Автор Тема: OpenVPN - настройка сервера и клиента  (Прочитано 93344 раз)

Оффлайн NecroJoke

  • Давно тут
  • **
  • Сообщений: 455
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #45 : 29.12.2015 14:41:17 »
Сертификаты годичные истекли, зашел в УЦ переподписал сертификаты пользователей и сервера openvpn, скачал новый сертификат пользователя, перезапустил openvpn сервер, не подключается, не проходит проверку. ЧТо делать?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #46 : 29.12.2015 14:47:13 »
Сертификаты годичные истекли, зашел в УЦ переподписал сертификаты пользователей и сервера openvpn, скачал новый сертификат пользователя, перезапустил openvpn сервер, не подключается, не проходит проверку. ЧТо делать?
Смотреть журнал.
Андрей Черепанов (cas@)

Оффлайн NecroJoke

  • Давно тут
  • **
  • Сообщений: 455
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #47 : 29.12.2015 18:31:53 »
Сертификаты годичные истекли, зашел в УЦ переподписал сертификаты пользователей и сервера openvpn, скачал новый сертификат пользователя, перезапустил openvpn сервер, не подключается, не проходит проверку. ЧТо делать?
Разобрался, может кому поможет. Проблема была со временем на сервере, убежали часы, около 12 часов вперед. Сертификаты я пере подписал, но вот в действие они не вступили. Результат - когда на клиенте такой сертификат использовался, программа ругалась что время еще не настало.

Оффлайн San

  • Завсегдатай
  • *
  • Сообщений: 683
OpenVPN-соединение на стороне клиента Windows
...
Шаг № 1 Получаем готовые файлы
...
/var/lib/ssl/certs/openvpn-client-CA.crt
...
И Все таки не могу найти файл: openvpn-client-CA.crt

Оффлайн Salomatin

  • Модератор
  • *****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
И Все таки не могу найти файл: openvpn-client-CA.crt
Попробуйте /var/lib/ssl/certs/ca-root.pem
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн San

  • Завсегдатай
  • *
  • Сообщений: 683
Re: OpenVPN - настройка сервера и клиента
« Ответ #50 : 14.01.2016 18:23:39 »
Попробуйте /var/lib/ssl/certs/ca-root.pem
У меня есть ca-root.pem , но это файл скачанный с СЕРВЕРА.
А в данной папке только следующие файлы:
# ls -lh /var/lib/ssl/certs/
итого 24K
lrwxrwxrwx 2 root root   10 авг  2 17:19 77831cf4.0 -> ahttpd.pem
-rw-r--r-- 2 root root  713 авг  2 17:19 ahttpd.cert
-rw-r--r-- 2 root root  582 авг  2 17:19 ahttpd.csr
lrwxrwxrwx 2 root root   11 авг  2 17:19 ahttpd.pem -> ahttpd.cert
-rw-r--r-- 1 root root  739 июл  9  2015 make-dummy-cert
-rw-r--r-- 1 root root 2,3K июл  9  2015 Makefile
-rw-r--r-- 2 root root  782 янв 13 18:39 sansan.cert
-rw-r--r-- 2 root root  672 янв 13 18:33 sansan.csr
Ну и по дате можно понять, что два последних именно мои, я вчера настраивал VPN тунель...
« Последнее редактирование: 14.01.2016 18:25:55 от San »

Оффлайн Salomatin

  • Модератор
  • *****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #51 : 14.01.2016 19:44:59 »
У меня есть ca-root.pem , но это файл скачанный с СЕРВЕРА.
Да, скаченный с сервера.
Вы попробовали?
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн San

  • Завсегдатай
  • *
  • Сообщений: 683
Re: OpenVPN - настройка сервера и клиента
« Ответ #52 : 15.01.2016 17:55:22 »
Вы попробовали?
Да. Все работает. Были выбраны файлы:
ca-root.pem
sansan.crt
sansan.csr
sansan.key

В файле client.ovpn описаны так:
remote 77.77.77.77 1194
client
dev tun
proto udp
resolv-retry infinite # this is necessary for DynDNS
nobind
user nobody
group nogroup
persist-key
persist-tun
ca C:\\open_vpn_key_two\\ca-root.pem # C:\\vova\\openvpn-client-CA.crt
cert C:\\open_vpn_key_two\\sansan.crt
key C:\\open_vpn_key_two\\sansan.key
#ca ca.crt
#cert nout.crt
#key nout.key
#comp-lzo
verb 4
mute 20
#redirect-gateway
#show-net-up
#verb 4
СПАСИБО!
А как этот комплект ключей, для одного компьютера или...? Есть какие то ограничения?
Я немного не пойму, у меня сделаны два ключа. За ними закрепились адреса 10.8.0.6 и 10.8.0.10... Который 10.8.0.6 был сделан на Компьютере "А" и на нем же будет использоваться... Ключ 10.8.0.10 был сделан на Компьютере "Б" запущен на Виндовс машину "В", на ней запущен и все заработало нормально, пинг всех сетей и сам пингуется и открывается со всех машин... Перенес ключ 10.8.0.10 на ноутбук, ноутбук подключился, сеть видит, пингует... , а ноутбук ни кто не видит... Пробовал еще на нескольких машинах в этой же сети картина та же...

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #53 : 15.01.2016 18:12:51 »
А что значит не видеть? Пинг на него есть?

Оффлайн San

  • Завсегдатай
  • *
  • Сообщений: 683
Re: OpenVPN - настройка сервера и клиента
« Ответ #54 : 15.01.2016 19:51:35 »
А что значит не видеть? Пинг на него есть?
С ноутбука (и еще одной машины), адрес на обоих 10.8.0.6 пинг до (10.8.0.1, 192.168.99.99 и 192.168.99.101 (сервер и компьютер в удаленной сети)) - ОК, с компьютера 192.168.99.101 пинг на 10.8.0.6 - Нету...

Подключаю с этим же ключом машину, на которой ПЕРВОЙ настроил VPN с этим ключем (она тоже получает IP 10.8.0.6 - пинги во всех направлениях!

Логи подключения в норме, будет время - сравню детально... Но на первый взгляд одинаковые...

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #55 : 15.01.2016 19:55:32 »
Может просто не прописан route

Оффлайн San

  • Завсегдатай
  • *
  • Сообщений: 683
Re: OpenVPN - настройка сервера и клиента
« Ответ #56 : 15.01.2016 20:59:54 »
Может просто не прописан route
Адреса то не меняются, ни какие кроме адреса компьютера в моей локальной сетке (192.168.113.0/24) которая, на нее роутинг есть. Да и почему тогда "свежий" ключ без проблем ложится "первый" раз на "новую" машину? Я же ее тоже не прописываю в route...

Я завтра попробую с ноутбука, с ключем который получает IP 10.8.0.10 через модем Билайна попробовать... Отпишу результат.

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #57 : 15.01.2016 21:04:03 »
Адреса то не меняются
Ну как не меняются -  192.168.99.101 и 10.8.0.6 - разные сети, значит на 192.168.99.101 должен быть прописан маршрут до сети  10.8.....

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS
Re: OpenVPN - настройка сервера и клиента
« Ответ #58 : 16.01.2016 14:57:16 »
И Все таки не могу найти файл: openvpn-client-CA.crt
Я запостил на вики рабочий мануал по ключам, с того момента, где создание ключей. Разберись, работает создание ключей в разных вариантах и с помощью Easy-rsa скриптов и с помощью утилиты openssl. Периодически сам туда заглядываю. https://www.altlinux.org/OpenVPN

Оффлайн Paver

  • Давно тут
  • **
  • Сообщений: 188
Re: OpenVPN - настройка сервера и клиента
« Ответ #59 : 25.02.2016 14:15:46 »
Настраиваю OpenVPN на клиентском компе (Kdesktop 7.0.5) через центр управления.

Все ключи и сертификаты сгенерированы на сервере и переданы мне админом.

При попытке добавить сертификат УЦ выдает ошибку, что интерфейс не существует.
Путем описанных на форуме приседаний добавил пользовательский ключ и сертификаты.
Увы, но интерфейс tun0 не поднимается (хотя и пишет, что "Состояние: включено").

Проблема в следующем:

Я запостил на вики рабочий мануал по ключам

Цитировать
Клиенту передать эти файлы:
./pki/issued/User.crt
./pki/private/User.key
./pki/ca.crt

При установке соединения у нас используется дополнительная аутентификация TLS, и админ передал мне также ключ ta.key.
Через другой механизм (не знаю, как правильно его назвать - NetworkManager?, это через иконку сетевого соединения в трее) я таки создал работающее VPN соединение.
Но это не совсем удобно, поскольку в этом режиме нельзя (не могу?) автоматом запустить его при старте системы. А в стандартном гуе центра управления опции дополнительной TLS-аутентификации не нашел.
Пытался ручками добавить в конфиг интерфейса tun0 пару строк
remote-cert-tls server
tls-auth /home/path/ta.key 1
но система тупо перезаписывает файл после нажатия в ЦУС/OpenVPN кнопки "Применить".

Собственно, вопрос: как в ЦУС подключить поддержку TLS-аутентификации?

ПС. на всякий случай: OpenVPN сервер не альтовский, на дебиане
« Последнее редактирование: 25.02.2016 14:20:28 от Paver »