Auteur Topic: OpenVPN #4: Inline certificaten  (gelezen 8376 keer)

Offline Pippin a.k.a. MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 516
  • Berichten: 2.692
OpenVPN #4: Inline certificaten
« Gepost op: 03 juli 2015, 10:00:40 »
Met Inline File Support heb je de mogelijkheid het certificaat, de ca, de key en de ta.key op te slaan in het configuratiebestand van de client.
Dan heb je de losse bestanden niet nodig en hoeft er maar één bestand aan een client gegeven te worden.
Uiteraard dienen die losse bestanden wel eerst gegenereerd te worden zoals hier beschreven.

Tevens dienen de verwijzingen naar de vier bestanden in openvpn.conf.user verwijderd te worden.

Dit schijnt voor IOS aanbevolen te zijn.
OpenVPN Wiki

Als je één van die bestanden opent in een texteditor zie je iets wat hierop lijkt:
-----BEGIN CERTIFICATE-----
NBgkqhkiG9w0BAQsFADANMQswCQYDVQQDEwJjYTAe
Fw0xNTA2MDExNDEBAf8EMCAQYwEQYJYIZIAYb4QgEB
BAQDAgAHMA0GCSqGSIb3DQEBCwUAA4IBAQCK........
..............................................................
enzovoort ....
-----END CERTIFICATE-----

Deze inhoud kun je als volgt in het configuratiebestand van een client toevoegen:

<ca>
-----BEGIN CERTIFICATE-----
Inhoud van ca.crt
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
Inhoud van gebruiker.crt (client)
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
Inhoud van gebruiker.key (client)
-----END RSA PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
Inhoud van ta.key
-----END OpenVPN Static key V1-----
</tls-auth>

key-direction 1

Bij gebruik van een inline ta.key dien je apart de key richting aan te geven met "key-direction 1" zoals hierboven aangegeven.
Normaal geproken is de optie "tls-auth ta.key 1" waarbij de 1 de richting aangeeft. Op de server staat dan tls-auth ta.key 0 (key-direction 0).

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client OpenVPN #3: Vast IP voor clients OpenVPN #4: Inline certificaten

We often stumble onto the truth but most of us brush ourselves off and pretend it did not happen!
Winston Churchill

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Inline certificaten
« Reactie #1 Gepost op: 14 februari 2016, 11:24:58 »
Als IOS gebruiker is het idd handiger om een inline certificaat te gebruiken omdat deze te mailen is en daarna direct te openen in de OpenVPN app.

Onderstaand een complete ovpn bestand met de configuratie en de inline certificaten, waarbij een aantal regels uitgecommentarieerd dienen te worden.

Voorbeeld openvpn.ovpn met inline certificaten:
# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!

remote jouw.ip.adres.hier 1194 ### Extern IP adres of DDNS-naam of Domein-naam

#dhcp-option DNS ip.van.de.dns ### IP van DNS server in je LAN, dit is meestal het IP van je router, deze regel kan uitgecommentarieerd worden indien de DNS gepushed wordt door de server.

#cert jouw.crt ### Voor meerdere gebruikers "gebruikersnaam.crt", deze regel kan uitgecommentarieerd worden voor inline configuratie

#key jouw.key ### Voor meerdere gebruikers "gebruikersnaam.key", deze regel kan uitgecommentarieerd worden voor inline configuratie

# Wat hier onder staat hoeft niet gewijzigd te worden
################################################################

#ca CA.crt ### deze regel kan uitgecommentarieerd worden voor inline configuratie

verb 4

redirect-gateway def1

dev tun

proto udp

pull

tls-client

#tls-auth ta.key 1 ### deze regel kan uitgecommentarieerd worden voor inline configuratie

remote-cert-tls server

cipher AES-256-CBC

tls-version-min 1.2 or-highest

fast-io

comp-lzo

reneg-sec 0

auth-user-pass

auth-nocache

<ca>
-----BEGIN CERTIFICATE-----
Inhoud van ca.crt
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
Inhoud van gebruiker.crt (client)
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
Inhoud van gebruiker.key (client)
-----END RSA PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
Inhoud van ta.key
-----END OpenVPN Static key V1-----
</tls-auth>

key-direction 1

Ter verduidelijking: de regels waar de certificaten op basis van bestandsnaam worden vermeldt, dienen te uitgecommentarieerd worden:
#cert jouw.crt
#key jouw.key
#tls-auth ta.key 1
  • Mijn Synology: DS1813+

Offline Pippin a.k.a. MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 516
  • Berichten: 2.692
Re: OpenVPN: Inline certificaten
« Reactie #2 Gepost op: 14 februari 2016, 11:47:23 »
Inderdaad, nooit bij stilgestaan om te vermelden dat de paden naar de certificaten e.d. gewist of uitgecommentarieerd dienen te worden.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client OpenVPN #3: Vast IP voor clients OpenVPN #4: Inline certificaten

We often stumble onto the truth but most of us brush ourselves off and pretend it did not happen!
Winston Churchill

Offline markiemark1991

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #4: Inline certificaten
« Reactie #3 Gepost op: 28 september 2019, 12:41:04 »
Hoi, ik heb een vraagje met betrekking tot Inline certificaten. Ik heb de handleiding om de certificaten te genereren gevolgd en dit werkt uitstekend.
Maar zodra ik de inline config bestanden gebruik dan krijg ik tijdens het verbinden een foutmelding:

Sat Sep 28 12:39:05 2019 us=859173 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 28 12:39:05 2019 us=859173 TLS Error: TLS handshake failed

Weet iemand wat ik fout doe?
  • Mijn Synology: 218+
  • HDD's: 2x TB

Offline Pippin a.k.a. MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 516
  • Berichten: 2.692
Re: OpenVPN #4: Inline certificaten
« Reactie #4 Gepost op: 28 september 2019, 13:52:35 »
Heb je Unix capabele text editor gebruikt zoals b.v. Notepad++?
Line endings zet je dan op Unix.

De paden naar de *.crt en *.key bestanden uitgecommentarieerd?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client OpenVPN #3: Vast IP voor clients OpenVPN #4: Inline certificaten

We often stumble onto the truth but most of us brush ourselves off and pretend it did not happen!
Winston Churchill

Offline markiemark1991

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #4: Inline certificaten
« Reactie #5 Gepost op: 29 september 2019, 11:53:01 »
Dat is een goeie, ik heb de ene keer notepad gebruikt en de andere keer notepad++.
Het probleem is inmiddels verholpen door een OpenVPN profiel te maken in de app OpenVPN for Android, hier heb ik de certificaten en keys geïmporteerd. Zodra dit gedaan is wordt er automatisch een inline profiel gemaakt die je kunt delen met andere mensen.

Een verschil kon ik niet vinden, dus misschien dat het dan toch met die line endings te maken had.
Bedankt voor je hulp in ieder geval :)
  • Mijn Synology: 218+
  • HDD's: 2x TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 120
  • -Ontvangen: 1811
  • Berichten: 12.045
Re: OpenVPN #4: Inline certificaten
« Reactie #6 Gepost op: 29 september 2019, 11:59:38 »
Volgens mij is dit hele topic verouderd. In 2015 genereerde Synology losse bestanden, maar al weer een paar jaar worden bestanden met een inline certificaat gegenereerd.

Verder staat er volgens mij een zeer grote fout in de openingspost. Daar wordt de private key aan het configuratiebestand toegevoegd. Lijkt me handig voor hakkers. Met de private key kun je al het onderschepte verkeer ontsleutellen. Een private key behoort nooit de serveromgeving te verlaten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Pippin a.k.a. MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 516
  • Berichten: 2.692
Re: OpenVPN #4: Inline certificaten
« Reactie #7 Gepost op: 29 september 2019, 13:53:34 »
Even opletten @Briolet  ;)

Citaat
Uiteraard dienen die losse bestanden wel eerst gegenereerd te worden zoals hier beschreven.

Tevens dienen de verwijzingen naar de vier bestanden in openvpn.conf.user verwijderd te worden.

Gaat dus over Beter beveiligen topic.
De CA.key is hier de key die belangrijk is.
Als men aan client zijde toegang verkrijgt tot het systeem en daarmee tot de key ben je sowieso al gecompromitteerd, d.w.z. de client.
De server administrator trekt het betreffende certificaat in, probleem opgelost...

https://community.openvpn.net/openvpn/wiki/HOWTO#KeyFiles
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client OpenVPN #3: Vast IP voor clients OpenVPN #4: Inline certificaten

We often stumble onto the truth but most of us brush ourselves off and pretend it did not happen!
Winston Churchill


 

VERPLAATST: OpenVPN : vpnclient connectie niet bereikbaar vanuit het interne netwerk

Gestart door BirdyBoard Overige software

Reacties: 0
Gelezen: 613
Laatste bericht 05 december 2018, 13:15:38
door Birdy
Hyper Backup via OpenVPN

Gestart door jeltelBoard Data replicator & overige backupsoftware

Reacties: 40
Gelezen: 4301
Laatste bericht 20 augustus 2017, 14:18:31
door jeltel
VERPLAATST: Tunnelblick, Wel verbinden, geen internet. Iphone en iPad wel OpenVPN

Gestart door BirdyBoard VPN Server

Reacties: 0
Gelezen: 856
Laatste bericht 07 mei 2016, 21:15:07
door Birdy
OpenVPN #8: Instellingen behouden na herstart/update

Gestart door Pippin a.k.a. MMDBoard VPN Server

Reacties: 0
Gelezen: 2847
Laatste bericht 28 april 2015, 11:23:55
door Pippin a.k.a. MMD
OpenVPN

Gestart door BazemanBoard Optware / IPKG / Telnet

Reacties: 0
Gelezen: 3116
Laatste bericht 17 augustus 2010, 23:41:47
door Bazeman
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.