[gelöst] OpenVPN Client mit fallback config

Das schwierige Thema VPN!
Post Reply
frickelpit
Posts: 288
Joined: April 18th, 2011, 7:34 am

[gelöst] OpenVPN Client mit fallback config

Post by frickelpit » September 16th, 2018, 6:07 pm

Durch die kürzliche Erhöhung des Sicherheitslevels von OpenVPN stehe ich vor dem Problem, dass ich mit der Neuerstellung des Root-Certs mehrere Clients mit neuen config-Files inkl. Certs ausstatten muss. Da ich keinen physischen Zugriff auf die Clients habe (Entfernung) und lediglich über die noch bestehende alte VPN-Verbindung die Clients updaten kann, suche ich nach einer Möglichkeit den Clients eine Fallback Config unterzuschieben.

Plan ist, dass sowohl der Alte als auch der neue OpenVPN-Server parallel über unterschiedlichen IPs und Ports betrieben werden. Mit Abschaltung des alten Servers (Nichterreichbarkeit) sollten die Clients automatisch auf den neuen Server connecten.

OpenVPN bietet zwar eine fallback Option für Serveradresse:Port an, aber leider bezieht die sich lediglich auf eine config. Zwei Server mit unterschiedlichen Certs sind nicht vorgesehen. Gibts da vielleicht eine intelligente Möglichkeit (script) das Problem zu lösen?
Last edited by frickelpit on September 18th, 2018, 3:10 pm, edited 1 time in total.

fredym
Posts: 382
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN Client mit fallback config

Post by fredym » September 17th, 2018, 7:20 am

Hallo,
hmmm
Update ist nicht, AFIK.
Aber..
Variante1: bau eine zweite VPN Verbindung auf (n-2-n) als "Servicezugang"... anderer Port und andrer Zielserver
Variante2: wenn NICHT GPRS/UMTS/LTE beteiligt sind, ssh -Forward einrichten uznd du kommst im Zweifel über ssh noch auf die Maschinen (gerne über Zertifikate abgesichert).

Ich habe immer einen zweiten n-2-n Tunnel bevorzugt der ohne aktives Routing lief.

Fred

frickelpit
Posts: 288
Joined: April 18th, 2011, 7:34 am

Re: OpenVPN Client mit fallback config

Post by frickelpit » September 18th, 2018, 3:09 pm

Hab mal wieder viel zu kompliziert gedacht. Einfach auf dem Client in die "/etc/default/openvpn" eine zweite Config eintragen und gut ist. Voraussetzung ist allerdings, dass man die alte und neue IPfire-Installation parallel mit unterschiedlichen Subnetzen und Ports betreiben kann.

Ich hab einfach das Backup einer APU1d in eine XEN-Domu mit IPfire (v120) installiert (gut das man Hardware zum spielen hat). Auf die APU1d danach IPfire v123 neu installiert, Root, Host und Client-Zerts neu generiert und auf die Clients über den alten VPN-Connect verteilt. Sobald alles passt wird die XEN-Domu abgeschaltet und die Configs auf den Clients "bereinigt".

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest