[Eisfair] Hinweis zum Paket openvpn
Olaf Jaehrling
eisfair at ojaehrling.de
Sa Mai 11 23:49:33 CEST 2019
Hallo allerseits,
wie ich beim letzten Release des Paketes schon angekündigt hatte wird in
der nächsten Paketversion die Unterstützung für md5 nicht mehr enthalten
sein.
Der geneigte Admin muss also dringend die Zertifikate erneuern, wenn
diese noch mit md5 erstellt wurden, ansonsten werden diese Zertifikate
nach dem nächsten Update nicht mehr akzeptiert.
Prüfen kann man das wie folgt:
openssl req -text -noout -verify -in CLIENT.csr | grep "Signature Algorithm"
Steht da
Signature Algorithm: md5WithRSAEncryption
wird md 5 verwendet -> Dringend erneuern
Signature Algorithm: sha1WithRSAEncryption
sollte auch ausgetauscht werden
Signature Algorithm: sha256WithRSAEncryption
alles hübsch
Welcher Hash verwendet wird, wird in der config eingestellt. (zb)
OPENVPN2_SERVER_CERT_HASH='sha256'
Was alles beachtet werden muss und wie man es relativ schmerzfrei
umstellen kann steht in der Paketdoku.
Ich habe demnächst vor ein aktualisiertes Paket zu releasen. Vorallem
weil mit der neuen Version endlich auch "redirect-gateway ipv6" und
"Support for providing IPv6 DNS servers" eingeflossen ist.
Das ist aber auch der Grund warum das neue Paket noch nicht sofort
erscheint. Ich möchte das noch testen und dadurch hat ein jeder noch
Zeit o.g. Umstellung vorzunehmen.
Als kleiner Gedanken noch die "Deprecated", die ab 2.5 nichT mehr gehen:
--key-method 1 is deprecated in OpenVPN 2.4 and will be removed in v2.5.
--no-iv is deprecated in OpenVPN 2.4 and will be removed in v2.5.
--keysize is deprecated in OpenVPN 2.4 and will be removed in v2.6
together with the
--comp-lzo is deprecated in OpenVPN 2.4. Use --compress instead.
--ifconfig-pool-linear has been deprecated since OpenVPN 2.1 and will be
removed in v2.5.
--client-cert-not-required is deprecated in OpenVPN 2.4 and will be
removed in v2.5.
--ns-cert-type is deprecated in OpenVPN 2.3.18 and v2.4. It will be
removed in v2.5.
Genauer nachzulesen unter
https://github.com/OpenVPN/openvpn/blob/release/2.4/Changes.rst
Gruß
Olaf
Mehr Informationen über die Mailingliste Eisfair