Migration von OpenVPN Server [legacy] zu Instances

Started by MoChri, May 08, 2025, 04:48:21 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 08, 2025, 04:48:21 PM
Hallo Forum Spezialisten,

Ich suche gerade für die Migration von OpenVPN Server auf das neue System.

Leider konnte ich nicht wirklich eine Anleitung finden um meine bestehende Verbindungen zu Migrieren so das ich bei den Clienten keine Änderung machen muss.
Ist das überhaupt möglich? Wenn nicht wird das ein grösseres Problem für mich.

Wenn jemand eine Anleitung hat wäre super da die Doku mir nicht wirklich weiter hilft.

Danke schönen Tag noch!
May 08, 2025, 04:52:29 PM #1
Eigentlich muss ich auch meine Standortverbindung IPsec auch Migrieren da heist es ja auch das die weg kommt. :(

May 08, 2025, 06:40:37 PM #2
Quote from: MoChri on May 08, 2025, 04:48:21 PMLeider konnte ich nicht wirklich eine Anleitung finden um meine bestehende Verbindungen zu Migrieren so das ich bei den Clienten keine Änderung machen muss.
Ist das überhaupt möglich?
Ich denke schon, sofern du nicht spezielle Custom Settings hast.

Anleitungen zur Einrichtung gibt es im Netz.
Eine gesondertes Tutorial für die Migration kenne ich nicht.

Die Parameternamen der neuen Instanzen sind aber nicht so sehr anders, da sollte man die Zusammenhänge schon finden.
Versuche es einfach. Du kannst du die neue Instanz parallel einrichten, ohne sie gleich zu aktivieren und dann zum Testen Aktivierung umschalten. Solltest du kein Glück haben, kannst du immer noch zurückschalten.

Grüße
May 09, 2025, 11:51:14 AM #3
Quote from: MoChri on May 08, 2025, 04:48:21 PMIst das überhaupt möglich? Wenn nicht wird das ein grösseres Problem für mich.

Das ist stark davon abhängig, ob du Settings bei den alten OpenVPN Konfigs verwendest, die vom Standard abweichen bspw. bei den Cipher Settings, Hash etc. da die neuen Instances aktuell zumindest SEHR eingeschränkt sind bei den Einstellungen. Problematisch ist das, wenn du bspw. alte Clients/Industrie-Router o.ä. angebunden hast, die noch auf (uralt) Cipher laufen wie Blowfish oder bei älteren Routern, die "nur" AES-CBC machen.

Bei den neuen Instanzen ist aber - warum auch immer - aktuell nur AES-GCM (256/128) und CHACHA20 auswählbar. Was gerade für mich keinen Sinn macht, diese explizit zu wählen, da diese bei nicht-Angabe eh der Default von OpenVPN ab 2.6 sind. Es macht zwar Sinn, da effektiv nur eins auszuwählen, damit man die Verbindung gezielt über den Cipher verschlüsselt, warum man aber nicht die anderen unterstützten und noch immer absolut gültigen Cipher mit in die Liste aufgenommen hat, kann ich leider nicht sagen. Ohne die vollständige Liste wird es dir zumindest sehr schwer fallen, alle alten VPNs zu konvertieren. Vor allem dann, wenn du auf alte HW auf der Gegenseite Rücksicht nehmen musst deren Settings du nicht beeinflussen kannst.

Und da es im Gegensatz zu den alten Services keine Möglichkeit mehr gibt, manuelle Konfigeinträge zu setzen, kann man die fehlenden Parameter auch nicht selbst hinzufügen. Da muss man also auf Ergänzung/Erweiterung der OVPN Instances hoffen.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
November 10, 2025, 02:36:20 PM #4
Hallo,

so ich habe jetzt alle openVPN Server[veraltet] auf die Instanzen migriert. So weit läuft auch jetzt alles bis auf die Funktion gesamter Datenverkehr auch Internet durch den Tunnel.

Es gab bei der Server[veraltet] Version einen Haken(siehe Bild) dann hate der Client auch Internet.
You cannot view this attachment.

Bei der neuen Instanz hab bin ich mir nicht sicher was ich da aktivieren muss das dies funktioniert.
You cannot view this attachment.

Kann mir da jemand infos geben? habe im Forum irgentwie nichts gefunden. Es schreiben alle von einem "def1" befehl mit dem kann ich nichts anfangen.
bzw. kann ich den auf der Web-Oberfläche nicht einstellen.
Today at 06:41:59 PM #5
def1 kann man entweder vom Server pushen oder auf dem Client einstellen. Bei OpenVPN geht beides. Du musst den "alles in den Tunnel" Kram nicht zwingend auf Serverseite einstellen. "Standard" würde das wahrscheinlich tun aber durch Änderung der default route. Irgendjemand hat aber vergessen in der Liste def1 mit aufzunehmen. Genau wie die restlichen Cipher in der Liste fehlen und nur die default cipher enthalten sind, warum man aktuell keine alten VPN Verbindungen auf Instanzen machen kann :(

Du kannst aber def1 problemlos auf der Gegenseite konfigurieren. Wenn das nicht geht, kannst du alternativ entweder im Server konfigurieren oder für deinen Tunnel-Peer einen Client Spezific Override anlegen (braucht man bei TLS Tunnel eh) und dort bei "Local Network" 0.0.0.0/1 und 128.0.0.0/1 anlegen. Das ist das, was def1 tun würde. Statt 0.0.0.0/0 (default route) umzurouten, wird statt dessen das Netz in 2 Hälften gesplittet (/1) und das geroutet. Hat den Vorteil, dass der Client seine Default Route nicht verliert und da genauere Routen die ungenauen stechen, haben die 2 neuen Vorrang und routen alles über den Tunnel.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions