Автор Тема: создание сертификатов для opnvpn-подключения (Прочитано 2171 раз)

Grave Lion · « : 24.02.2012 12:04:29 »

всем доброго времени суток.

вот,собственно, сабж :

есть ADSL-модем D-Link 2500U, настроенный в режиме роутера.
есть два компа, соединенных между собой в локальную сеть кросс-кабелем.
на первом - Simply 5.0.1, имеет два сетевых интерфейса eth0 - смотрящий в модем, eth1 - смотрящий в локальную сеть, брэндмауэр настроен в режиме шлюза, интернет на второй комп раздается, Samba настроена, со второго компа шары видны, все ок.
на втором - WinXP SP3, интернет работает, шары с первого компа видны, все ок.

появилась необходимость подключить к сети третий комп, удаленный, с установленной WinXP SP3, т.е. я так понял, что пришло время настраивать openvpn-соединение, раньше с этим дела не имел. почитал инфу, инструкции, понял, что необходимы сертификаты сервера и клиента. так вот не нашел в web-настройках альтератора пункта "Удостоверяющий центр", так что процесс встал и что делать дальше - не знаю. можно ли Simply использовать в качестве сервера openvpn?

ksa · « **Ответ #1 :** 24.02.2012 13:12:57 »

Цитата: Grave Lion от 24.02.2012 12:04:29

можно ли Simply использовать в качестве сервера openvpn?

Можно. Ведь тут, по-сути, обычная связка из сервера openvpn и клиента. Где расположен сервер - не имеет особого значения. Нужно установить и правильно настроить openvpn сервер на симпли.
PS Поищите тут на форуме или в интернете по настройке openvpn на alt linux более подробную информацию.

Grave Lion · « **Ответ #2 :** 24.02.2012 13:56:08 »

Цитата: sb от 24.02.2012 13:12:57

Нужно установить и правильно настроить openvpn сервер на симпли.

openvpn пакет установлен, и пакеты alterator-openvpn-server, alterator-net-openvpn тоже.
нашел для меня наиболее понятное руководство по настройке от salomatin-а, но все упирается в отсутствие "Удостоверяющего центра" на Simply-машине, соответственно не могу создать нужные сертификаты для сервера и клиента((.
а как еще их можно создать? ведь без сертификатов я так понял соединение работать не будет.

ksa · « **Ответ #3 :** 24.02.2012 15:23:53 »

Ну так сгенерируйте вручную сертификаты, что мешает. На альтераторе свет клином не сошелся. Альтератор - это просто оболочка к более низкоуровневым инструментам. Все, что делается в альтераторе, можно сделать и самостоятельно вручную. Ну, может, не совсем все, но многое.
PS Возможно, просто какой-то пакет не установлен у вас для нормального функционирования альтератора. Это надо к знающим товарищам обратиться. А как сгенерировать вручную, информации достаточно :) Те же инструкции для установки на любой другой дистрибутив должны подойти. По крайней мере, то, что касается генерации сертификатов.

ksa · « **Ответ #4 :** 24.02.2012 15:27:30 »

Цитата: Grave Lion от 24.02.2012 13:56:08

а как еще их можно создать? ведь без сертификатов я так понял соединение работать не будет.

Будет, можно сделать и по паролю. Почитайте информацию по openvpn вообще для прояснения вопросов. В альте все тот же openvpn, что и в других системах/дистрибутивах.

Grave Lion · « **Ответ #5 :** 29.02.2012 15:43:41 »

уффффф... после невероятных усилий, обложившись факами и хаутушами, дело сделано!
ключи созданы, tun-канал настроен с обеих сторон, на модеме в настройках NAT порты для openvpn и samba открыты, удаленный winxp-клиент подключается, все шары на всех трех компах как локальных (на simply-машине и winxp-машине) так и на удаленном без проблем монтируются с любого из трех.
но... встал вопрос о динамическом внешнем ip, получаемом adsl-модемом от провайдера. есть ли какой-то иной (и желательно бесплатный) способ сообщать клиенту о смене ip, чем звонить по телефону и просить заменить его в файле .ovpn, либо использовать услуги типа dyndns.org?

Salomatin · « **Ответ #6 :** 29.02.2012 16:16:13 »

Цитата: Grave Lion от 29.02.2012 15:43:41

уффффф... после невероятных усилий, обложившись факами и хаутушами, дело сделано!

Могли бы просто посмотреть ролик и описание:

http://forum.altlinux.org/index.php/topic,8557.0.html

ksa · « **Ответ #7 :** 29.02.2012 18:30:29 »

Цитата: Grave Lion от 29.02.2012 15:43:41

уффффф... после невероятных усилий, обложившись факами и хаутушами, дело сделано!
ключи созданы, tun-канал настроен с обеих сторон, на модеме в настройках NAT порты для openvpn и samba открыты, удаленный winxp-клиент подключается, все шары на всех трех компах как локальных (на simply-машине и winxp-машине) так и на удаленном без проблем монтируются с любого из трех.
но... встал вопрос о динамическом внешнем ip, получаемом adsl-модемом от провайдера. есть ли какой-то иной (и желательно бесплатный) способ сообщать клиенту о смене ip, чем звонить по телефону и просить заменить его в файле .ovpn, либо использовать услуги типа dyndns.org?

В данной ситуации наиболее правильный вариант второй, а именно бесплатные динамические днс серверы, соот-но подключение по доменному имени. Или вариант второй - выбить у провайдера статику.

Grave Lion · « **Ответ #8 :** 01.03.2012 22:23:42 »

имеющийся adsl-модем поддерживает работу только с dyndns.org и tzo.com, но на них сейчас нет бесплатной услуги, только бесплатные триал-варианты на 14 и 30 дней соответственно, либо за деньги на год и больше. зарегился пока на tzo, прописал в модеме настройки, он сам при получении нового ip от домолинка связывается с tzo и обновляет его.
понравился еще changeip.com, но нужна программа-апдэйтер ip, ddclient из репозиториев ставил, но она его не находит, показывает только тот же dyndns и еще dnspark, но его сайт чот сложноватый мне показался, так и не понял что там к чему.

может кто что-то посоветует еще?

Форум сообщества
Альт Линукс