OpenWRT

Projektversion "LEDE"

OpenVPN

VPN Server, push route

Wenn man über die Luci App die Option route hinzufügt, dann funktioniert das noch nicht.
Es ist zwingend notwendig, dass man wieder manuell den Eintrag in der OpenVPN config Datei anpasst.
Die Luci App trägt folgendes ein:

list route '192.168.1.0 255.255.255.0'

Den IP Bereich legt ihr natürlich fest.
Und damit es funktioniert muss der Befehl in folgendes geändert werden:

list push 'route 192.168.1.0 255.255.255.0'

VPN Client einrichten, pkcs12 Option entfernen

Beim Erstellen einer OpenVPN Client Instanz wird automatisch die Option "pkcs12" hinzugefügt.
Diese beißt sich mit der Option "cert" und das System loggt einen Fehler.

Mon Feb  5 14:52:57 2018 daemon.err openvpn(VPN_Client_GESA)[7339]: Options error: Parameter --cert cannot be used when --pkcs12 is also specified.

Um das Problem zu beheben, wählt man sich per SSH auf den Router ein und entfernt aus der Datei

/etc/config/openvpn

die Zeile

option pkcs12 '/etc/easy-rsa/keys/some-client.pk12'

. Dann startet man den OpenVPN Dienst neu

/etc/init.d/openvpn restart

und kann danach seine OpenVPN Instanz mit den Zertifikatsdateien benutzen.

Using PKCS12 File

Wenn man einen VPN Client über die WebGUI namens "Luci-App" einrichten will, wird man scheitern.
Bei der Verwendung von sog. P12 oder PKCS12 Dateien bekommt man folgende Fehlermeldung:

Mon Feb  5 15:41:43 2018 daemon.err openvpn(VPN_Client)[9553]: neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'.  If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
Mon Feb  5 15:41:43 2018 daemon.notice openvpn(VPN_Client)[9553]: Exiting due to fatal error

Man müsste hier wieder per SSH das config file /etc/config/openvpn editieren un die Option "--askpass" manuell einzutragen und dahinter eine Datei mit dem Passwort für die P12 Datei im Klartext angeben.
Nach dieser Erkenntnis bin ich dann doch wieder zur ursprünglichen Konfigurationsvariante gewechselt und binde die Dateien "ca, key und cert" ein.

Quelle:Forum Opensense

Nützliche Hinweise

Strukturen, Playbooks, Vaults - so habe ich es gemacht

Playbook - install Java 8 JDK

Apache2 - SSL Zertifikat mit Let´s encrypt für Webserver bereitstellen

Apache2 - Webspace passwortgeschützt mit einzelner Ausnahme

Apache2 – SSL erzwingen bzw. HTTP-Zugriffe umleiten

Apache 2 - SVN

Backup mit duply

System Einstellungen

bash

Linksammlung Docs

fail2ban

Debian Upgrade auf neuen Release

missing firmware

Backports

Kernel updaten

Paket selber bauen - dpkg-buildpackage

MySQL - MariaDB

Paketmanager - apt

Festplattenverwaltung - fdisk,lvm,dd

Cryptsetup mit LUKS - Festplattenverschlüsselung

Logical Volume Manager - LVM

Software RAID - mdadm

Beispiel - RAID1 - LUKS encryption - LVM

hdparm - Energiemanagement

Graylog - Konfiguration

JMESPATH Terminal

Certbot Benutzung

Allgemein

Verarbeitung - Metriken

Installation

Fehlerbehebung

Konfiguration

Get started

RSyslog - Konfiguration

Putty Keys

Git

SVN

Vi(m) - search and replace