OpenVPN: Wieviele Geräte je Zertifikat

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von inne » 15.05.2017 12:46:20

Hallo,

ich wollte ein 2tes Geräte mit dem selben Zertifikat wie Gerät eins zum VPN hinzufügen. Aber kann es sein das je Zertifikat nur ein Gerät/IP erlaubt ist?

PC und Phone bekommen die selbe IP.

TomL

Re: OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von TomL » 15.05.2017 13:42:31

Nein.

Dieselbe IP können sie nur bekommen, wenn sie nicht beide gleichzeitig verbunden sind, sonst bekommt jeder Client eine eigene.

Aber ich würde trotzdem je Client eigene Zertifikate generieren. Das geht doch fix über ein kleines script.

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von uname » 15.05.2017 13:45:28

Lange nicht mehr genutzt. Die selbe IP ist schlecht, das selbe Zertifikat sollte gehen. Unterschiedliche Zertifikate sind wohl dann sinnvoll, wenn man diese einzeln austauschen will oder muss.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von inne » 15.05.2017 14:04:32

Habe nun für jedes Gerät ein sep. Zertifikat mit unterschiedlichem commonName (anders gehts ja auch nicht) und dann bekommt jedes Gerät auch eine eigene IP. In dem Log steht auch immer der commonName+IP. Das scheint gekoppelt zu sein?!

TomL

Re: OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von TomL » 15.05.2017 19:44:29

inne hat geschrieben:Habe nun für jedes Gerät ein sep. Zertifikat mit unterschiedlichem commonName (anders gehts ja auch nicht)
Nein, das ist nicht notwendig..... war es zumindest bei mir noch nie. Die Zertifikate haben nach meinem Verständnis auch überhaupt nichts mit dem DHCP-Server zu tun, der OpenVPN ja auch ist. Die Zertifikate regeln allein, ob überhaupt eine Verbindung etabliert wird, was imho lange vor der Vergabe der IP passiert. Und Du kannst 1 Zertifikat für beliebig viele Clients verwenden, wenn es als gültig erkannt wird, kommt eine Verbindung zustande und OpenVPN vergibt eine IP aus seinem Netz. Ich habe das früher genau so gemacht und hatte nie Probleme bei der IP-Vergabe. Nur mit unseren vielen Smartphones und Laptops habe ich heute für jeden ein eigenes Zertifikat erstellt, damit ich eben nicht alle anderen anpacken muss, wenn mal ein Gerät geklaut wird oder verloren geht. Und alle Client-Zertifikate basieren alle auf der gleichen 'vars'. Der Commonname hat imho ja auch gar nix mit dem Client zu tun, sondern mit dem OpenVPN-Host, und der ist doch für alle Clients gleich.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von inne » 15.05.2017 19:59:27

Hm, das mag sein und vielleicht liegt/lag es bei mir an etwas anderem.

Benutzeravatar
killerbees19
Beiträge: 99
Registriert: 14.12.2010 21:56:45
Wohnort: Wien (Österreich)

Re: OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von killerbees19 » 16.05.2017 22:55:18

--duplicate-cn
Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name
RTFM :mrgreen: :lol:

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von inne » 17.05.2017 08:17:12

:THX:

TomL

Re: OpenVPN: Wieviele Geräte je Zertifikat

Beitrag von TomL » 17.05.2017 10:14:55

So können einen die eigenen Erfahrungen täuschen ... ich nutze das seit mindestens 6 oder 7 Jahren, vielleicht sogar noch länger. Und ich habe tatsächlich nie Probleme bemerkt.... das müssen dann wohl glückliche zufällige Umstände gewesen sein. Allerdings werde ich diese neue Erkenntnis vor dem Hintergrund des Mailservers nun berücksichtigen und die certs neu generieren.

Antworten