Skip to main content
Skip table of contents

TLS-Optionen für IGEL OS OpenVPN

Dieser Artikel zeigt, wie man die TLS-Optionen für den OpenVPN-Client in IGEL OS definiert. Unter TLS (Transport Layer Security) Optionen können Sie die Optionen für das OpenVPN-Protokoll (Tunnel) anpassen. TLS ist der Nachfolger von SSL (Secure Sockets Layer). Es ist ein Standard, der aus mehreren Protokollen besteht, die verschlüsselte Daten zwischen authentifizierten Kommunikationspartnern über potenziell unsichere IP-Netzwerke wie das Internet übertragen können.


Menüpfad: Setup > Netzwerk > VPN > OpenVPN > [OpenVPN-Verbindung] > TLS-Optionen

TLS-Optionen für den OpenVPN-Client in IGEL OS:

Betreff: Übereinstimmung:

Der Subject-Match akzeptiert/ablehnt die Serververbindung auf der Grundlage eines benutzerdefinierten Tests der eingebetteten X509-Subject-Details des Serverzertifikats. Die Formatierung dieser Felder wurde in ein stärker standardisiertes Format geändert. Es sieht jetzt wie folgt aus: C=US, L=Somewhere, CN=John Doe, emailAddress=john@example.com.

Siehe auch: https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

TLS-Typ des Zertifikats der Gegenstelle:

Erfordere, dass das Peer-Zertifikat mit einer expliziten Schlüsselverwendung und einer erweiterten Schlüsselverwendung basierend auf RFC3280 TLS-Regeln signiert wurde.

Dies ist eine nützliche Sicherheitsoption für Clients, um sicherzustellen, dass der Host, mit dem sie sich verbinden, ein ausgewiesener Server ist. Oder andersherum; für einen Server, um zu überprüfen, dass nur Hosts mit einem Client Zertifikat eine Verbindung herstellen können.

  • Nicht überprüfen*: keine Überprüfung des entfernten Zertifikats

  • Prüfung auf Server-Zertifikat: Die Option --remote-cert-tls server ist äquivalent zu --remote-cert-ku --remote-cert-eku "TLS Web Server Authentication"

  • Prüfung auf Client Zertifikat: Die Option --remote-cert-tls client ist gleichbedeutend mit --remote-cert-ku --remote-cert-eku "TLS Web Client Authentication"


Dies ist eine wichtige Sicherheitsvorkehrung zum Schutz vor einem Man-in-the-Middle-Angriff, bei dem ein autorisierter Client versucht, sich mit einem anderen Client zu verbinden, indem er sich als Server ausgibt. Der Angriff lässt sich leicht verhindern, indem die Clients das Zertifikat des Servers mit einer der folgenden Methoden überprüfen: --remote-cert-tls, --verify-x509-name, oder --tls-verify.

Schlüsseldatei für zusätzliche TLS-Authentifizierung:

Als Pfad geben Sie relativ zu /wfs/OpenVPN oder wählen Sie über die Dateiauswahl. Damit wird eine zusätzliche HMAC-Legitimationsebene über dem TLS-Kontrollkanal hinzugefügt, um DDOS-Angriffe zu verhindern.

tls-auth (Key Direction) / tls-crypt:

  • None*: Keine Schlüsselrichtung
  • tls-auth 0: Wenn die Standardoption nicht verwendet wird, sollte eine Seite der Verbindung Richtung 0 und die andere Richtung 1 verwenden.
  • tls-auth 1: Wenn die Standardoption nicht verwendet wird, sollte eine Seite der Verbindung die Richtung 0 und die andere die Richtung 1 verwenden.
  • tls-crypt: Im Gegensatz zu tls-auth ist das Setzen einer Schlüsselrichtung nicht erforderlich. Verwenden Sie diese Option, wenn die Version des OpenVPN-Servers 2.4 oder höher ist. Weitere Informationen zu tls-crypt finden Sie z.B. im Referenzhandbuch für OpenVPN 2.4.


*IGEL OS Systemvorgaben

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close