[Eisfair_dev] openvpn2 1.0.5 testing für eisfair1 released

Olaf Jaehrling eisfair at ojaehrling.de
Di Okt 17 22:06:27 CEST 2017 

Hallo allerseits,

ich habe openvpn2 auf die aktuelle Version 2.4.4 hochgezogen.
Das hat einige Änderungen nach sich gezogen

Nach dem Update laeuft erstmal alles so weiter wie bisher. Beim Start
des OpenVPN kommt nur eine Warnmeldung "WARNING: --ns-cert-type is
DEPRECATED. Use --remote-cert-tls instead"

Aktuell laeuft OpenVPN noch mit ns-cert-type, aber es sollte bald
umgestellt werden auf remote-cert-tls um bei zukuenftigen Versionen
nicht sein Blaues Wunder zu erleben. Neue Zertifikate werden so
erstellt, dass sie beide Typen koennen und sha256 gehashed sind.
Die alten Zertifikate koennen aber nur ns-cert-type.

Konfigurationsmaessig aendert sich nur was in der Clientkonfig, also
client.conf bzw client.ovpn
Solange man noch nicht alle Zertifikate erneuert hat, muss im Setup
OPENVPN2_SERVER_CERT=ns-cert-type ausgewaehlt werden.
Wenn alle Clients umgestellt wurden kann
OPENVPN2_SERVER_CERT=remote-cert-tls eingestellt werden. Dadurch werden
die .ovpn-Files mit dem korrekten Type erstellt.

Ich empfehle dringend vorher ein Backup aller konfig- und Schlüsseldateien

Eine Anleitung für die Umstellung liegt in der Doku oder auch zum lesen
im Browser auf https://ojaehrling.de/openvpn.html

Ich empfehle die Umstellung baldmöglich durchzuführen. Die nächste
Version des Servers kann definitiv kein md5 mehr!

Hier noch die Changes:
Version 1.0.4 -> 1.0.5
- upgrade to openvpn 2.4.4
- einzelne vpn-sessions koennen gestoppt, gestartet oder restartet   werden
- --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
  Deshalb neue Variable OPENVPN2_SERVER_CERT. Wenn es die Variable bei
  der Installation noch nicht gibt (also ein update) wird die alte
  Version (ns-cert-type) verwendet. Bei einer neuen Installation remote-
cert-tls
  Bei zukuenftigen Installationen wird der vorhandene Wert uebernommen.
- OpenSSL 1.1.0f-fips laesst zukuenftig keine md5 gehashed crt files mehr zu
  Deshalb werden zukuenftige Zertifikate anders erzeugt
- Kompiliert mit openssl 1.0.2 wegen obrigen Problem
- neuer Menuepunkt 'Client Zertifikat erneuern' hinzugefuegt
  Dieser dient dazu abgelaufenen Zertifikate zu erneuern. Es werden
komplett neue Client-Zertifikate erstellt. Das ist wegen der o.g.
Umstellung noetig geworden


Viel Spaß mit eisfair.

Lieben Gruß

Olaf

Mehr Informationen über die Mailingliste Eisfair_dev