[Eisfair_dev] openvpn2 1.0.6 testing für eisfair1 released

Olaf Jaehrling eisfair at ojaehrling.de
Do Okt 26 23:19:54 CEST 2017


Hallo allerseits,

ich habe noch einen kleinen Fehler in Paket gefixt und eine zusätzliche
Variable engebaut .Mit der zusätzlichen Variable kann man nun den
Hashtype sha-256, sha-384 oder sha-512 auswählen. Je nachdem was du
möchtest.
Die Doku habe ich wie folg angepasst:

Nach dem Update laeuft erstmal alles so weiter wie bisher. Beim Start
des OpenVPN kommt nur eine Warnmeldung
"WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead"

Aktuell laeuft OpenVPN noch mit ns-cert-type, aber es sollte bald umgestellt
werden auf remote-cert-tls um bei zukuenftigen Versionen nicht sein Blaues
Wunder zu erleben.

Viel wichtiger ist, dass die Zertifikate neu erstellt werden.
Dazu muss im setup folgende Reiehenfolge eingehalten werden.
setup
 -> Service administration
  -> Easy-RSA configuration
   -> CA initialisieren
   -> Server Zertifikat erstellen
Wenn man ohne VPN-Tunnel auf die Clients zugreifen kann, kann man jetzt
eine Stufe zurueck und in die Konfiguration gehen
  -> Edit Configuration
Nach Abspeichern und beenden mittels F10 werden alle eingetragenen
Zertifikate neu generiert.
Die Zertifikate(.p12) muessen dann noch auf die Clients uebertragen werden.

Wenn man die Zertifikate auf die Clients step-by-step uebertragen will
muss jetzt
   -> Client Zertifikat erneuern
aufgerufen werden und die umzustellenden Zertifikate nacheinander
erneuert werden
Solange der OpenVpn-Server nicht neu gestartet wird passiert auch noch
nichts
und die Tunnel bleiben bestehen. So hat man Zeit die neuen Zertifikate
über die Tunnel an die Clients zu verteilen. Beim naechsten Restart des
VPN-Dienstes auf dem Client wird das neue Zertifikat aktiv.

Wenn alle Zertifikate verteilt sind muss der VPN-Server neu gestartet
werden.
Nun sind ueberall die neuen Zertifikate aktive.

Den Cert-type kann man dann spaeter in Ruhe oder auch gleichzeitig mit dem
Zertifikatstausch austauschen.

Das ist auch meine offizielle Handlungsroutine zum Austausch der
Zertifikate. Leider lässt dich mit dieser Variante kein gleichzeitiger
Betrieb von alten und neuen Zertifikaten bewerkstelligen.

Hier noch die Changes:
Version 1.0.5 -> 1.0.6
- Zusaetzliche Ueberpruefungen eingebaut umd zu vermeiden, dass sich beim
  Zertifiaktsaustausch Fehler in der Rehienfolge einschleichen
- Zusaetzliche Variable eingebaut, um den Hashtype individuell
  auswaehlen zu können.



Gruß

Olaf




Mehr Informationen über die Mailingliste Eisfair_dev