Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC

FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).
Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd Да я именно так и сделал. А насчет знания наизусть Base64 типа прикололся

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 01:06 04-05-2013
Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Да я-то понял) Шутка зачётная вышла) Можно было бы и попытаться выучить, если бы кодирование символов было однозначным, а так...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 14:12 04-05-2013
Aroun



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Камрады, нужна ваша помощь.
 
Есть двойной впн.
 
Клиент цепляется к одному из виртуальных интерфейсов, в соответствующей таблице маршрутизации для него прописан другой виртуальный интерфейс, т.е. схема такая
 
 
клиент (10.11.11.6)--- tun1 (10.11.11.1)---- tun2 (192.168.1.6)----второй сервер впн (192.168.1.1)---интернет.
 
 
tcpdump tun1 показывает что пакет пинга приходит на него. на втором интерфейсе я вижу что этот же пакет уходит на второй сервер.
 
На втором сервере tcpdump уже ни одного пакета не видит.
 
Соответственно на клиенте превышел интервал ожидания.
 
 
Вот пакет который уходит с tun2 на второй сервер:
 

Код:
IP 10.11.11.6 > google-public-dns-a.google.com: ICMP echo request, id 3, seq 32505, length 40

 
Вот таблица rt оттуда:
 

Код:
 ip route show table client1

 

Код:
default via 192.168.1.5 dev tun2
10.11.11.0/24 dev tun1  scope link  src 10.11.11.1

 
пинг до 192.168.1.1 с 192.168.1.6 проходит.
 
Задача пропустить пинг до 8.8.8.8
Всего записей: 680 | Зарегистр. 19-07-2005 | Отправлено: 21:42 27-05-2013 | Исправлено: Aroun, 21:55 27-05-2013
Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Aroun
покажите вывод ip r с сервер 1 и 2.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 14:00 28-05-2013
GAlexis

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Win 2008 с OpenVPN
 
в конфиге на сервере
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
 
Когда один клиент все работает.
Всем клиентам всегда выдается один адрес
10.8.0.6
при этом при входе следующего предыдущего не отключает, но пинг пропадает.
Не могу найти где грабли
Всего записей: 4 | Зарегистр. 28-07-2006 | Отправлено: 15:13 04-07-2013
tankistua

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cat /etc/openvpn/routing_ccd/192-168-32-0  
# office
iroute 192.168.32.0 255.255.255.0
ifconfig-push 10.10.10.2 10.10.10.1
 
cat /etc/openvpn/routing_ccd/192-168-22-0  
# office2
iroute 192.168.22.0 255.255.255.0
ifconfig-push 10.10.10.6 10.10.10.5
 
Добавлено:
ccd/contractor1
 
ifconfig-push 10.8.2.1 10.8.2.2
ccd/contractor2
 
ifconfig-push 10.8.2.5 10.8.2.6
Each pair of ifconfig-push addresses represent the virtual client and server IP endpoints. They must be taken from successive /30 subnets in order to be compatible with Windows clients and the TAP-Windows driver. Specifically, the last octet in the IP address of each endpoint pair must be taken from this set:
 
[  1,  2] [  5,  6] [  9, 10] [ 13, 14] [ 17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]
Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 16:43 04-07-2013
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GAlexis
Цитата:
Не могу найти где грабли
Небось всем клиентам один и тот же сертификат выдал?
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 00:08 05-07-2013
GAlexis

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Небось всем клиентам один и тот же сертификат выдал?  

Генерировал каждому свой. Как мне кажется два одинаковых сертификата сформировать невозможно даже для одного пользователя.
 
port 1194
proto udp
dev tun
ca ca.crt
cert serv.crt
key serv.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
 
Включил
duplicate-cn
Кажись заработало. Значит я не правильно генерирую сертификаты?
Всего записей: 4 | Зарегистр. 28-07-2006 | Отправлено: 08:01 05-07-2013 | Исправлено: GAlexis, 08:18 05-07-2013
tankistua

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
для отдельных клиентов лучше использовать бридж - нет проблем с прописыванием роутинга у них.
 
конфиг с freebsd
 
кстати - лучше использовать протокол tcp и порт 443-ий - тогда через через проксю без проблем работает
 

Код:
 
# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one.  You will need to
# open up this port on your firewall.
port 443
 
# TCP or UDP server?
proto tcp
 
# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap
 
# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key).  Each client
# and the server must have their own cert and
# key file.  The server and all clients will
# use the same ca file.
#
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates
# and private keys.  Remember to use
# a unique Common Name for the server
# and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca      keys/ca.crt
cert    keys/server.crt
key     keys/server.key  # This file should be kept secret
 
# Diffie hellman parameters.
# Generate your own with:
#   openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.  
dh      keys/dh1024.pem
 
# revoke  
#crl-verify keys/crl.pem
 
# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface.  Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0.  Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients.  Leave this line commented
# out unless you are ethernet bridging.
 
ifconfig 192.168.4.50 255.255.255.0
server-bridge 192.168.4.50 255.255.255.0 192.168.4.51 192.168.4.63
 
push "dhcp-option DOMAIN lgr"
push "dhcp-option DNS 192.168.4.20"
 
# Maintain a record of client  virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
#ifconfig-pool-persist ipp.txt
 
# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).
client-config-dir ccd
 
# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client
 
# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120
 
# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
#   openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth keys/ta.key 0
 
# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo
 
# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
#
# You can uncomment this out on
# non-Windows systems.
user nobody
group nobody
 
# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
persist-key
persist-tun
 
# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3
 
Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 08:57 05-07-2013 | Исправлено: tankistua, 09:00 05-07-2013
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MegaSES
Цитата:
а вот OpenVPNService запускает только одного клиента. Как добиться одновременной работы нескольких клиентов одновременно в автоматическом режиме?  


Цитата:
When started, the OpenVPN Service Wrapper will scan the \Program Files\OpenVPN\config folder for .ovpn configuration files, starting a separate OpenVPN process on each file.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 15:34 09-07-2013
sergeyxr

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую всех.
 
Я новичёк в OpenVPN но по причине большой надобности пришлось изучать по ходу процесса,
 
поставил я сервак, настроил клиента по ссылке из шапки, генерация ключей не получилась как описанно в шапке, сгенерировал их по своей инструкции завалявшейся после внедрения шифрованной эл почты в филиалах нескольких контор.. типа 6в1,
 
подсунул всё вроде клиент конектиться к серверу проходит проверку подлинности сервера (проверка сервера проходит вроде как нормально),
далее идёт идентификация TLS как я понял клиента и всё тупняк, ребут соединения клиента с сервером через 5 сек,
 
при этом client-config-dir "C:\\Program Files (x86)\\OpenVPN\\config\\ccd" закомментированна #
 
снимаю коммент (убираю его сервант не работает и пишет в логах  
Options error: --client-config-dir fails with 'C:\Program Files (x86)\OpenVPN\config\ccd': No such file or directory
Options error: Please correct these errors.
Use --help for more information.
 
в папке лежат тока ipp.txt пустой
и файл без расширения
client1
с содержимым  
ifconfig-push 10.10.10.2 255.255.255.0
push "route 192.168.8.0 255.255.255.0 10.10.10.2"
 
 
чесно говоря незнаю чё делать и в полном тупняке.
сертификаты генерил отдельные для клиента под RSA AES256 и SHA254 хэширование.
 
файл ta.txt единственное генерил на сервере не там где генерились сами сертификаты, но на сервере и клиенте они одинаковые скопировал.
 
Подскажите если не затруднит.
 
Всего записей: 43 | Зарегистр. 13-10-2011 | Отправлено: 18:25 18-07-2013
nick7inc



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergeyxr
Система какая? Я ставил под Win32, проблем не было. Если под никсы, то не ко мне.
Зачем вам CCD? Нужны какие-то специфические опции клиенту передавать? CCD используется только если у клиентов настройки отличаются от тех, что вы прописываете для всех по-умолчанию. В простейшем случае не надо. Ну и задачу хотелось бы услышать. Версия OpenVPN какая?
 
P.S. Опыт у меня небольшой: 1) делал удалённый доступ на работу, т.к.  там частная сеть, невидимая извне, 2) делал маршрутизацию пакетов из одной подсети в другую посредством OPENVPN. Всё делал в режиме routing.

----------
Джин, не лезь в бутылку.
Всего записей: 1138 | Зарегистр. 04-05-2007 | Отправлено: 01:07 20-07-2013 | Исправлено: nick7inc, 01:18 20-07-2013
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergeyxr
Цитата:
генерация ключей не получилась как описанно в шапке, сгенерировал их по своей инструкции завалявшейся после внедрения шифрованной эл почты
И ты после этого хочешь, чтобы у тебя все работало? А ты сам пробовал свою дверь ключами от почтового ящика открывать?
Читай мануал и делай, как там написано. Процедура несложная.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 02:16 20-07-2013
tankistua

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
похоже вся беда именно с генерированием сертификатов своими скриптами, при том что скрипты, которые раздает разработчик очень даже рабочие.
 
З.Ы. кстати - ccd сделан неправильно
Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 02:18 20-07-2013
sergeyxr

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nick7inc
 
задачи у меня 2
1. спрятать весь свой трафик чтоб в рабочей сети связанной через сети провайдера, мой трафик нельзя было поймать и просмотреть через трафик инспектор к примеру (защита от утечки, инфы третьих контор)
 
2. разделить филиалы более 70 в разных уголках страны, каждый на свою подсеть *.*.1.* (*.*.2.*) и т.д.
 
и дать доступ только нужным ходить из одной в другую,
 
Замена встроенной помойки RRAS и VPN от винды, и решение частично проблеммы с широковещательным штормом забивающим каналы..
-------------------
 
версия openvpn-install-2.3.2-I001-x86_64 на клиентах (вин 8 х64 проф)
 
openvpn-install-2.3.2-I001-i686 на серванте вин 2008R2 со всеми обновлениями.
------------------
сначала было вот что на клиенте:
Thu Jul 18 20:51:29 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jun  3 2013
Thu Jul 18 20:51:30 2013 Control Channel Authentication: using 'C:\Program Files\OpenVPN\ssl\ta.key' as a OpenVPN static key file
Thu Jul 18 20:51:30 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 18 20:51:30 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 18 20:51:30 2013 Socket Buffers: R=[65536->65536] S=[64512->64512]
Thu Jul 18 20:51:30 2013 Attempting to establish TCP connection with [AF_INET]*.74.119.*:7770
Thu Jul 18 20:51:30 2013 TCP: connect to [AF_INET]*.74.119.*:7770 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Thu Jul 18 20:51:35 2013 TCP: connect to [AF_INET]*.74.119.*:7770 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Thu Jul 18 20:51:40 2013 TCP: connect to [AF_INET]*.74.119.*:7770 failed, will try again in 5  
 
Sat Jul 20 11:26:28 2013 MANAGEMENT: >STATE:1374305188,TCP_CONNECT,,,
Sat Jul 20 11:26:49 2013 TCP: connect to [AF_INET]*.74.119.*:7770 failed, will try again in 5 seconds: Permission denied (WSAEACCES)
Sat Jul 20 11:26:53 2013 SIGTERM[hard,init_instance] received, process exiting
Sat Jul 20 11:26:53 2013 MANAGEMENT: >STATE:1374305213,EXITING,init_instance,,
 
 
выше это с раскоментированной строкой индивидуальных настроек клиента
с выключением директории настрок клиентов  
пишет вот что
 
estart pause, 5 second(s)
Sat Jul 20 11:30:27 2013 Control Channel Authentication: using 'C:\Program Files\OpenVPN\ssl\ta.key' as a OpenVPN static key file
Sat Jul 20 11:30:27 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jul 20 11:30:27 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jul 20 11:30:28 2013 Socket Buffers: R=[65536->65536] S=[64512->64512]
Sat Jul 20 11:30:28 2013 Attempting to establish TCP connection with [AF_INET]109.74.119.146:7770
Sat Jul 20 11:30:28 2013 MANAGEMENT: >STATE:1374305428,TCP_CONNECT,,,
Sat Jul 20 11:30:28 2013 TCP connection established with [AF_INET]*.74.119.*:7770
Sat Jul 20 11:30:28 2013 TCPv4_CLIENT link local: [undef]
Sat Jul 20 11:30:28 2013 TCPv4_CLIENT link remote: [AF_INET]*.74.119.*:7770
Sat Jul 20 11:30:28 2013 MANAGEMENT: >STATE:1374305428,WAIT,,,
Sat Jul 20 11:30:28 2013 MANAGEMENT: >STATE:1374305428,AUTH,,,
Sat Jul 20 11:30:28 2013 TLS: Initial packet from [AF_INET]*.74.119.*:7770, sid=db4372a8 7a51ea76
Sat Jul 20 11:30:28 2013 VERIFY ERROR: depth=0, error=unhandled critical extension: C=RU, ST=Murmansk Oblast, O=server1, OU=IT, CN=server, name=server1, SN=server1, GN=server1, title=server
Sat Jul 20 11:30:28 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sat Jul 20 11:30:28 2013 TLS Error: TLS object -> incoming plaintext read error
Sat Jul 20 11:30:28 2013 TLS Error: TLS handshake failed
Sat Jul 20 11:30:28 2013 Fatal TLS error (check_tls_errors_co), restarting
Sat Jul 20 11:30:28 2013 SIGUSR1[soft,tls-error] received, process restarting
Sat Jul 20 11:30:28 2013 MANAGEMENT: >STATE:1374305428,RECONNECTING,tls-error,,
Sat Jul 20 11:30:28 2013 Restart pause, 5 second(s)  
 
 
лог с серванта
Sat Jul 20 11:35:45 2013 *.235.*.10:52630 TLS: Initial packet from [AF_INET]*.235.*.10:52630, sid=fd656bd8 816e47a9
Sat Jul 20 11:35:47 2013 *.235.*.10:52630 Connection reset, restarting [0]
Sat Jul 20 11:35:47 2013 *.235.*.10:52630 SIGUSR1[soft,connection-reset] received, client-instance restarting
 
сертификат сервера
sha512 алгоритм хэширования на основе AES стандарта
удостоверяющий центр самоподписанный сертификат SHA1
 
просто как я понимаю на клиенте должно лежать тока  
сертификат удостовкеряющего центра  
ключ и сертификат клиента
и ta.key
 
а на серваке в папке ccd файл ipp.txt пустой и файл с параметрами клиента
только вот какой формат этого файла я найти к сожалению не смог...
с английским туговато..
 

Цитата:
похоже вся беда именно с генерированием сертификатов своими скриптами, при том что скрипты, которые раздает разработчик очень даже рабочие.
 
З.Ы. кстати - ccd сделан неправильно

 
а как надо слелать ccd чтоб было правильно??? не подскажите...
 
у меня как раз с этими скриптами и получился косяк я не мог сгенерить сертификаты т.к. папка и файл ключа ЦС не подхватывалась а вместо этого мне выдавался результат папки в виде пути:    "c:\program files\openvpn\ssl"\ca.key
 
в командной строке поэтому скрипты и неработали далее.., я 3 часа поковырялся и сгенерил используя стандартные команды openssl + собранные параметры конфиг файла дополнительные....вшитые в openssl
Всего записей: 43 | Зарегистр. 13-10-2011 | Отправлено: 11:50 20-07-2013
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergeyxr  
Цитата:
разделить филиалы более 70 в разных уголках страны
Если у вас такая крутая контора, не пора ли подумать об использовании серьезного оборудования? Например, мощная циска в центре, простенькие циски в филиалах, и все связать в одну сеть с помощью DMVPN?
Цитата:
папка и файл ключа ЦС не подхватывалась  
На сервере должны быть ca.crt, dh1024.pem, server.crt, server.key.
На клиенте в папке C:\Program Files\OpenVPN\config должен быть конфиг клиента client.ovpn.
И должны быть тот же ca.crt, client.crt и client.key. Но их можно туда и не класть, а "зашить" прямо в конфиг:

Код:
<ca>
-----BEGIN CERTIFICATE-----
MIICnDCCAgWgAwIBAgIQRl05XmAMz4hBqEkceM8JXDANBgkqhkiG9w0BAQUFADAX
......................
z5yoJaW14+r27GbHzDexlj731NZ7vbWGJfw59+BEYNdCEmAHGdU8IAHLUtg2788U
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
MIIDgTCCAuqgAwIBAgIKHsfLLAABAAAAdzANBgkqhkiG9w0BAQUFADAXMRUwEwYD
..........................
bcUXPQ1m4q37n+fjSi+cG9dJn+LQdkc3fkNBva9jVu2KotWYTw==
-----END CERTIFICATE-----
</cert>
 
<key>
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQD0elrCdQr+kd6wd9jYVASXHqaBf925xiFsHKMRw+ppS08S1CFJ
.....................
ZwRhJ4KTxtsOb+qWIZ0CGKt6vgrniCJmQ/XkEUxf3/bvjw==
-----END RSA PRIVATE KEY-----
</key>
Тогда никаких проблем с путями не будет.
Естественно, сертификаты и сервера, и клиента должны быть подписаны тем ca,
чей сертификат ca.crt
 
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 14:50 20-07-2013 | Исправлено: vlary, 15:01 20-07-2013
sergeyxr

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если у вас такая крутая контора, не пора ли подумать об использовании серьезного оборудования? Например, мощная циска в центре, простенькие циски в филиалах, и все связать в одну сеть с помощью DMVPN?

 
в этом вся и фишка что руководство не хочет тратить денег но ставит задачи, чтоб работало...
 
ну у меня впринципе так и есть тока dh1024.pem у меня 3072 и ещё  
файл ta.key
 
для подписывания как я понимаю самих пакетов, тока как я понял он генериться сервером и самим процессом опенвпн а не библиотекой через openssl.exe идущей в месте с комплектом openssl или я ошибаюсь..
--------------
 
и у меня почему то соответственно ошибка при запуске серверной части если я ставлю параметр без #
client-config-dir "C:\\Program Files (x86)\\OpenVPN\\config\\ccd"
 
если  
#client-config-dir "C:\\Program Files (x86)\\OpenVPN\\config\\ccd"
 
то выше представленные логи...
 
и понять синтаксис содержимого папки ccd я тоже пока к сожалению так и не смог...
------------
сижу читаю статьи но не догоняю..
поидее должно работать...
 
Добавлено:

Цитата:
Тогда никаких проблем с путями не будет.
Естественно, сертификаты и сервера, и клиента должны быть подписаны тем ca,
чей сертификат ca.crt  

 
ну у меня так и есть, только одно, нужно его добавлять в доверенные корневые центры сертификации???
Всего записей: 43 | Зарегистр. 13-10-2011 | Отправлено: 15:47 20-07-2013
Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergeyxr
1 — ставьте OpenVPN разрядности соответствующей вашей ОС.
2 — скрипты easy-rsa — это самый простой и удобный способ манипуляции с сертификатами без особого вникания в суть процесса.
 
Добавлено:
Ни чего в доверенные ЦС добавлять не надо. Клиент и сервер сами используют тот сертифиикат ЦС который вы ему подсовываете опцией CA.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:57 20-07-2013
tankistua

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergeyxr
 
R2 - это 64-ех битная винда. Ставьте другую версию.
 
Про dh когда-то читал, что он должен помещаться в mtu, иначе могут быть проблемы.
 
З.Ы. могу предложить вариант - я у себя делаю сертификаты, проверяем работает или нет. И тогда будет ясно где проблемы.
Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 17:46 20-07-2013
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergeyxr

Цитата:
для подписывания как я понимаю самих пакетов, тока как я понял он генериться сервером и самим процессом опенвпн
Совсем не обязательно. Если в конторе имеется центр сертификации, можно использовать его сертификат.
Цитата:
нужно его добавлять в доверенные корневые центры сертификации?
Совсем не обязательно. Ни серверу, ни клиенту системное хранилище сертификатов не указ.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 18:46 20-07-2013
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru