OpenVPN: Wieviele Geräte je Zertifikat

[inne]

Hallo,

ich wollte ein 2tes Geräte mit dem selben Zertifikat wie Gerät eins zum VPN hinzufügen. Aber kann es sein das je Zertifikat nur ein Gerät/IP erlaubt ist?

PC und Phone bekommen die selbe IP.

[TomL]

Nein.

Dieselbe IP können sie nur bekommen, wenn sie nicht beide gleichzeitig verbunden sind, sonst bekommt jeder Client eine eigene.

Aber ich würde trotzdem je Client eigene Zertifikate generieren. Das geht doch fix über ein kleines script.

[uname]

Lange nicht mehr genutzt. Die selbe IP ist schlecht, das selbe Zertifikat sollte gehen. Unterschiedliche Zertifikate sind wohl dann sinnvoll, wenn man diese einzeln austauschen will oder muss.

[inne]

Habe nun für jedes Gerät ein sep. Zertifikat mit unterschiedlichem commonName (anders gehts ja auch nicht) und dann bekommt jedes Gerät auch eine eigene IP. In dem Log steht auch immer der commonName+IP. Das scheint gekoppelt zu sein?!

[TomL]

Habe nun für jedes Gerät ein sep. Zertifikat mit unterschiedlichem commonName (anders gehts ja auch nicht)

Nein, das ist nicht notwendig..... war es zumindest bei mir noch nie. Die Zertifikate haben nach meinem Verständnis auch überhaupt nichts mit dem DHCP-Server zu tun, der OpenVPN ja auch ist. Die Zertifikate regeln allein, ob überhaupt eine Verbindung etabliert wird, was imho lange vor der Vergabe der IP passiert. Und Du kannst 1 Zertifikat für beliebig viele Clients verwenden, wenn es als gültig erkannt wird, kommt eine Verbindung zustande und OpenVPN vergibt eine IP aus seinem Netz. Ich habe das früher genau so gemacht und hatte nie Probleme bei der IP-Vergabe. Nur mit unseren vielen Smartphones und Laptops habe ich heute für jeden ein eigenes Zertifikat erstellt, damit ich eben nicht alle anderen anpacken muss, wenn mal ein Gerät geklaut wird oder verloren geht. Und alle Client-Zertifikate basieren alle auf der gleichen 'vars'. Der Commonname hat imho ja auch gar nix mit dem Client zu tun, sondern mit dem OpenVPN-Host, und der ist doch für alle Clients gleich.

[inne]

Hm, das mag sein und vielleicht liegt/lag es bei mir an etwas anderem.

[killerbees19]

--duplicate-cn
Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name

RTFM

[inne]

[TomL]

So können einen die eigenen Erfahrungen täuschen ... ich nutze das seit mindestens 6 oder 7 Jahren, vielleicht sogar noch länger. Und ich habe tatsächlich nie Probleme bemerkt.... das müssen dann wohl glückliche zufällige Umstände gewesen sein. Allerdings werde ich diese neue Erkenntnis vor dem Hintergrund des Mailservers nun berücksichtigen und die certs neu generieren.