Discussion:
openvps2 3.2.0 stable released
Add Reply
Olaf Jaehrling
2025-03-17 22:26:04 UTC
Antworten
Permalink
Hallo allerseits,

ich habe heute openvpn2 in Version 2.6.13 neu kompiliert und für E1 und
E64 als Pakete geschnürt.
Achtung, die Version wurde mit glibc version 2.41 (Paket-Version 3.6.0)
kompiliert.

Viel Spaß noch mit Eisfair.

Viele Grüße

Olaf
--
Paketserver: https://ojaehrling.de/eis/index.txt
Dennis Neuhäuser
2025-03-18 16:02:17 UTC
Antworten
Permalink
Hallo Olaf,
ich habe heute openvpn2 in Version 2.6.13 neu kompiliert und für E1 und E64 als Pakete geschnürt.
Achtung, die Version wurde mit glibc version 2.41 (Paket-Version 3.6.0) kompiliert.
Vielen Dank für das Update.
Ich konnte nun von v3.1.8 aktualisieren - kein Abhängigkeitsproblem mehr.
glibc habe ich natürlich auch aktualisiert.


Allerdings fehlte mir danach der DH2048-Key.

In der server.conf ist er nach dem Update eingetragen (zuvor noch dh1024):
"dh /etc/openvpn/keys/dh2048.pem"

Der passende Link existierte auch, aber die Zieldatei fehlte:

# ls -l /etc/openvpn/keys/dh2048.pem
lrwxrwxrwx 1 root root 34 Mar 18 16:37 /etc/openvpn/keys/dh2048.pem -> /usr/local/openvpn/keys/dh2048.pem

# ls -l /usr/local/openvpn/keys/dh2048.pem
ls: cannot access '/usr/local/openvpn/keys/dh2048.pem': No such file or directory


Ich habe die dann erstellt mittels:
# openssl dhparam -out /usr/local/openvpn/keys/dh2048.pem 2048

Danach läuft es.

Wäre das auch über das Menü gegangen (habe ich nicht gefunden) oder hätte das Paketupdate die Datei selbst erzeugen können?


--
VG
Dennis
Olaf Jaehrling
2025-03-18 19:04:00 UTC
Antworten
Permalink
Hallo Dennis,
Post by Dennis Neuhäuser
Hallo Olaf,
Vielen Dank für das Update.
Ich konnte nun von v3.1.8 aktualisieren - kein Abhängigkeitsproblem mehr.
glibc habe ich natürlich auch aktualisiert.
Das freut mich.
Post by Dennis Neuhäuser
Allerdings fehlte mir danach der DH2048-Key.
"dh /etc/openvpn/keys/dh2048.pem"
# openssl dhparam -out /usr/local/openvpn/keys/dh2048.pem 2048
Danach läuft es.
Wäre das auch über das Menü gegangen (habe ich nicht gefunden) oder
hätte das Paketupdate die Datei selbst erzeugen können?
Bei jedem update wird zur Sicherheit von allen Zertifikaten ein backup
gemacht.
zu finden sollten die im /root sein und mit openvpn-zertifikate anfangen.
Dort drin solltest du die dh2048.pem finden.

Viele Grüße und Danke für die Rückmeldung

Olaf
Post by Dennis Neuhäuser
--
VG
Dennis
--
Paketserver: https://ojaehrling.de/eis/index.txt
Dennis Neuhäuser
2025-03-18 19:44:17 UTC
Antworten
Permalink
Hallo Olaf,
Bei jedem update wird zur Sicherheit von allen Zertifikaten ein backup gemacht.
zu finden sollten die im /root sein und mit openvpn-zertifikate anfangen.
Dort drin solltest du die dh2048.pem finden.
Dieses tgz-Archiv habe ich, aber auch dort ist nur die dh1024.pem enthalten.

Nach meinem Verständnis gab es bis einschließlich Paketversion 3.1.8 noch keine dh2048.pem, oder?

Muss diese also zum nachträglichen "Hochstufen" einer bestehenden Config immer manuell erstellt werden?

Oder hat ein vorgesehener Automatismus bei mir nicht funktioniert?
--
VG
Dennis
Olaf Jaehrling
2025-03-18 20:15:04 UTC
Antworten
Permalink
Hallo Dennis,
Post by Dennis Neuhäuser
Hallo Olaf,
Bei jedem update wird zur Sicherheit von allen Zertifikaten ein backup gemacht.
zu finden sollten die im /root sein und mit openvpn-zertifikate anfangen.
Dort drin solltest du die dh2048.pem finden.
Dieses tgz-Archiv habe ich, aber auch dort ist nur die dh1024.pem enthalten.
Nach meinem Verständnis gab es bis einschließlich Paketversion 3.1.8
noch keine dh2048.pem, oder?
Ahja, stimmt ja, du hattest ja von 3.1.8 upgedated. Eigentlich hättest
du vermutlich die Zertifikate neu erstellen müssen.
Cool, du hast einfach so einen anderen Weg gefunden. Wenn du die remote
clients weiter erreichen kannst übernehme ich das mit in die Doku.

Gruß

Olaf
Post by Dennis Neuhäuser
Muss diese also zum nachträglichen "Hochstufen" einer bestehenden Config
immer manuell erstellt werden?
Oder hat ein vorgesehener Automatismus bei mir nicht funktioniert?
--
Paketserver: https://ojaehrling.de/eis/index.txt
Dennis Neuhäuser
2025-03-18 23:10:11 UTC
Antworten
Permalink
Hallo Olaf,
Ahja, stimmt ja, du hattest ja von 3.1.8 upgedated. Eigentlich hättest du vermutlich die Zertifikate neu erstellen müssen.
Cool, du hast einfach so einen anderen Weg gefunden. Wenn du die remote clients weiter erreichen kannst übernehme ich das mit in die Doku.
Ja, funktioniert tadellos und wird auch auf anderen Seiten so beschrieben.

Das Ausrollen von komplett neuen Zertifikaten wollte ich mir ersparen und es ist in diesem Fall auch nicht nötig, da nur die serverseitigen Diffie-Hellman-Parameter ausgetauscht werden.
--
VG
Dennis
Loading...