Revocation ohne Neustart

[long_forum]

Morgen,

ich habe mir eine crl erstellt, welche mir ein Clientzertifikat sperrt. Diese habe ich auf meinem VPN importiert. Die Liste ist unter System > Trust > Revocation nicht in Benutzung ("In Use = NO"). Wie kann ich diese aktivieren bzw. muss ich dafür den Dienst reloaden? Ziel ist, dass alle anderen Verbindungen bestehen bleiben!

Meine zweite Frage wäre, ob es möglich ist mit Hilfe der Firewall anhand des Common Name im Zertifikat den Zugriff zu sperren bzw. jedem Zertifikat eine feste IP zuzuorden, damit es gesperrt werden kann?

[long_forum]

Ist meine Frage zu allgemein gehalten oder ist das Thema zu komplex bzw. nicht lösbar?

[superwinni2]

Zu komplex ist dies sicherlich nicht...
Nebenbei bitte immer bedenken: Wir sind kein kostenpflichtes Hilfesuchforum... Was wiederum nicht bedeutet, dass wir nicht helfen wollen. Allerdings ist in der Aktuellen Situation sicherlich vieles auf eine andere Priorität gerutscht und daher wird aktuell auch nicht ganz so schnell und viel beantwortet.

Also nun zu deinem Problem:
Wo hast du dies importiert? Hast du einen Externen VPN Server? Was für eine Technologie benutzt du? OpenVPN? IPSec?

Falls du OpenVPN benutzt, kann ich dir evtl. etwas weiterhelfen:
Hast du die CRL bei "Peer Certificate Revocation List" (sorry meine OPNsense ist englisch) eingetragen?
Hast du danach mal den OpenVPN Dienst neugestartet?
Das mit dem "dass alle anderen Verbindungen bestehen bleiben" habe ich ebenfalls noch nicht ganz verstanden... Wenn du damit die anderen VPN Verbindungen meinst, dann werden diese neu aufgebaut. Da führt leider kein Weg dran vorbei. Wenn du andere verbindungen wie z.B. LAN-> WAN meinst, macht dies denen nichts.

Feste IP zu Zertifikat: Sollte ebenfalls gehen. Bitte hierfür die Option "Client Spezifisches" in der Sense anschauen. Hier kann man eine eigene VPN Tunnel IP angeben.

[long_forum]

Ich benutze IPSec und habe sie auf mein OPNSense importiert, nachdem ich Sie auf meiner externen CA erstellt habe. Benutze also kein OpenVPN!

Mein Problem ist, wie kann ich nachträglich das Zertifikat mit einer festen IP verknüpfen, so dass, ich es über die Firewall sperren kann. In den Common steht im Moment entweder eine laufende Nummer oder eine IP - ist also nicht einheitlich. Wo muss ich den die Verknüpfung des Common Name und dessen Verwendung einstellen?

Oder die andere Lösung: warum muss IPSec neu geladen werden um die Revocation durchzuführen, was ja unweigerlich zu Verbindungsabbrüchen beim User führt, um die Sperrlisten zu laden!

Oder kann ich auf der Konsolen des OPNSense-Servers einfach die Listen hinterlegen und er greift on-the-fly drauf zu?

[long_forum]

Mal eine "blöde" Frage: Über welches Menü und Button kann ich IPSec reloaden, damit die eingebundene Revocation List unter System > Trust > Revocation benutzt wird.

[falaland88]

Hallo,

leider finde auch ich den Button, für das Laden der crl in den IPSec Einstellungen nicht. Ich habe dazu bereits einen Forumseintrag erstellt https://forum.opnsense.org/index.php?topic=17669.msg80224#msg80224 . Auch nach einem Neustart der Firewall wird die vorhandene crl nicht berücksichtigt.

Lg