DH-Parameter

Started by thomas_hh, December 12, 2017, 08:20:50 PM

Previous topic - Next topic
Hallo zusammen,

ich setze seit einiger Zeit die OPNsense ein und bin inzwischen echt ein Freund der SW. Echt tolle Leistung der Entwickler! Mein Hauptanwendungsfall ist ein OVPN-Gateway. Die Möglichkeit schnell etwas ändern zu können gefällt mir dabei besonders. Nachdem ich mich ein wenig in das Thema OVPN eingelesen habe, stellen sich mir einige Fragen, wo  ich hoffe, dass man mir die eine oder andere beantworten kann.

- bei den DH-Parametern kann ich 3 Werte einstellen. Wo die Daten liegen, habe auch gefunden. Kann ich eigene Dateien über das Web-IF auswählen (mit eigenem Namen)?
- binde ich die eigene Datei über das Feld "Erweitert" beim OVPN-Server ein, überschreibt er dann die Web-Einstellung?
- wann werden die vorhandenen DH-Parameter-Dateien generiert und sind diese individuell?
- werden diese Dateien zyklisch erneuert, oder was heisst "system: regenerated DH parameters" beim letzten Update?
- oder kann ich die selber erneuern und welche Rechenleistung ist dafür notwendig (Untergrenze der CPU vorhanden?)

Danke in Voraus.

Gruß Thomas

Hoi Thomas,

Danke für die Blumen, aber zum Thema...  :)

> bei den DH-Parametern kann ich 3 Werte einstellen. Wo die Daten liegen, habe auch gefunden. Kann ich eigene Dateien über das Web-IF auswählen (mit eigenem Namen)?
> binde ich die eigene Datei über das Feld "Erweitert" beim OVPN-Server ein, überschreibt er dann die Web-Einstellung?

Sofern OpenVPN dies ordentlich löst ja. Ich weiss es aber nicht.

Ansonsten bleibt nur der Umweg entweder die Standard-Dateien zu überschreiben, oder die Code-Pfade manuell zu patchen:

https://github.com/opnsense/core/blob/master/src/etc/inc/plugins.inc.d/openvpn.inc#L848

> wann werden die vorhandenen DH-Parameter-Dateien generiert und sind diese individuell?

Das Commit hier illustriert das Vorgehen:

https://github.com/opnsense/core/commit/b0a2a44410

Die Dateien sind fix, werden aber sporadisch über den Source code (also nicht individuell) neu generiert. Eine Option für das manuelle generieren gibt es aktuell nicht, weil die Dateien beim Update überschrieben werden und dann auch nie wieder von uns erneuert werden könnten ohne weitere zusätzliche Lösungen. Hier hat sich noch keine passable Implementation gefunden, die dann auch ausprogrammiert wurde. Vorschläge hierzu sind willkommen, dann tut sich in dieser Richtung wieder mehr.

> werden diese Dateien zyklisch erneuert, oder was heisst "system: regenerated DH parameters" beim letzten Update?

Genau das, siehe Commit. Ideallerweise mindestens ein Mal pro Release.

> oder kann ich die selber erneuern und welche Rechenleistung ist dafür notwendig (Untergrenze der CPU vorhanden?)

Gute Frage! Vergleichswerte sind schwierig. Probier es selbst aus:

# opnsense-code core
# cd /usr/core
# make dhparam

Die Dateien liegen dann unter /usr/core/src/etc/dh-parameters.* und können ins System kopiert werden nach /usr/local/etc/dh-parameters.*


Grüsse
Franco

Hallo Franko,

etwas verspätet, aber ich wollte Dir doch für Deine Antwort danken.

Ich habe mich jetzt für die Methode "Laden eigener DH-Parameter durch das Feld Erweitert" entschieden.
Hier nimmt (zumindest die aktuelle Version) OVPN dann die zuletzt angegebene Datei.
Die anderen Methoden waren mir zu komlpiziert und wären nach einem Update ggf. neu zu erstellen.

Gruß Thomas (und hoffentlich frohe Weihnachten gehabt zu haben)

Hi Thomas,

Danke, klingt sinnvoll.

Schon fast Zeit für den "guten Rutsch"!  :)


Grüsse
Franco