[Eisfair] OpenVpn2 - läuft nicht mehr

Olaf Jaehrling eisfair at ojaehrling.de
Do Dez 5 22:26:10 CET 2024 

Hallo Andreas,

vorab, Danke Marcus für dein Einspringen.

So, nun weiter. :)


Achja



Andreas Hager schrieb am 05.12.24 um 15:54:
> Am 05.12.2024 um 14:45 schrieb Marcus Röckrath:

>> s. o. openvpn2 erzeugt möglicheriweise Zertifikate für jede einzelne 
>> Client-
>> Server-Verbindung, wofür das Serverzertifikat aus dem certs-Paket (z. 
>> B. für
>> mail, web) nicht verwendet werden kann.

korrekt.
Das openvpn-Paket erstellt eine eigene CA. Ich glaube das war auch 
damals so von dem Erstersteller des Pakete so gewollt und ich finde das 
als solches auch ganz gut. Dann ist die Gefahr geringer das es 
kompromitiert wird.
Das heißt für dich du müsstest die Zertifikate über das 
openvpn-setup-menue löschen
9. Easy-RSA configuration
  -> 8. Zertifikat zurueckziehen

Am besten vorher mit
7. Client Zertifikate anzeigen
dann solltes du sicher sein, dass du das richtige löschst. Sollten da 
keine mehr angezeigt werden kannst du normalerweise die alten 
Zertifikate wiederherstellen. Bei jedem update wird eine 
Sicherheitskopie der Zertifikate erstellt. Diese liegen unter
/root/penvpn-zertifikate-yyyy-mm-dd.tgz. Dort sind alle Zertifikate drin.
Prüfen kannst du das mit
tar tfvz /root/openvpn-zertifikate-yyyy-mm-dd.tgz
und ggf auch nur die Zertifikate wiederheltstellen die du benötigst.

Danach kannst du die Zertifikate (hoffentlich) über das setupmenu erneuern.

Wenn du das serverzertifikat erneuern willst lösche bitte vorher die Datei
/usr/local/openvpn/keys/openvpn.crt
Das ca sollte sich auch so erstellen lassen.
Die Reihenfolge ist
1. ca
2. Serverzertifikat
3. Clientzertifikate

Danach sollte alles wieder laufen.

Nun zu dem ipcalc-Problem.
Du solltest entweder das Paket netcalc-ng oder ipcalc installiert haben. 
Netcalc hat nur eine abgespeckte ipcalc-Version dabei, aber beide 
verwenden (leider) den selben Befehl.
Wenn du die Zertifikate über das setup erstellt sollte das Paket 
eigentlich erkennen welche Version du installiert hat. Der Marker dafür 
ist die Datei in /var/install/packages.
Wenn sich nichts geändert hat sollte dort von jedem Paket eine Datei 
liegen mit Versionshinweisen usw.

Scheinbar hat sich aber auch da was geändert.  und die option -b ist 
weggefallen. Das muss ich aber erst prüfen. Vllk kann mir da jemand auf 
die Sprünge helfen wie das jetzt bei netcalc-ng aussehen muss. Ansonsten 
muss ich mir dafür eine Server erst aufsetzen.

ich benötige dafür die Ausgabe von HostMax und HostMin.
Also die Kurzform z.B. von
ipcalc -b 10.10.10.1/30

Danke und Gruß

Olaf






>>
> 
> Ich warte mal, was Olaf schreibt.
> 
> Andreas

-- 
Paketserver: https://ojaehrling.de/eis/index.txt

Mehr Informationen über die Mailingliste Eisfair