Автор Тема: Настройки OpenVPN в Ковчеге и на стороне windows-клиента. (Прочитано 3717 раз)

Yarri · « : 24.02.2010 21:29:19 »

Поднял OpenVPN сервер.
Для таких же начинающих краткая инструкция.
Сервер не поднимется, если вы не сгенерите и не положите сертификат.
Сделать это можно так.
Идем в пункт "Управление ключами SSL". Там вбиваем все поля, пересоздаем ключ, подтверждаем, забираем на подпись. Сохраняем к себе на локальную машину.
Далее идем "Удостоверяющий центр" и под словами "Подписать сертификат" загружаем полученный ранее файлик. Ниже нажимаем "Подписать" и сохраняем полученный сертификат к себе на комп.
Далее идем в "OpenVPN сервер", выбираем тип tun или tap, выставляем все параметры и кладем полученный сертификат.
Жмем "Применить". Если все сделано верно, то сервер запустится.
Если хотите получать доступ из-вне, не забудьте на пункте "Брандмауэр" для внешних интерфейсов выставить галку "OpenVPN", чтобы пакеты пропускались.

Теперь на стороне клиента. Вот тут у меня стопор с ключами.
Что сделал. Загрузил последнюю версию с сайта openvpn.net инсталятор с 2.0.9 + GUI 1.0.3.
Установил. В сетевых интерфейсах появился виртуальный адаптер.
Далее настройки.
В файле *.ovpn все удалил лишнее и оставил только:

Код: [Выделить]

client
dev tap
proto tcp
remote <домен или IP-сервера> 1194
resolv-retry infinite
nobind
persist-key
ca ca.crt
cert server-mus.pem
key client.key
comp-lzo
verb 3
mute 20

При коннекте система ругается на client.key. Как его правильно сгенерить и на какой стороне?

Yarri · « **Ответ #1 :** 26.02.2010 13:34:06 »

Прошу таки помочь с этим вопросом.
Ибо используя средства Сервера Ковчега я не вижу сгенеренных ключей в папке /etc/openvpn/keys/
Насколько я понял, при подобной системе настроек требуются три ключа.
Первый ca.crt - Этот ключ кладется на обеих сторонах.
Второй openvpn.cert - Этот ключ для сервера, для клиента свой генерится на стороне сервера.
Третий openvpn.key - Этот ключ только на серваке, для клиента надо генерить свой на стороне сервера.

Где эти ключи можно найти в Ковчеге. Через Web-админку я не могу сообразить как это сделать.

Skull · « **Ответ #2 :** 27.02.2010 16:28:46 »

Клиентские ключи генерятся в модуле «Управление ключами SSL» (в экспертном режиме) или OpenVPN-соединения — кнопка «Управление ключами».

Skull · « **Ответ #3 :** 27.02.2010 16:30:19 »

Цитата: Yarri от 26.02.2010 13:34:06

Насколько я понял, при подобной системе настроек требуются три ключа.

Ключ требуется один (клиента). А к нему — два сертификата: УЦ и подписанный этим УЦ сертификат этого ключа.

black_13 · « **Ответ #4 :** 27.02.2010 18:20:08 »

И еще будьте внимательны ... кажись виндовый клиент не понимает ключей с разширенем .key (может устаревшая инфа ... но всеже)

Yarri · « **Ответ #5 :** 02.03.2010 19:54:28 »

В общем, так и не разобрался.
Сделал, как я делал ранее на двух виндовых машинах.
Задача была соединить две подсети, вручную настроил /etc/openvpn/openvpn.conf на обоих концах с использованием простого ключа получаемого генерацией openvpn --genkey --secret mycode.key
обе точки - виндовую и линкуксовую - выставил в режим tup.
и к конфиге основные параметры
remote myhost1 (или myhost2)
ifconfig 10.0.0.1 10.0.0.2 (на второй стороне наоборот)
route 192.168.0.0 255.255.255.0 10.0.0.2 (на второй стороне 192.168.1.0 и шлюз 10.0.0.1)
secret /etc/openvpn/keys/mycode.key
log c:/openlog/openvpn.log (для линукса /etc/openvpn/openvpn.log)
Старт сервисов на виндовой машине - согласно документации и линуксе - service openvpn start.
Только на Линуксе стартует почему то два сервиса.
один стартует нормально, второй ругается на конфиг, но первый запущен и все работает. Криво, но хоть так.
Результат. Человек с первой конторы 192.168.0.30 имеет доступ на расшаренные ресурсы в другой сети \\192.168.1.45\folder\

Добавлено из-за невозможности ответить в пост.
Разобрался, почему стартовало два openvpn (один с ошибкой). Когда я конфигурил его, то прописывал в родном каталоге /etc/openvpn/. А он лежит еще, оказывается, в /etc/net/iface/tun0/ovpnoption - вот там и неправленный конфиг, который генерится, видимо, из веб-морды и в котором прописаны ключи.
Но я его оставил и не стал ничего делать. Второй конфиг работает и трогать не надо.

iplir · « **Ответ #6 :** 12.03.2010 08:29:21 »

Цитата: Yarri от 02.03.2010 19:54:28

В общем, так и не разобрался.
Сделал, как я делал ранее на двух виндовых машинах.
Задача была соединить две подсети, вручную настроил /etc/openvpn/openvpn.conf на обоих концах с использованием простого ключа получаемого генерацией openvpn --genkey --secret mycode.key
обе точки - виндовую и линкуксовую - выставил в режим tup.
и к конфиге основные параметры
remote myhost1 (или myhost2)
ifconfig 10.0.0.1 10.0.0.2 (на второй стороне наоборот)
route 192.168.0.0 255.255.255.0 10.0.0.2 (на второй стороне 192.168.1.0 и шлюз 10.0.0.1)
secret /etc/openvpn/keys/mycode.key
log c:/openlog/openvpn.log (для линукса /etc/openvpn/openvpn.log)
Старт сервисов на виндовой машине - согласно документации и линуксе - service openvpn start.
Только на Линуксе стартует почему то два сервиса.
один стартует нормально, второй ругается на конфиг, но первый запущен и все работает. Криво, но хоть так.
Результат. Человек с первой конторы 192.168.0.30 имеет доступ на расшаренные ресурсы в другой сети \\192.168.1.45\folder\

Добрый день!
Eсть возможность покать конфиг с сервера и клиента& У меня, все время выскакиваю ошибки у клиента(Windows Xp). и перестает работать выход в инет у пользователей которые внутри сети находтся.
Я пробовал как описано в самом начале не получилось так. Что то делаю не правильно.

Форум сообщества
Альт Линукс