Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

sysupgrade auf kathleen 0.1.x verliert OpenVPN bbbvpn-Zertifikate #238

Closed
wyae opened this issue Mar 10, 2015 · 18 comments · Fixed by freifunk-berlin/firmware-packages#51
Closed

Comments

@wyae
Copy link

wyae commented Mar 10, 2015

Das Update auf einem TP-Link TP-1043ND v1 per sysupgrade-File von http://buildbot.berlin.freifunk.net/buildbot/stable/0.1.0/ar71xx/default/ über Weboberfläche tut zwar, aber mit kleineren Tücken:

bbbvpn verliert seine Zertifikate (alle: ca, key, crt)

Nach deren Einspielen und manuellem OpenVPN-starten (über Weboberfläche) und tut's dann wieder - aber sind erst mal weg, und damit auch die OLSR-Anbindung.

@booo
Copy link
Member

booo commented Mar 10, 2015

Wo lagen die Zertifikate und der Schlüssel?

@booo booo added the bug label Mar 10, 2015
@wyae
Copy link
Author

wyae commented Mar 10, 2015

Da das Einklickern über die Weboberfläche nicht funktionierte und auch die Anleitung nach http://bbb-vpn.berlin.freifunk.net/cgi-bin-index.html zu keinem Erfolg führte, habe ich das schließlich nach
http://cholin.spline.de/freifunk/bbb_vpn.html aufbauen können.

Die Zertiufikate lagen entsprechend in /etc/openvpn/

@cholin
Copy link

cholin commented Mar 10, 2015

bbbvpn ist Handarbeit und wird von der Firmware bzw dem Wizard nicht out-of-the-box unterstützt. Zur Zeit werden folgende Zertifkate bei einem Sysupgrade gesichert:

/etc/openvpn/freifunk_client.crt
/etc/openvpn/freifunk_client.key

Siehe dazu luci-app-ffwizard-berlin/lib-upgrade/openvpn und luci-app-ffwizard-berlin/Makefile#L53. Wir könnten natürlich mittels wildcards ala *.crt und *.key einfach alle Zertifkate und Schlüssel in /etc/openvpn sichern.

@cholin cholin added enhancement and removed bug labels Mar 10, 2015
@andrenarchy
Copy link
Member

+1 für wildcards! Vllt auch noch *.conf?

@wyae
Copy link
Author

wyae commented Mar 10, 2015

seconded.
Dazu dann auch noch die *.ca damit die Zertifikatsketten erhalten bleiben.

Danke!

Volker

@booo
Copy link
Member

booo commented Mar 10, 2015

Spricht etwas dagegen den ganzen Ordner /etc/openvpn zu behalten?

@andrenarchy
Copy link
Member

@booo: nein. +1 für kompletten /etc/openvpn.

@cholin
Copy link

cholin commented Mar 10, 2015

In /etc/openvpn liegt auch das ffvpn-up.sh-Skript. Das sollte nicht beibehalten werden bei einem sysupgrade. Würde mich gegen den ganzen Ordner aussprechen oder das Skript woanders hinschieben.

@andrenarchy wieso brauchst du *.conf, wenn diese doch aus der UCI-Konfiguration generiert werden?
@wyae von welchem ca sprichst du? CA und Cert von BBB-VPN und VPN03 haben jeweils eine .crt-Dateiendung (freifunk-ca.crt, freifunk_client.key,bbb-vpn-ca.crt,bbb-vpn_X.crt) und würden mit den Wildcards schon gesichert werden.

@andrenarchy
Copy link
Member

@cholin: es gibt in UCI auch die Möglichkeit eine config à la

option config /etc/openvpn/my-vpn.conf

anzugeben.

@cholin
Copy link

cholin commented Mar 10, 2015

Dann migrier deine Konfiguration nach UCI. Wir sollten nicht den Anspruch haben jegliche Konfigurationsparameter zu unterstützen. Kommen ja so schon mit den Bugfixes nicht hinterher 😄

@wyae
Copy link
Author

wyae commented Mar 10, 2015

Ah! Sorry, käsiges Gedächtnis: die CA-Zertifikate heißen ja üblicherweise *-ca.crt und nicht *.ca - sind also schon in der *.crt-Wildcard mit 'drin.

@lynxis
Copy link
Member

lynxis commented Mar 10, 2015

Wieso ist denn /etc/openvpn/ nicht automatisch im sysupgrade includiert? Fehlt ein bb backport?Im trunk ist das schon so:
https://github.com/openwrt-mirror/openwrt/blob/master/package/network/services/openvpn/files/openvpn.upgrade

@lynxis
Copy link
Member

lynxis commented Mar 10, 2015

@booo dann weg weg mit unserem ueberschreiben. Der default ist gut!

@booo
Copy link
Member

booo commented Mar 23, 2015

Ich denke auch, dass die Upgrade-Konfiguration von openwrt für openvpn gut ist, aber wir wollen wirklich nicht das ffvpn-up.sh backupen. Macht es Sinn, wenn wir das nach /lib/functions/ verschieben? Gibt es einen besseren Ort?

@lynxis
Copy link
Member

lynxis commented May 3, 2015

/usr/lib/freifunk/ oder /lib/freifunk/ würde ich benutzen.

booo added a commit to freifunk-berlin/firmware-packages that referenced this issue May 15, 2015
…grade

This should fix freifunk-berlin/firmware#238

We move the ffvpn-up.sh script to the /lib/freifunk directory. This way we
exclude the script from the backup of /etc/openvpn. Other communities already
use /lib/freifunk as directory for code so we use it instead of
/usr/lib/freifunk.
@wyae
Copy link
Author

wyae commented Jul 10, 2015

Das Problem besteht auch beim Update auf Kathleen 0.1.2

@wyae wyae changed the title sysupgrade auf kathleen 0.1.0 verliert OpenVPN bbbvpn-Zertifikate sysupgrade auf kathleen 0.1.x verliert OpenVPN bbbvpn-Zertifikate Jul 10, 2015
booo added a commit to freifunk-berlin/firmware-packages that referenced this issue Jul 19, 2015
…grade

This should fix freifunk-berlin/firmware#238

We move the ffvpn-up.sh script to the /lib/freifunk directory. This way we
exclude the script from the backup of /etc/openvpn. Other communities already
use /lib/freifunk as directory for code so we use it instead of
/usr/lib/freifunk.
@booo
Copy link
Member

booo commented Jul 19, 2015

@wyae Danke fürs Testen. Im nächsten Release sollte das Problem gelöst sein.

SvenRoederer added a commit to SvenRoederer/freifunk-berlin-firmware that referenced this issue Jun 2, 2020
12e41d0 libplatforminfo: brcm2708: use board_name instead of model for image name
95c805c tunneldigger: update to latest upstream (freifunk-berlin#238)
SvenRoederer added a commit to SvenRoederer/freifunk-berlin-firmware that referenced this issue Jun 13, 2020
95c805c tunneldigger: update to latest upstream (freifunk-berlin#238)
SvenRoederer added a commit to SvenRoederer/freifunk-berlin-firmware that referenced this issue Jun 17, 2020
12e41d0 libplatforminfo: brcm2708: use board_name instead of model for image name
95c805c tunneldigger: update to latest upstream (freifunk-berlin#238)
SvenRoederer added a commit to SvenRoederer/freifunk-berlin-firmware that referenced this issue Aug 31, 2020
12e41d0 libplatforminfo: brcm2708: use board_name instead of model for image name
95c805c tunneldigger: update to latest upstream (freifunk-berlin#238)
SvenRoederer added a commit to SvenRoederer/freifunk-berlin-firmware that referenced this issue Aug 31, 2020
12e41d0 libplatforminfo: brcm2708: use board_name instead of model for image name
95c805c tunneldigger: update to latest upstream (freifunk-berlin#238)
SvenRoederer added a commit that referenced this issue Sep 7, 2020
Berlin:
7d9cc4f bbbdigger: depend on olsrd (#211)

Gluon:
12e41d0 libplatforminfo: brcm2708: use board_name instead of model for image name
95c805c tunneldigger: update to latest upstream (#238)
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
5 participants