VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Das schwierige Thema VPN!
zargano
Posts: 192
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by zargano » January 9th, 2019, 6:56 pm

fredym wrote:
January 9th, 2019, 4:52 pm
Nööö .. habe sowas immer im Fernzugriff (via ssh ) gemacht, geht wenn man sorgfältig arbeitet und vorher (sollte man) an einem Beispiel über ;-)
NULL Fehler ist Bedingung
Oh, Du liebst also den Hochseiltanz ohne Auffangnetz... Vorher üben ist dabei in der Tat Pflicht.

Nix für mich! Entweder lokal an der Konsole arbeiten, oder remote mit Management-Konsole (z.B. HP iLO), über die ich im Zweifelsfall sogar das Bios von Ferne erreiche oder von einer ISO booten kann.

ziro
Posts: 5
Joined: January 4th, 2019, 5:38 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by ziro » January 10th, 2019, 4:27 pm

Danke Fred du machst mir wieder hoffnung. Kannst du mir beschreiben wie das geht?

fredym
Posts: 488
Joined: November 14th, 2016, 2:45 pm

Re: VPN IPfire --- Ipcop 2.1.9 mit Zertifikaten

Post by fredym » January 11th, 2019, 9:59 am

ziro wrote:
January 10th, 2019, 4:27 pm
Danke Fred du machst mir wieder hoffnung. Kannst du mir beschreiben wie das geht?
Hallo,
nötiger Vorspann: ich habe @zargano NICHT aufmerksam gelesen - also bitte daraus nicht zitieren ;-) Wenn er es erflogreich gemacht hat, muß es passen.

Ansonsten: openVPN hat eigene CAs; theoretisch (!!) kannst du die Konfiguration kopieren - müffelt evtl. rum wenn Hostname anders ist, aber das hat er umsonst. Immer ganz genau aufpassen : warning und error ..
IIRR ist tls-auth neu (steht alles in den Änderungsprotokollen bei openvpn.net) ns-cert (oder so) wird mindestens meckern! mit abgekündigt.
Du mußt dir also die Parameter genau ansehen, was mit der aktuellen Version noch geht, was schon entfernt wurde (da war was ab openVPN 2.4), dann kopierst du den kompletten Zertifikatskram auf die andere Maschine und die alte/angepasste Konfiguration und startest alles neu...geht.
Klugerweise machst du das in einem Testsetup; weil: du mußt noch sehen, daß dir das Webinterface nix kaputt macht!!
ggfs. vorher per CLI anpassen; denke daran, daß ab core 120 (oder dort in der Gegend) eine Umstellung auf openVPN2.4 war - Forumssuche hilft weiter.
Bei mir ist es ein "paar Donnerstage" her seit der letzten Umstellung (was openVPN 2.2 bzw. 2.3 noch aktuell)
Idealerweise liest du mal nach: openVPN auf dem Raspi einrichten! Dort werden alle nötigen Schritte per Cli beschrieben, was du wie erzeugen mußt; Das ziehst du dir zu Gemüte ... und dann weißt du, was wie übertragen werden muß,
Die GUI (in IPFire) vereinfacht vieles ... aber man kann es trotzdem auch "zu Fuß" =Cli machen !
Und - natürlich kann man technisch gesehen - auch dh 1024 Bit benutzen, und ander Verschlüsselungsverfahren, als in der GUI angeboten wird (auch SHA1 tut .. obwohl es als geknackt gilt)
Wenn du (bei UMTS/LTE Clients wirds schwierig) noch einen SSH-Zugang hast..(ich hatte einen zweiten Tunnel zu einem andern Standort laufen) kannst du den openVPN-Client sogar noch umkonfigurieren, Zertifikate hochladen usw.

Bau dir eine "Speilumgebung im lokalen Netz - cleint im Netz; Server hinter NAT ist simpel und du kannst das alles testen;
EIN Fehler und die Maschine kommt nicht mehr hoch ;-)

Also geht, tut, ist nicht ganz ohne und man sollte s mit openVPN "gut Freund" sein (Raspi Beipiel lesen 100% "zu Fuß" )

Fred
ps: oder jemand kennen der sich auskennt, oder IPCop-Server weiterbetreiben parallel zu IPfire und umstellen wenn man mal gelegentlich da ist! Wir haben es in einer Mischung "aus Spass an der Freude" gemacht, gepaart mit vorhandenen Reise/Wartungsterminen... wenn du Montag eh hinfähsrt... kannst du am Do/Fr schon mal testen ;-) Falls es schief geht, kannst du ann 1..2 Tage später umbauen... Bei wichtigen Dingen hast du eh eine Cold-Standby Maschine vor Ort, die auch ein Unbedarfter mit telefonischer Hilfe tauschen kann! (Kabel 1 zu 1 umstecken)

Post Reply