[Eisfair_dev] openvpn2 1.0.5 testing für eisfair1 released

Olaf Jaehrling eisfair at ojaehrling.de
Di Okt 24 23:01:59 CEST 2017 

Hallo Frank,

Frank Eckelmann schrieb am 24.10.2017 um 20:29:
> Hallo Olaf,
> 
>> Es ist ja auch noch nicht zu spät. Noch läuft ja alles und du hast Zeit
>> alle Zertifikate nach und nach auszutauschen.
>>
>> Vieleicht ist es ja ein gangbarer Weg, wenn du auf die Läppis nach und
>> nach die neuen Zertifikate mit neuem Namen lädst und dann an einem
>> Stichtag das neue ca aktivierst. Oder du lässt vorübergehend beide
>> Varianten zu indem du 2 Server laufen lässt. Wenn ale Clients umgestellt
>> sind schaltest du den alten Server ab. Das geht aber nur mit Handarbeit.
>> Ich könnte Dir dabei per Chat oder PM helfen
> 
> naja 2.Server ist eigentlich keine Option, der alte Server macht nicht
> nur VPN

Ich meinte 2 VPN-Server auf einer Maschine.
Bsp:
ls /etc/openvpn/ | grep server
server.conf
server2.conf

ifconfig
tun0      Link encap:UNSPEC  HWaddr 00-00-0
          inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255
....
tun1      Link encap:UNSPEC  HWaddr
          inet addr:10.10.12.6  P-t-P:10.10.12.5  Mask:255.255.255.255

Du verstehen? :)

Damit kann man vorübergehend mit server1 den alten Zertifikaten und den
neuen Zertifikaten Zugang gewähren. Wenn dann alle umgestellt sind kann
der Server für die alten Zertifikate abgeschaltet werden.

So habe ich schon 2 Netze umgebaut. Hat sauber funktioniert, geht aber
nur mit handarbeit. Das kann das setup leider nicht abfangen.



> 
> Verständnisfrage zum Ablauf der Umstellung:
> wenn ich setup -> Service administration -> OpenVPN
>         9. Easy-RSA configuration
> die Schritte 1-3 durchlaufe und somit alle Clientzertifikate (die sind
> dann nicht mehr md5?) + Clientkonfigurationen und die Serverseite neu
> erstelle, die Serverkonfiguration aber noch nicht auf remote-cert-tls
> umstelle - funktionieren jetzt noch die alten Clientzertifikate oder
> sind diese dann sofort unbrauchbar? laufen die neuen Clientzertifikate
> erst mit der neuen Serverkonfiguration oder auch schon mit der alten
> ns-cert-type ?

Der cert-type ist egal, weil mit dieser openvpnversion noch beide
laufen. du kannst also die neuen clientkonfigurationen ruhig auf
remote-cert-tls umstellen. Auch eine Mischkonfig ist möglich. Das Risiko
sind die Zertifikate selbst.

Ich habe das gerade mal durchgespielt und Punkt 1,2 und 4 verwendet.
Der Tunnel bleibt bestehen.
Auch ein restart auf Clientseite hat dem Tunnel nicht geschadet. Er hat
danach wieder aufgebaut.

Allerdinsg muss vor dem Restart des openvpn-servers zwingend das neue
Zertifikat auf dem Client sein sonst baut der Tunnel nicht mehr auf.

Bitte warte noch mit dem erneuern des Zertifikates. Alex hat glaube noch
einen Bug entdeckt. Den muss ich morgen mal genauer untersuchen.

Gruß

Olaf


> 
> 
> Bitte einmal Lichts ins Dunkelgrau
> 
> Viele Grüße
> Frank

Mehr Informationen über die Mailingliste Eisfair_dev