Wie benutze ich das Zertifikat in OpenVPN?

    Hallo zusammen,


    ich benutze OpenVPN, um von unterwegs zu Hause auf das QNAP NAS zu kommen. Das funktioniert, jedoch nur, wenn ich beim Verbinden den Zertifikatsschritt übergehe. Ich würde aber gern anständig das Zertifikat in den OpenVPN Client kriegen. Hierzu kann man in dem Client (siehe Screenshot anbei) ein Zertifikat hochladen. Allerdings werden nur die Format "*.p12", "*.pkcs12" und "*.pfx" akzeptiert. Wenn ich im QNAP NAS allerdings das Zertifikat exportiere (siehe Screenshot), dann bekomme ich es nur im Format ca.crt geliefert.

    pasted-from-clipboard.png


    Ich bin da nicht so bewandert. Kann mir jemand helfen?


    Vielen Dank im Voraus!

    Dass Du damit (VPN auf dem QNAP) ein hohes Sicherheitsrisiko eingehest ist Dir bewusst?


    Welchen OpenVPN Client und auf was für einem Gerät nutzt Du denn? Ich kenne von OVPN ausschließlich Zertifikate in einer .crt Datei.

    Mann kann diese auch in der OVPN Konfig (.ovpn) hinterlegen, normalerweise kann man das beim Export auswählen, was bei QVPN laut Screenshots nicht möglich scheint. Eine .crt entsprechend zu öffnen um den Inhalt (konvertiert?) in die .ovpn zu bekommen habe ich noch nie versucht und weiß auch nicht ob das möglich ist.

    Bei Dir wird aber an dem Client etwas faul sein, denn dass keine .crt verwendet werden kann, kenne ich von keinem SSL VPN/ OVPN client.


    Edit: sehe gerade dass es OpenVPN connect sein scheint, den client hatte ich auch mal auf Android, weiß aber nicht mehr wie es war.

    Ich verwende stattdessten "OpenVPN für Android".

    Hallo,


    zum Thema Risiko. Meines Erachtens ist es jedesmal ein Risiko, von außen auf das Gerät zu kommen. QNAP bietet hier ja vieles an: mit der MyQnapCloud kann man ja von überall auf das Gerät und die Firmware erlaubt ja PPTP-VPN, L2TP-IPsec-VPN und halt auch OpenVPN. Sind die alle mit dem gleichen Risiko behaftet oder ist OpenVPN hier besonders risikohaft?


    Zu dem Client. das ist auf allen Plattformen in der neuesten Version so (siehe https://openvpn.net/download-open-vpn/). Bei älteren Version, die ich aber nirgendwo mehr finde, war es tatsächlich so, dass ca.crt verarbeitet wurde. Heute nicht. Kennst Du einen Link zu einem älteren VPN-Client?

    Zitat von stefano

    Sind die alle mit dem gleichen Risiko behaftet oder ist OpenVPN hier besonders risikohaft?

    Alles das gleiche Risiko. Ein VPN Server gehört auf den Router/ Firewall, aber nicht auf ein NAS.

    Zitat von stefano

    (siehe https://openvpn.net/download-open-vpn/).

    Ach der ist das... Der ist nicht für Deine Zwecke gedacht! Du brauchst für Win und Co diesen hier: https://openvpn.net/community-downloads/

    Danke für den Link zu einer anderen Version des Clients. Das probiere ich gleich aus.


    Zum Thema wo ein VPN-Server zu laufen hat: ja, im Prinzip natürlich, nur bin ich bei den normalen DSL-Routern nicht fündig geworden. Bei AVM gibt es so etwas nur als Labor-Version und nicht stabil. Irgendeine Empfehlung für einen DSL-Router mit vernünftigem VPN-Server?

    Was für einw Fritte hast du denn? Mit aktuellen FritzOS und sogar länger ist das möglich. Jedenfalls besser als auf dem QNAP, aber nicht OpenVPN. Für OVPN ist asus interessant.


    Btw: es handelt sich nicht um eine andere "Version" sondern es ist eine völlig andere Software für ganz andere Zwecke ;)

    Nein, den meine ich nicht.


    IPv6 bzw CGNAT / DS Lite ist dann nochmal eine Sache die alles nen Zacken schärfer macht.

    Das kann weder Fritte noch Asus. Da bliebe um im Consumer Bereich zu bleiben nur OpenWRT auf einem unterstützen Router oder zb. Opnsense oder Pfsense.

    Sorry, ich komme nicht ganz mit. Du schriebst "Mit aktuellen FritzOS und sogar länger ist das möglich". Wenn Du nicht den FFritz-Fernzugang meinst, was dann?

    Google findet immer was, allerdings halt genau das, was ich oben beschrieben habe, nämlich Labor und Umweg, aber nichts was zu der Aussage "Mit aktuellen FritzOS und sogar länger ist das möglich" passt. Aber vielleicht übersehe ich ja was, weshalb mir nur der Link helfen würde.


    Dann noch etwas zu Thema "sondern es ist eine völlig andere Software für ganz andere Zwecke". Die Unterschiede zwischen Community Edition und Connect liegen funktional (und als Client verwendet) nicht wirklich dramatisch auseinander: https://forums.openvpn.net/viewtopic.php?t=27690.

    Klar, beide machen OpenVPN... Openvpn Connect ist aber ausschließlich für die Nutzung der kostenpflichtigen Access Server gedacht und das funktioniert auf andere, eigene Weise.


    Wo man genau etwas zu dem Fritz VPN findet weiß ich nicht, ich habe keine Fritte. Ich weiß nur sicher, dass das VPN schon länger möglich ist und mit dem letzten großen Update deutlich verbessert wurde. Labor, beta oder so ist das schon lange nicht mehr... Im Gegenteil: Es ist sogar veraltet.

    So schwer ist das nicht zu finden. Bevor ich meine pfSense installiert habe, habe ich mich über das VPN der FB angemeldet.

    Das geht aber nur mit IPv4. Das Du IPv6 verwendest, kam ja auch erst im Verlauf der Posts heraus.

    Aber mit IPv4 ist das seit Jahren(!) kein Thema.


    Gruss

    Und mit einer 7590 sogar recht schnell, da die CPU jetzt AES in Hardware kann.


    Bei dir hängt die Sicherheit dann halt dran, wie schnell QNAP die App und ggf. die Libs vom QTS anpasst, wenn eine Lücke gefunden wird.

    Da QNAP hier nicht die schnellsten sind, ist das Risiko jedenfalls deutlich höher als bei einer VPN Router Implementation.