Hallo,
es gibt ein zusätzliches Problem bei der Aktualisierung des IPFire von 119 auf 120 oder 121. Nach o.g. Verfahren meldet IPFire, dass das Host-Zertifikat nicht RFC3280 konform sei.
Dies liegt darin begründet, dass unter
/var/ipfire/ovpn/openssl/ovpn.cnf
die “extendedKeyUsage” Parameter für das Zertifikat in der Konfig fehlen.
Lösung:
- Stoppe OpenVPN Server im IPFire
- Ändere in den allg. Einstellungen die Verschlüsselung auf z.B. AES-CBC (256 Bit) und unter den erweiterten Einstellungen die Kryptographieoptionen auf SHA256
- IPFire OpenVNPN: Lösche X.509 Instanz auf dem Ipfire (Achtung alle Zertifikate werden unbrauchbar und müssen neu angelegt werden)
- Editiere auf der Konsole die Datei
/var/ipfire/ovpn/openssl/ovpn.cnf
, indem Du den gesamten Inhalt durch den Inhalt die unter folgendem Link zu findenden Vorlagendatei ersetzt:
https://git.ipfire.org/?p=ipfire-2.x.git;a=blob_plain;f=config/ovpn/openssl/ovpn.cnf;hb=refs/heads/core123 - Erzeuge ein neues Host/Root - Zertifikat (mind.2048 Bit Schlüssellänge)
- Erzeuge einen neuen Diffie Hellmann key mit mind. 2048 Bite Schlüssellänge (steht dann in der Gui unter TLS)
- Starte den OpenVPN Server neu
- User generieren eine neuen Key
- Admin aktiviert diese Keys auf dem OpenVPN Server
-> OpenVPN client Verbindung funktioniert nun und auf dem Server gibt es keine Fehlermeldungen mehr!