8
OpenVPN Client Zertifikat importieren geht nicht
Guten Tag zusammen
Ich stehe hier etwas am Berg. Ich will auf meiner Synology einen OpenVPN Server einrichten. Soweit läuft das ja alles out of the box. Ich habe das VPN Server Package installiert und OpenVPN aktiviert. Port auf der Firewall geöffnet und zur Synology weitergeleitet.
Ich habe nun das OpenVPN Profil exportiert. Ich erhalte nun ein ZIP mit einem Zertifikat (ca.crt), einem Readme (welches nicht weiterhilft) und natürlich das OVPN Profil.
Das OVPN Profil lese ich in den OpenVPN Client - soweit so gut.
Das Problem beginnt beim Zertifikat. Will ich dieses importieren / einlesen, zeigt er mir das nicht an. Im Dateifilter steht "Certificats". Gebe ich ins Suchfenster *.* ein, damit ich das Zertifikat sehe, kann ich es anklicken, aber es importiert nicht.
Mit VPN kenne ich mich ziemlich gut aus, aber OpenVPN habe ich als solches noch nie konfiguriert. Wäre hier um einen Tipp dankbar. Für mich wirkte das ziemlich geradeaus, aber das mit dem Zertifikat irritiert mich etwas.
Anmerkung nach weiteren Tests: Wenn ich das ignoriere verbindet er. Aber eigentlich ging ich davon aus, dass das Zertifikat als erhöhte Sicherheit zwingend notwendig ist?
Gruss
Christof
Ich stehe hier etwas am Berg. Ich will auf meiner Synology einen OpenVPN Server einrichten. Soweit läuft das ja alles out of the box. Ich habe das VPN Server Package installiert und OpenVPN aktiviert. Port auf der Firewall geöffnet und zur Synology weitergeleitet.
Ich habe nun das OpenVPN Profil exportiert. Ich erhalte nun ein ZIP mit einem Zertifikat (ca.crt), einem Readme (welches nicht weiterhilft) und natürlich das OVPN Profil.
Das OVPN Profil lese ich in den OpenVPN Client - soweit so gut.
Das Problem beginnt beim Zertifikat. Will ich dieses importieren / einlesen, zeigt er mir das nicht an. Im Dateifilter steht "Certificats". Gebe ich ins Suchfenster *.* ein, damit ich das Zertifikat sehe, kann ich es anklicken, aber es importiert nicht.
Mit VPN kenne ich mich ziemlich gut aus, aber OpenVPN habe ich als solches noch nie konfiguriert. Wäre hier um einen Tipp dankbar. Für mich wirkte das ziemlich geradeaus, aber das mit dem Zertifikat irritiert mich etwas.
Anmerkung nach weiteren Tests: Wenn ich das ignoriere verbindet er. Aber eigentlich ging ich davon aus, dass das Zertifikat als erhöhte Sicherheit zwingend notwendig ist?
Gruss
Christof
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665462
Url: https://administrator.de/contentid/665462
Printed on: April 24, 2024 at 13:04 o'clock
8 Comments
Latest comment
Nur die ca.crt reicht natürlich nicht für den Client. Da fehlt dann noch das eigentliche Client Zertifikat und der Schlüssel. Siehe auch:
Merkzettel: VPN Installation mit OpenVPN
Du benötigst 3 Dateien für den Client: ca.crt Client Zertifikat: xyz.crt und den Schlüssel xyz.pem.
Merkzettel: VPN Installation mit OpenVPN
Du benötigst 3 Dateien für den Client: ca.crt Client Zertifikat: xyz.crt und den Schlüssel xyz.pem.
Och herrje und der ganze Terz nur weil ich keine anständige Firewall reinsetzen kann wegen Home Anschluss (kein Bridging / Pass-Through auf Router und wenn doch, dann kein TV mehr..... 
)
Naja OHNE verbindet er auch. Ist dann halt dementsprechend "sicher".
)Naja OHNE verbindet er auch. Ist dann halt dementsprechend "sicher".
Ich habe irgendwie das Gefühl, Synology reicht das Crt-File einfach so mit ins ZIP. Ohne SSH und anderes "Gebastel" auf dem NAS sehe ich keine Möglichkeit, dass im GUI besser zu konfigurieren.
Das könnte sein wenn sie mit einem starren Preshared Key arbeitet. Dazu machst du aber zuwenig Angaben um das zielführend beantworten zu können. Ein PSK ist halt gefährlich. Wenn der mal kompromitiert ist haben Angreifer dein NAS und auch das gesamte lokale LAN auf dem Silbertablett vor sich.
Schlüssel und Zertifikate sind also der bessere Weg sofern das Synology_OVPN_Setup das bietet. Ggf. wäre ein kleiner Raspberry Pi 4 als VPN Server eine bessere Wahl.
Noch besser ist es auf einen VPN Server im lokalen LAN ganz zu verzichten und das immer, wenn irgend möglich, auf dem heimischen Internet Router zu lösen. Sollte der das nicht können austauschen oder zumindest aber mit einer Kaskade dann arbeiten.
Damit kannst du dann auch bei dir immer eine kleine Firewall wie Mikrotik_Router einsetzen.
Schlüssel und Zertifikate sind also der bessere Weg sofern das Synology_OVPN_Setup das bietet. Ggf. wäre ein kleiner Raspberry Pi 4 als VPN Server eine bessere Wahl.
Noch besser ist es auf einen VPN Server im lokalen LAN ganz zu verzichten und das immer, wenn irgend möglich, auf dem heimischen Internet Router zu lösen. Sollte der das nicht können austauschen oder zumindest aber mit einer Kaskade dann arbeiten.
Damit kannst du dann auch bei dir immer eine kleine Firewall wie Mikrotik_Router einsetzen.
Ich glaube ehrlich gesagt, da gibt es nichtmal einen PSK. Man klickt nur OpenVPN an und kann dann mittels User / Passwort einloggen. Mehr Angaben kann ich dir nicht geben, weil es da nicht mehr zu sagen gibt. ;) Das ist sehr rudimentär. Hab dir mal ein Foto angehängt damit du siehst, wie wenig man da einstellen kann.
Kaskadieren würde bedeuten, meine Firewall - die eigentlich vorhanden wäre! - an den Providerrouter zu hängen und alles zur Firewall zu senden, korrekt? Ich bin da sehr unerfahren da ich - zum Glück! - sowas eigentlich nie machen muss. Meistens habe ich ganz üblich einen dedizierten Anschluss mit Konverter oder halt Router, den ich auf Passthrough schalte.
P.s.: Mit Synology geht es tatsächlich nur über Commandline etc.
Kaskadieren würde bedeuten, meine Firewall - die eigentlich vorhanden wäre! - an den Providerrouter zu hängen und alles zur Firewall zu senden, korrekt? Ich bin da sehr unerfahren da ich - zum Glück! - sowas eigentlich nie machen muss. Meistens habe ich ganz üblich einen dedizierten Anschluss mit Konverter oder halt Router, den ich auf Passthrough schalte.
P.s.: Mit Synology geht es tatsächlich nur über Commandline etc.
Synology liefert in der .ovpn das Zertifikat am Ende der Datei mit:
<ca>
BEGIN CERTIFICATE-----
bla bla bla==
END CERTIFICATE-----
</ca>
<ca>
BEGIN CERTIFICATE-----
bla bla bla==
END CERTIFICATE-----
</ca>
Okay das ist mir auch aufgefallen. Also dürfte theoretisch ohne diesen Teil im OVPN keine Verbindung möglich sein? Das wäre mindestens eine kleine Sicherheit.
Ah ja tatsächlich. Lösche ich den Teil aus dem File is nix mit connect. Dann ist ja durchaus eine gewisse Sicherheit gegeben. Vielen Dank!
