openvpn und /var/flash/freetz to big

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

fow0ryl

Neuer User
Mitglied seit
27 Nov 2004
Beiträge
160
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich habe openvpn seit einigen Jahren erfolgreich auf meiner 7570 laufen.
Neben der Konfiguration als Server habe ich auch einige Client Definitionen erstellt.
Jetzt wurde das Verschlüsselungsverfahren inkl. der Schlüssellängen auf allen betroffenen Systemen auf einen aktuellen Stand gebracht. (Besser spät als nie ...)
Die Konfiguration habe ich immer über die Weboberfläche vorgenommen. Speichern funktioniert jetzt aber nicht mehr, da wegen der längeren Schlüssel das 32k Limit gesprengt wird.
Leider habe ich zu dem Thema nichts wirklich aktuelles, bzw hilfreiches gefunden.
Ich habe auch keine anderweitigen Konfigurationsdaten gefunden, die ich löschen könnte...

Gibt es es eine funktionsfähigen Workaround? Z.B. auslagern der Konfigurationen auf den angeschlossenen USB-Stick?
Da wäre ja massenhaft Platz...
Und wenn ja, wo finde ich Info's dazu?

Gruß
Henning
 
Grundsätzlich kein Problem, du kannst auch andere Dateien nutzen...
Aber vorher: Ist es wirklich das OpenVPN, das "zu groß" ist, oder sind vielleicht noch andere "Datei-Leichen" in /tmp/flash auf der Box, die die Datei aufblähen?

Ansonsten gibt es mehrere Optionen:
Du kannst z.B. vor dem Start des OpenVPN die Dateien "an die passende Stelle kopieren", dann musst du die Konfig nicht ändern (1)
oder
Du kannst in der Konfig die Datei-Pfade zu den Zertifikaten usw. auf dem USB-Drive verändern und dann diese Konfig als "eigene" Datei speichern (unter "/tmp/flash/openvpn/own_${DAEMON}.conf" passend zu deinen Konfig-Namen)
oder
Du kannst die "GUI V2" nutzen, da musst/kannst du dann direkt Textdateien als Konfig eingeben (die "schicke" GUI gibt es da nicht und du musst alles neu machen) und kanns da natürlich auch beliebige Dateipfade nutzen ...
oder
du kannst das shell-Skript umschreiben, dass die Config-Datei erstellt ("/etc/default.openvpn/openvpn_conf") und dort die Pfade statt auf /tmp/flash/openvpn/... auf andere Pfade zeigen lassen

[EDIT] zu (1):
die einfachste Methode, wenn wirklich die Keys und Zertifikate der Auslöser sind:
Kopiere die Dateien an eine beliebige Stelle auf USB, und mache dann z.B. für das Box-Zertifikat der "default"-Konfig:
Code: 
# "echte" Datei löschen ...
rm /tmp/flash/openvpn/box.crt
# ... und statt der Datei einen Link auf die Datei an anderer Stelle einfügen
ln -s /wo/auch/immer/die/Datei/liegt/box.crt /tmp/flash/openvpn/box.crt
Das ganze dann auch für die anderen Zertifikate/Schlüssel machen (maximal also für box.crt, ca.crt, dh.pem, static.key und box.key) und ggf. auch für die anderen Konfigs...

[/EDIT]
 
Zuletzt bearbeitet:
Hallo,

erst mal Entschuldigung, das ich mich erst jetzt melde.
War lange Wochen in der Klinik ... Volles Progamm.

Dann noch vielen Dank für die Hinweise.
Ich habe mich entschieden erst mal die Variante mit den Links zu verwenden.
Funktioniert erwartungsgemäß problemlos.

Die immer wieder gestellte Frage nach Altlasten, die das /tmp/flash zumüllen ist zwar ok, dürfte aber in den wenigsten Fällen zur Lösung des Problem's beitragen.

Wenn man sich die Größen der einzelnen OpenVPN Dateien anschaut, wird klar das /tmp/flash hierfür nur in einfachen Fällen der richtige Ort sein kann.
Mit dem unsicheren Blowfish/md5 hatte ich ja auch nie Probleme...
Bei Verwendung eines Zertifikates mit AES-128 und Signatur mit "sha256WithRSAEncryption" und mit 4096 bit public key wird es eng.
Für box.key, box.crt und ca.crt kommt man auf eine Dateigröße von gut 13kB pro Client Verbindung.
D.h. man kann maximal 2 Client Verbindungen definieren. Da hilft dann auch (Platz)sparen nicht wirklich weiter.

Gruß
Henning
 
Schön, dass es geklappt hat.

fow0ryl schrieb:
Die immer wieder gestellte Frage nach Altlasten, die das /tmp/flash zumüllen ist zwar ok, dürfte aber in den wenigsten Fällen zur Lösung des Problem's beitragen.
Zum Vergrößern anklicken....
Auch wenn es in deinem speziellen Fall vielleicht nichts gebracht hat, halte ich das durchaus für einen legitimen Vorschlag.

Erstmal können z.B. Pakete, die irgendwann mal auf der Box waren, können durchaus noch die ein oder andere Datei dort hinterlassen, die man dann über die GUI nicht "weg bekommt".

Zudem hast du die jetzt konkreten "Randbedingungen" (4k Keys mit 13kB pro Client) erst in deiner Antwort geschrieben; in der Frage ging es um "einige" Configs, deren Schlüssellängen auf "einen aktuellen Stand" gebracht wurden. Das könnten also durchaus 2048 bit basierte Keys sein, von denen eine ganze Menge auf die Box passen sollten und die Fehlermeldung dann auf "andere Platzfresser" hinweisen könnte.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 487 (Mitglieder: 35, Gäste: 452)

Neueste Beiträge

Statistik des Forums

Themen
246,146
Beiträge
2,246,864
Mitglieder
373,654
Neuestes Mitglied
hstoff
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück