Messages

Hallo,

ich habe zwar zu dem Thema schon recht viel gelesen, aber irgendwie noch nicht das passende gefunden.

Meine Frage besteht eigentlich sogar aus zwei gesonderten Teilen.

Wir haben eine OPNSense im Einsatz, die auch als CA eingerichtet ist. Hier haben wir ein Server-Zertifikat für OpenVPN erstellt und soweit funktionier alles ganz gut.
Bei den ersten Usern hatten wir die OpenVPN-Zertifikate mit einer Gültigkeit von einem Jahr erstellt. Diese liefen dann so nach und nach aus und wurden komplett ersetzt. Was bei einzelnen Usern nicht so aufwendig ist.
Auf der Windows-Client-Seite wurde hier "OpenVPN Connect" eingesetzt. Hier musste immer ein neues Profil erstellt werden. Ich habe keine Möglichkeit gefunden nur die OVPN-Datei zu ersetzen.
Wie sieht es eigentlich aus, wenn das Serverzertifikat für den OpenVPN-Server ausläuft?
Kann das erneuert werden, ohne das alle Clients angefasst werden müssen?

Hier kommt dann auch der zweite Teil. wie sieht es aus, wenn die eigene CA ausläuft?
Gibt es hier eine Möglichkeit das zu erneuern oder muss alles neu aufgesetzt werden?
Wie habt ihr das gelöst?

Für passende Hinweise wäre ich dankbar.
Grüße

Hallo,

seit dem Update auf die Version 22.7.6 haben wir ein Problem mit dem HAProxy. Das Update selber lief völlig störungsfrei durch. Im Nachgang stellten wir dann fest, dass Dienste nicht mehr erreichbar waren.
Was wir herausgefunden haben:
Der Dienst HAProxy startete nicht mehr. Die Fehlermeldung wies auf fehlende xxxxxx.certlist hin.
Der acme-Client hat die Zertifikate getauscht, und die Dateien alle neu angelegt, aber wie es im nachhinein aussieht, wurden die entsprechenden Änderungen in der /usr/local/etc/haproxy.config nicht eingetragen
Wir haben dann viel versucht mit deinstallieren, neuinstallieren, Backup zurückspielen etc. Und haben das dann auch weitesgehen hinbekommen.
das einspielen der Patches : opnsense-patch -c plugins 31b82cd 18cd9f6 wurde auch ohne Erfolg versucht.
Was immer wieder aufgefallen ist, wenn Änderungen in der Config (gui) vorgenommen wurden. Dann werden diese immer mal wieder ignoriert.
Nachdem wir dann das meiste wieder am Laufen hatten, stellten wir fest, beim Real_Server passte eine IP-Adresse nicht (Zahlendreher) obwohl diese korrigiert wurde und mehrfach applyed, Dienst und Firewall neu gestartet wurde, steht nach wie vor die falsche IP in dem eigentlichen Config-File. die Änderung wird einfach nicht übernommen.
Ich denke dass das auch das ursprüngliche Problem mit den Zertifikaten war. Der Acme-Client hat die Änderung durchgeführt, sie wurde aber nicht übernommen.
Das was ich zu dem Thema gefunden hatte, wurde durch einspielen der Patche (vor ca. einem Jahr) gelöst. Hilft hier leider nicht weiter. Die /usr/local/etc/haproxy.config und haproxy.config.staging (beide identisch) sollen ja nicht direkt editiert werden, da automatisch erstellt.
Kann ich das irgendwie positiv beinflussen?

HAProxy-Plugin ist das zur Zeit aktuelle: 2.4.19

Für Ideen und Tipps wäre ich dankbar.

Grüße

Hallo,

die Idee hatte ich auch, die gebe ich doch ein mit:
ifconfig-push 10.0.20.20 255.255.255.0
in den Advanced-Einstellungen?
Bekomme dann aber immer einen Fehler vom OpenVPN-Clint Er wäre nicht im gleichen /30 subnet.

Hallo,

ich habe ein kleines Problem mit dem "Client specific overrides".

Was will ich erreichen?
Einige Externe sollen sollen nur, via VPN, auf bestimmte Geräte im Netzwerk zugreifen können. Die anderen bekommen erst einmal Zugriff auf das gesamte Netzwerk.
Der letzte Teil funktioniert auch so wie er soll.
Den ersten Teil, so habe ich gelesen, erreicht man hier über das "Client specific overrides"
Ich habe also ein weiteres Tunnelnetz eingerichtet und Server, sowie Common Name angegeben.
Auf der Cleintseite scheint das soweit zu klappen, da ich hier eine IP aus dem weiteren Tunnelnetz zugwiesen bekomme.
Eine entsprechende Firewall-Regel wurde auch erstellt, die zunächst einmal den Zugriff auf das gesamte Netz zuläßt. (Wird dann später auf die entsprechenden Geräte eingegrentzt).
Ich bekomme aber keinen Ping durch. Mit dem "freien" OpenVPN klappt dies aber ohne Probleme.
Ich vermute, dass Problem liegt beim Routing. Schaue ich mir die Stauseinstellungen an, so gibt es hier entsprechende Einträge für das "freie" VPN aber keine für das "beschränkte".
Ich habe versucht über die Advanced-Einstellung hier eine Route zu übergeben, aber irgendwas klappt da nicht so wie es soll.
Bsp.: Internes Netz: 10.0.10.0/24
Tunnelnetz "freis"VPN : 10.0.20.0/24
Tunnelnetz "beschränktes"VPN: 10.0.30.0/24
Einstellung Advanced: push "route 10.0.10.0 255.255.255.0";  => Kein Durchkommen
Einstellung Advanced: push "route 10.0.30.0 255.255.255.0";  => Kein Durchkommen

Was mache ich hier falsch?

Gruß HSW