Auteur Topic: OpenVPN: Inline certificaten  (gelezen 2165 keer)

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
OpenVPN: Inline certificaten
« Gepost op: 03 juli 2015, 10:00:40 »

Met Inline File Support heb je de mogelijkheid het certificaat, de ca, de key en de ta.key op te slaan in het configuratiebestand van de client.
Dan heb je de losse bestanden niet nodig en hoeft er maar één bestand aan een client gegeven te worden.
Uiteraard dienen die losse bestanden wel eerst gegenereerd te worden zoals hier beschreven.

Dit schijnt voor IOS aanbevolen te zijn.
OpenVPN Wiki

Als je één van die bestanden opent in een texteditor zie je iets wat hierop lijkt:
-----BEGIN CERTIFICATE-----
NBgkqhkiG9w0BAQsFADANMQswCQYDVQQDEwJjYTAe
Fw0xNTA2MDExNDEBAf8EMCAQYwEQYJYIZIAYb4QgEB
BAQDAgAHMA0GCSqGSIb3DQEBCwUAA4IBAQCK........
..............................................................
enzovoort ....
-----END CERTIFICATE-----

Deze inhoud kun je als volgt in het configuratiebestand van een client toevoegen:

<ca>
-----BEGIN CERTIFICATE-----
Inhoud van ca.crt
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
Inhoud van gebruiker.crt (client)
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
Inhoud van gebruiker.key (client)
-----END RSA PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
Inhoud van ta.key
-----END OpenVPN Static key V1-----
</tls-auth>

key-direction 1

Bij gebruik van een inline ta.key dien je apart de key richting aan te geven met "key-direction 1" zoals hierboven aangegeven.
Normaal geproken is de optie "tls-auth ta.key 1" waarbij de 1 de richting aangeeft.
Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 5
  • Berichten: 21
Re: OpenVPN: Inline certificaten
« Reactie #1 Gepost op: 14 februari 2016, 11:24:58 »
Als IOS gebruiker is het idd handiger om een inline certificaat te gebruiken omdat deze te mailen is en daarna direct te openen in de OpenVPN app.

Onderstaand een complete ovpn bestand met de configuratie en de inline certificaten, waarbij een aantal regels uitgecommentarieerd dienen te worden.

Voorbeeld openvpn.ovpn met inline certificaten:
# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!

remote jouw.ip.adres.hier 1194 ### Extern IP adres of DDNS-naam of Domein-naam

#dhcp-option DNS ip.van.de.dns ### IP van DNS server in je LAN, dit is meestal het IP van je router, deze regel kan uitgecommentarieerd worden indien de DNS gepushed wordt door de server.

#cert jouw.crt ### Voor meerdere gebruikers "gebruikersnaam.crt", deze regel kan uitgecommentarieerd worden voor inline configuratie

#key jouw.key ### Voor meerdere gebruikers "gebruikersnaam.key", deze regel kan uitgecommentarieerd worden voor inline configuratie

# Wat hier onder staat hoeft niet gewijzigd te worden
################################################################

#ca CA.crt ### deze regel kan uitgecommentarieerd worden voor inline configuratie

verb 4

redirect-gateway def1

dev tun

proto udp

pull

tls-client

#tls-auth ta.key 1 ### deze regel kan uitgecommentarieerd worden voor inline configuratie

remote-cert-tls server

cipher AES-256-CBC

tls-version-min 1.2 or-highest

fast-io

comp-lzo

reneg-sec 0

auth-user-pass

auth-nocache

<ca>
-----BEGIN CERTIFICATE-----
Inhoud van ca.crt
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
Inhoud van gebruiker.crt (client)
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
Inhoud van gebruiker.key (client)
-----END RSA PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
Inhoud van ta.key
-----END OpenVPN Static key V1-----
</tls-auth>

key-direction 1

Ter verduidelijking: de regels waar de certificaten op basis van bestandsnaam worden vermeldt, dienen te uitgecommentarieerd worden:
#cert jouw.crt
#key jouw.key
#tls-auth ta.key 1
  • Mijn Synology: DS1813+

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
Re: OpenVPN: Inline certificaten
« Reactie #2 Gepost op: 14 februari 2016, 11:47:23 »
Inderdaad, nooit bij stilgestaan om te vermelden dat de paden naar de certificaten e.d. gewist of uitgecommentarieerd dienen te worden.

Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom


 

OpenVPN client blijft "connecting..."

Gestart door mknopsBoard VPN Server

Reacties: 6
Gelezen: 1612
Laatste bericht 27 december 2013, 23:53:19
door mknops
PPTP werkt, maar openVPN werkt niet

Gestart door albydetweedeBoard VPN Server

Reacties: 6
Gelezen: 1373
Laatste bericht 29 december 2015, 19:38:36
door albydetweede
OpenVPN hulp bij script t.b.v. tls-verify/auth-user-pass-verify

Gestart door MMDBoard Overige mods

Reacties: 7
Gelezen: 3214
Laatste bericht 06 oktober 2015, 17:48:24
door MMD
OpenVPN gebruiker ziet steeds alle mappen, terwijl ze er maar twee mag

Gestart door remhopsterBoard VPN Server

Reacties: 4
Gelezen: 1052
Laatste bericht 20 oktober 2015, 14:45:35
door MMD
L2TP en OpenVPN Server werken niet meer na migratie + upgrade.

Gestart door Tim__Board VPN Server

Reacties: 25
Gelezen: 3484
Laatste bericht 18 september 2015, 16:38:50
door Birdy
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology.