Deutschsprachige CAcert Support Liste

[<hlehmbruch AT gmx.net>]

Am Wed, 23 Nov 2011 08:18:18 +0100
schrieb Michael Weiller 
<michael AT weiller.eu>:

> Am 23.11.2011 07:43, schrieb 
> hlehmbruch AT gmx.net:
> > Am Tue, 22 Nov 2011 21:36:55 +0100
> > schrieb 
> > <hlehmbruch AT gmx.net>:
> >
> >> Am Tue, 22 Nov 2011 21:13:00 +0100
> >> schrieb Michael Weiller 
> >> <michael AT weiller.eu>:
> >>
> >>> Am 22.11.2011 20:40, schrieb 
> >>> hlehmbruch AT gmx.net:
> >>>> hallo Michael
> >>>>
> >>>> Versuch mal folgende config
> >>>> ##########################################
> >>>> dev tap0
> >>>> client
> >>>> remote community-vpn.cacert.org 443
> >>>> resolv-retry 1
> >>>> nobind
> >>>> proto tcp-client
> >>>> persist-key
> >>>> persist-tun
> >>>> comp-lzo
> >>>> pkcs12 /weg/zu/deinem/xy.p12
> >>>> askpass
> >>>> auth-nocache
> >>>> ############################################
> >>>>
> >>>> gruß hendrik
> >>> Hallo Hendrik,
> >>>
> >>> vielen Dank. Damit gehts.
> >>> Aber das bedeutet jetzt doch, das die Verbindung nicht mehr in ein
> >>> TLS Paket verpackt ist, oder?
> >>> Weiß Du den auch, wie man es mit funktionierendem TLS hinbekommt?
> >>>
> >>> Vielen Dank schon mal.
> >>>
> >>> Gruß
> >>>     Michael
> >> hallo Michael
> >>
> >> da hast du wohl recht.
> >> Ich habe ein wenig gespielt, aber weiß nicht ob das richtig ist
> >> hänge unten mal
> >> ---------
> >> tls-remote community-vpn.cacert.org
> >> ---------
> >> dran.
> >>
> >> dann funzt dat auch.
> >> Ob das aber richtig ist weiß ich nicht.
> >>
> >> gruß Hendrik
> > Hallo habe folgendes gefunden, ich weiß nicht ob dies relevant ist,
> > aber wenn dies der Fall ist, müsste die Zeile tls-remote
> > entsprechend angepasst werden.
> > Nur wie kann ich dir nicht sagen, aber dieser bug scheint noch nicht
> > gelöst.
> > http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=483472
> >
> > Gruß Hendrik
> 
> Hallo Hendrik,
> 
> das mit dem Bug hab ich auch mal gefunden gehabt aber nachdem ich
> schon OpenVPN in Version 2.2.1 habe, hab ich einfach mal unterstellt,
> das der Bug schon gefixt ist.
> Zumal Du mit dem einfachen Eintrag des
> ---------
> tls-remote community-vpn.cacert.org
> ---------
> Recht hast!
> Dieser Eintrag funktioniert einwandfrei.
> 
> Vielen Dank für Deine Unterstützung.
> 
> Hier nochmal die zusammenfassung, für alle die eventuell auch Problem
> damit haben.
> Bei mir funktioniert jetzt nachfolgendes Setup und Linux einwandfrei
> mit OpenVPN 2.2.1:
> ---------
> dev tap0
> client
> remote community-vpn.cacert.org 443
> resolv-retry infinite
> nobind
> proto tcp-client
> persist-key
> persist-tun
> comp-lzo
> pkcs12 /weg/zu/deinem/xy.p12
> tls-remote community-vpn.cacert.org
> askpass
> auth-nocache
> ---------
> 
> Gruß
>    Michael
> 

hallo Michael,

das ist leider nicht das gelbe vom Ei!

ich habe noch zusätzlich 
------
ca /etc/ssl/certs/cacert.org.pem
------
eingebaut. (debian sid)
Wo das bei anderen Linux-Systemen liegt kann ich nicht sagen.

Aber eigentlich sollte sollte es "/CN=..." heißen, um mit einem x509
only host zu verbinden, vor allem mit dem den du willst, um sicher zu
sein, daß dies auch der richtige ist.
Ich hoffe ich habe da alles verstanden.

btw. mein sys: Debian GNU/Linux wheezy/sid
openvpn:OpenVPN 2.2.0 x86_64-linux-gnu

Gruß Hendrik

Attachment: smime.p7s
Description: S/MIME cryptographic signature