und einfach eine zweite ca als file zusätzlich in den CA Ordner packen?
-
Wird bei jedem Neustart gelöscht...
-
@jürgen-garbe sie muss ja das richtige Format haben (ist m.W. irgendwas gehashtes oder codiertes). Neustart des Service oder des Geräts?
-
@jegr Neustart des Service schreibt die in der OpenVPN Page definierten Daten (also auch das CA File) neu, Reboot bereinigt zusätzlich den Ordner was einer Löschung der manuell 'beigelegten' Files gleichkommt.
Ich habe mal mit Deinem Input bzgl. der Dateinamen gespielt und habe jeweils von alter und neuer CA die Dateinamen übernommen. Habe aber daraus keine neuen Erkenntnisse gewinnen können
