Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DH-Parameter
« previous
next »
Print
Pages: [
1
]
Author
Topic: DH-Parameter (Read 3099 times)
thomas_hh
Newbie
Posts: 10
Karma: 1
DH-Parameter
«
on:
December 12, 2017, 08:20:50 pm »
Hallo zusammen,
ich setze seit einiger Zeit die OPNsense ein und bin inzwischen echt ein Freund der SW. Echt tolle Leistung der Entwickler! Mein Hauptanwendungsfall ist ein OVPN-Gateway. Die Möglichkeit schnell etwas ändern zu können gefällt mir dabei besonders. Nachdem ich mich ein wenig in das Thema OVPN eingelesen habe, stellen sich mir einige Fragen, wo ich hoffe, dass man mir die eine oder andere beantworten kann.
- bei den DH-Parametern kann ich 3 Werte einstellen. Wo die Daten liegen, habe auch gefunden. Kann ich eigene Dateien über das Web-IF auswählen (mit eigenem Namen)?
- binde ich die eigene Datei über das Feld "Erweitert" beim OVPN-Server ein, überschreibt er dann die Web-Einstellung?
- wann werden die vorhandenen DH-Parameter-Dateien generiert und sind diese individuell?
- werden diese Dateien zyklisch erneuert, oder was heisst "system: regenerated DH parameters" beim letzten Update?
- oder kann ich die selber erneuern und welche Rechenleistung ist dafür notwendig (Untergrenze der CPU vorhanden?)
Danke in Voraus.
Gruß Thomas
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: DH-Parameter
«
Reply #1 on:
December 12, 2017, 10:31:46 pm »
Hoi Thomas,
Danke für die Blumen, aber zum Thema...
> bei den DH-Parametern kann ich 3 Werte einstellen. Wo die Daten liegen, habe auch gefunden. Kann ich eigene Dateien über das Web-IF auswählen (mit eigenem Namen)?
> binde ich die eigene Datei über das Feld "Erweitert" beim OVPN-Server ein, überschreibt er dann die Web-Einstellung?
Sofern OpenVPN dies ordentlich löst ja. Ich weiss es aber nicht.
Ansonsten bleibt nur der Umweg entweder die Standard-Dateien zu überschreiben, oder die Code-Pfade manuell zu patchen:
https://github.com/opnsense/core/blob/master/src/etc/inc/plugins.inc.d/openvpn.inc#L848
> wann werden die vorhandenen DH-Parameter-Dateien generiert und sind diese individuell?
Das Commit hier illustriert das Vorgehen:
https://github.com/opnsense/core/commit/b0a2a44410
Die Dateien sind fix, werden aber sporadisch über den Source code (also nicht individuell) neu generiert. Eine Option für das manuelle generieren gibt es aktuell nicht, weil die Dateien beim Update überschrieben werden und dann auch nie wieder von uns erneuert werden könnten ohne weitere zusätzliche Lösungen. Hier hat sich noch keine passable Implementation gefunden, die dann auch ausprogrammiert wurde. Vorschläge hierzu sind willkommen, dann tut sich in dieser Richtung wieder mehr.
> werden diese Dateien zyklisch erneuert, oder was heisst "system: regenerated DH parameters" beim letzten Update?
Genau das, siehe Commit. Ideallerweise mindestens ein Mal pro Release.
> oder kann ich die selber erneuern und welche Rechenleistung ist dafür notwendig (Untergrenze der CPU vorhanden?)
Gute Frage! Vergleichswerte sind schwierig. Probier es selbst aus:
# opnsense-code core
# cd /usr/core
# make dhparam
Die Dateien liegen dann unter /usr/core/src/etc/dh-parameters.* und können ins System kopiert werden nach /usr/local/etc/dh-parameters.*
Grüsse
Franco
Logged
thomas_hh
Newbie
Posts: 10
Karma: 1
Re: DH-Parameter
«
Reply #2 on:
December 27, 2017, 01:45:17 am »
Hallo Franko,
etwas verspätet, aber ich wollte Dir doch für Deine Antwort danken.
Ich habe mich jetzt für die Methode "Laden eigener DH-Parameter durch das Feld Erweitert" entschieden.
Hier nimmt (zumindest die aktuelle Version) OVPN dann die zuletzt angegebene Datei.
Die anderen Methoden waren mir zu komlpiziert und wären nach einem Update ggf. neu zu erstellen.
Gruß Thomas (und hoffentlich frohe Weihnachten gehabt zu haben)
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: DH-Parameter
«
Reply #3 on:
December 30, 2017, 09:13:52 pm »
Hi Thomas,
Danke, klingt sinnvoll.
Schon fast Zeit für den "guten Rutsch"!
Grüsse
Franco
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DH-Parameter