123788
Sep 03, 2015
1299
5
0
OpenVPN mit einigen hundert Clients auf pfSense, Zertifikatverwaltung
Hallo,
auf einem pfSense-System sollen sich in Zukunft per openVPN einige hundert Clients (i.d.R. nicht gleichzeitig) einloggen können.
Von der Konfiguration her ist das kein Problem, ich habe eher ein anderes: Die Zertifikatsverwaltung.
Die Zertifikate werde ich wohl per easyRSA auf einem anderen Linux-System erstellen.
Mit ein paar Skripts etc. ist das Anlegen dann auch kein zu großes Problem. Aber wie verwalte ich die Revocation-List?
Muss ich diese auf pfSense ebenfalls pflegen (es gibt dafür ja einen Menüpunkt), oder genügt es, einfach auf dem Linux-Rechner die Zertifikate als ungültig zu markieren?
Leider wird die Fluktuation der Clients nämlich groß sein, es werden häufig neue hinzukommen, während alten der Zugang verwehrt werden soll.
Habt ihr darüber hinaus noch Tipps für mich?
Grüße
auf einem pfSense-System sollen sich in Zukunft per openVPN einige hundert Clients (i.d.R. nicht gleichzeitig) einloggen können.
Von der Konfiguration her ist das kein Problem, ich habe eher ein anderes: Die Zertifikatsverwaltung.
Die Zertifikate werde ich wohl per easyRSA auf einem anderen Linux-System erstellen.
Mit ein paar Skripts etc. ist das Anlegen dann auch kein zu großes Problem. Aber wie verwalte ich die Revocation-List?
Muss ich diese auf pfSense ebenfalls pflegen (es gibt dafür ja einen Menüpunkt), oder genügt es, einfach auf dem Linux-Rechner die Zertifikate als ungültig zu markieren?
Leider wird die Fluktuation der Clients nämlich groß sein, es werden häufig neue hinzukommen, während alten der Zugang verwehrt werden soll.
Habt ihr darüber hinaus noch Tipps für mich?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281910
Url: https://administrator.de/contentid/281910
Printed on: April 18, 2024 at 14:04 o'clock
5 Comments
Latest comment
Hallo,
dort wo auch der OpenVPN-Server läuft.
Oder Du hast eine komplette CA Umgebung wo die Liste auch über web abgefragt werden kann.
Der OpenVPN Server muss halt wo nachschauen können.
In der Config muss auch gesagt werden das es eine revoliste gibt, sonst wird auch nix geprüft.
Über einen Cron kann sich die pfsense ja immer die neueste Liste holen und den VPN-Dienst neu starten, damit die Liste angewendet wird.
Gruß
Chonta
dort wo auch der OpenVPN-Server läuft.
Oder Du hast eine komplette CA Umgebung wo die Liste auch über web abgefragt werden kann.
Der OpenVPN Server muss halt wo nachschauen können.
In der Config muss auch gesagt werden das es eine revoliste gibt, sonst wird auch nix geprüft.
Über einen Cron kann sich die pfsense ja immer die neueste Liste holen und den VPN-Dienst neu starten, damit die Liste angewendet wird.
Gruß
Chonta
Zitat von @Chonta:
Über einen Cron kann sich die pfsense ja immer die neueste Liste holen und den VPN-Dienst neu starten, damit die Liste
angewendet wird.
Über einen Cron kann sich die pfsense ja immer die neueste Liste holen und den VPN-Dienst neu starten, damit die Liste
angewendet wird.
Fliegen dann alle raus aus der Sitzung wenn der Service neu gestartet wird?
Gruß
Jap, aber um 3 Uhr Nachts sollte keiner eingelogt sein 
bzw. wenn ihr keine Standleitung habt, habt ihr eh einen 24/h discon.
Gruß
Chonta
bzw. wenn ihr keine Standleitung habt, habt ihr eh einen 24/h discon.Gruß
Chonta
Hat mich nur interessiert, geht ja nicht um mich 
Gruß
Gruß
Guten Morgen,
ah, habe gerade gesehen: Man kann auf pfSense einfach eine CR-Liste hochladen.
Hatte befürchtet, ich muss per GUI zusammenklicken, welche Clients in diese Liste aufgenommen werden sollen.
Da kommen im Laufe der Jahre nämlich ein paar tausend zusammen und das wäre dann unpraktisch.
Ich kann die komplette CA-Verwaltung (inkl. CR) also auf einem anderen System vornehmen und lade einfach die jeweils aktuelle Liste auf pfSense hoch.
Neustarten des Services ist in der Tat kein Problem, diese Arbeiten werden periodisch ohnehin nur etwa alle 6 Monate vorgenommen
PS: Bei so vielen Clients ist es in Sachen Hardware-Ressourcen sicher gut, "nur" AES-128-CBC zu nehmen?
Habe zwar einen Xeon-Prozessor drin, der AES in Hardware kann, aber ein 256bit AES würde ja sicher trotzdem mehr Leistung in Anspruch nehmen?
Und was meint ihr zu Easy-RSA? Ist das dieser Dimension gewachsen?
Ich fand das bisher immer praktisch und ausreichend, habe aber nie mehr als ein paar Dutzend Clients gehabt.
ah, habe gerade gesehen: Man kann auf pfSense einfach eine CR-Liste hochladen.
Hatte befürchtet, ich muss per GUI zusammenklicken, welche Clients in diese Liste aufgenommen werden sollen.
Da kommen im Laufe der Jahre nämlich ein paar tausend zusammen und das wäre dann unpraktisch.
Ich kann die komplette CA-Verwaltung (inkl. CR) also auf einem anderen System vornehmen und lade einfach die jeweils aktuelle Liste auf pfSense hoch.
Neustarten des Services ist in der Tat kein Problem, diese Arbeiten werden periodisch ohnehin nur etwa alle 6 Monate vorgenommen
PS: Bei so vielen Clients ist es in Sachen Hardware-Ressourcen sicher gut, "nur" AES-128-CBC zu nehmen?
Habe zwar einen Xeon-Prozessor drin, der AES in Hardware kann, aber ein 256bit AES würde ja sicher trotzdem mehr Leistung in Anspruch nehmen?
Und was meint ihr zu Easy-RSA? Ist das dieser Dimension gewachsen?
Ich fand das bisher immer praktisch und ausreichend, habe aber nie mehr als ein paar Dutzend Clients gehabt.
