* [Comm] ark-server open-vpn vs ark-desktop
@ 2010-07-03 15:51 Anton A. Vinogradov
2010-07-03 17:45 ` Mikhail Efremov
0 siblings, 1 reply; 9+ messages in thread
From: Anton A. Vinogradov @ 2010-07-03 15:51 UTC (permalink / raw)
To: ALT Linux Community general discussions
Доброго!
Собственно, не работает.
Видимо, что-то не так делаю.
Альтератор-OpenVPN
==========================
Тип: Маршрутизируемое (TUN)
Сети сервера: 192.168.0.0/24
VPN сеть: 10.8.0.0
Порт:1194
[v]Сжатие LZO
Положить сертификат УЦ: ca-root.pem (из Удостоверяющий Центр -->
управление УЦ)
NM-gnome
====================================
Тип: Пароль
Пользователь: tester
Пароль: 123
Сертификат CA: ca-root.pem (из Удостоверяющий Центр --> управление УЦ)
Не проходит, видимо не то что надо.
Другой вариант:
Тип: Пароль сертификатами TLS
Пользователь: tester
Сертификат пользователя: output.pem (создал и подписал сертификат)
Пароль: 123
Сертификат CA: ca-root.pem (из Удостоверяющий Центр --> управление УЦ)
Личный ключ: --- не очень понятно где и чем его генерировать
Кто-то пользовался уже этими оснастками, или как всегда -- "денинсталить
альтератор" и ручками?
PS: Во встроенной справке ничего толком не написано.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ark-server open-vpn vs ark-desktop
2010-07-03 15:51 [Comm] ark-server open-vpn vs ark-desktop Anton A. Vinogradov
@ 2010-07-03 17:45 ` Mikhail Efremov
2010-07-03 17:58 ` Anton A. Vinogradov
0 siblings, 1 reply; 9+ messages in thread
From: Mikhail Efremov @ 2010-07-03 17:45 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Sat, 03 Jul 2010 19:51:35 +0400 Anton A. Vinogradov wrote:
> Доброго!
>
> Собственно, не работает.
>
> Видимо, что-то не так делаю.
>
> Альтератор-OpenVPN
> ==========================
>
> Тип: Маршрутизируемое (TUN)
> Сети сервера: 192.168.0.0/24
> VPN сеть: 10.8.0.0
> Порт:1194
> [v]Сжатие LZO
> Положить сертификат УЦ: ca-root.pem (из Удостоверяющий Центр -->
> управление УЦ)
Сертификат сервера, подписанный этим УЦ, тоже есть? Впрочем,
openvpn-сервер не должен запуститься если нет ключа и сертификата.
> NM-gnome
> ====================================
> Тип: Пароль
> Пользователь: tester
> Пароль: 123
> Сертификат CA: ca-root.pem (из Удостоверяющий Центр --> управление УЦ)
>
> Не проходит, видимо не то что надо.
>
> Другой вариант:
>
> Тип: Пароль сертификатами TLS
> Пользователь: tester
> Сертификат пользователя: output.pem (создал и подписал сертификат)
> Пароль: 123
> Сертификат CA: ca-root.pem (из Удостоверяющий Центр --> управление УЦ)
> Личный ключ: --- не очень понятно где и чем его генерировать
Нужно выбирать вариант Certificates (TLS) (не помню как это в русском
переводе).
Ключ и запрос на подпись можно сгенерировать с помощью alterator-sslkey
("Управление ключами SSL" в меню). Запрос на подпись можно достать в
интерфейсе, а вот ключ - только руками из /var/lib/ssl/private.
Сертификат должен быть подписан тем же УЦ, что и сертификат сервера.
Также можно использовать tinyca2 или аналогичные программы.
> Кто-то пользовался уже этими оснастками, или как всегда --
> "денинсталить альтератор" и ручками?
На стороне клиента вместо NM можно использовать alterator-net-openvpn
("OpenVPN-соединения" в меню). В этом случае нужно просто положить
подписанный сертификат и сертификат УЦ, которым он подписан, через
интерфейс (там используется все тот же alterator-sslkey).
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ark-server open-vpn vs ark-desktop
2010-07-03 17:45 ` Mikhail Efremov
@ 2010-07-03 17:58 ` Anton A. Vinogradov
2010-07-04 6:55 ` Anton A. Vinogradov
0 siblings, 1 reply; 9+ messages in thread
From: Anton A. Vinogradov @ 2010-07-03 17:58 UTC (permalink / raw)
To: ALT Linux Community general discussions
03.07.2010 21:45, Mikhail Efremov пишет:
> а вот ключ - только руками из /var/lib/ssl/private.
Спасибо!
tester.key спас ситуацию :)
/me думает куда вешать багу
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ark-server open-vpn vs ark-desktop
2010-07-03 17:58 ` Anton A. Vinogradov
@ 2010-07-04 6:55 ` Anton A. Vinogradov
2010-07-04 8:55 ` Mikhail Efremov
0 siblings, 1 reply; 9+ messages in thread
From: Anton A. Vinogradov @ 2010-07-04 6:55 UTC (permalink / raw)
To: ALT Linux Community general discussions
03.07.2010 21:58, Anton A. Vinogradov пишет:
> 03.07.2010 21:45, Mikhail Efremov пишет:
ОК. TUN -- работает.
А если TAP?
В комбобоксе "мост" нет ничего для выбора, а, видимо, должно быть?
Мост ручками создавать?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ark-server open-vpn vs ark-desktop
2010-07-04 6:55 ` Anton A. Vinogradov
@ 2010-07-04 8:55 ` Mikhail Efremov
2010-07-04 8:59 ` Anton A. Vinogradov
0 siblings, 1 reply; 9+ messages in thread
From: Mikhail Efremov @ 2010-07-04 8:55 UTC (permalink / raw)
To: community
В Sun, 04 Jul 2010 10:55:58 +0400
"Anton A. Vinogradov" <vinogradov.mail@gmail.com> пишет:
> ОК. TUN -- работает.
> А если TAP?
Сразу говорю - в этом случае минимум мозга в модуле. Просто создается
соединение и все.
> В комбобоксе "мост" нет ничего для выбора, а, видимо, должно быть?
Да, мост должен быть уже создан.
> Мост ручками создавать?
Боюсь да, только руками. У меня был какой-то закомментированный код по
созданию бриджа в самом модуле, но я не помню насколько он рабочий и
почему он закомментирован. Кажется с этим были какие-то проблемы и
вообще более логичным казалось создавать бриджи в alterator-net-eth.
В Сизифе alterator-net-eth это теперь умеет, хотя там еще есть проблемы
при работе в инсталляторе.
Вообще варианта с TUN должно быть достаточно в большинстве случаев.
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ark-server open-vpn vs ark-desktop
2010-07-04 8:55 ` Mikhail Efremov
@ 2010-07-04 8:59 ` Anton A. Vinogradov
2010-07-04 9:12 ` Anton A. Vinogradov
0 siblings, 1 reply; 9+ messages in thread
From: Anton A. Vinogradov @ 2010-07-04 8:59 UTC (permalink / raw)
To: ALT Linux Community general discussions
04.07.2010 12:55, Mikhail Efremov пишет:
> В Sun, 04 Jul 2010 10:55:58 +0400
> "Anton A. Vinogradov"<vinogradov.mail@gmail.com> пишет:
>
>> ОК. TUN -- работает.
>> А если TAP?
>
> Сразу говорю - в этом случае минимум мозга в модуле. Просто создается
> соединение и все.
Заметил, создается, но пакеты не ходят.
>
>> В комбобоксе "мост" нет ничего для выбора, а, видимо, должно быть?
>
> Да, мост должен быть уже создан.
>
>> Мост ручками создавать?
>
> Боюсь да, только руками. У меня был какой-то закомментированный код по
> созданию бриджа в самом модуле, но я не помню насколько он рабочий и
> почему он закомментирован. Кажется с этим были какие-то проблемы и
> вообще более логичным казалось создавать бриджи в alterator-net-eth.
> В Сизифе alterator-net-eth это теперь умеет, хотя там еще есть проблемы
> при работе в инсталляторе.
Создал на tap0.
>
> Вообще варианта с TUN должно быть достаточно в большинстве случаев.
Ну мне еще из винды цепляться надо :(. А OpenVPNGUI упорно пытается
сделать tap.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ark-server open-vpn vs ark-desktop
2010-07-04 8:59 ` Anton A. Vinogradov
@ 2010-07-04 9:12 ` Anton A. Vinogradov
2010-07-04 9:23 ` Mikhail Efremov
0 siblings, 1 reply; 9+ messages in thread
From: Anton A. Vinogradov @ 2010-07-04 9:12 UTC (permalink / raw)
To: ALT Linux Community general discussions
04.07.2010 12:59, Anton A. Vinogradov пишет:
> Ну мне еще из винды цепляться надо :(. А OpenVPNGUI упорно пытается
> сделать tap.
Конфиг для OpenVPNGUI Windows
remote 192.168.0.100 1194
client
dev tun
proto udp
resolv-retry infinite # необходимо для DynDNS
nobind
#Если есть прокси – указываем.
;proxy 12.23.34.45:3128
persist-key
persist-tun
ca ca-root.pem
cert tester.pem
key tester.key
# включаем вместе с pam-аутентификацией
;auth-user-pass
comp-lzo
#Эту строчку надо добавить в операционных системах MS Windows Vista и
#MS Windows 7 – для изменения приоритетов маршрутов
#=======================================(вот этого не хватало)
redirect-gateway def1
#=======================================(вот этого не хватало)
verb 4
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ark-server open-vpn vs ark-desktop
2010-07-04 9:12 ` Anton A. Vinogradov
@ 2010-07-04 9:23 ` Mikhail Efremov
2010-07-04 9:29 ` Anton A. Vinogradov
0 siblings, 1 reply; 9+ messages in thread
From: Mikhail Efremov @ 2010-07-04 9:23 UTC (permalink / raw)
To: community
On Sun, 04 Jul 2010 13:12:28 +0400
"Anton A. Vinogradov" <vinogradov.mail@gmail.com> wrote:
> 04.07.2010 12:59, Anton A. Vinogradov пишет:
> > Ну мне еще из винды цепляться надо :(. А OpenVPNGUI упорно пытается
> > сделать tap.
>
> Конфиг для OpenVPNGUI Windows
>
> remote 192.168.0.100 1194
> client
> dev tun
[...]
> #=======================================(вот этого не хватало)
> redirect-gateway def1
> #=======================================(вот этого не хватало)
А, так Windows все-таки умеет tun? И с ним все заработало?
Хотя я, конечно, постараюсь добавить мозга и в TAP-вариант. Если будет
на это время и это уже к выходу Кентавра, видимо.
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ark-server open-vpn vs ark-desktop
2010-07-04 9:23 ` Mikhail Efremov
@ 2010-07-04 9:29 ` Anton A. Vinogradov
0 siblings, 0 replies; 9+ messages in thread
From: Anton A. Vinogradov @ 2010-07-04 9:29 UTC (permalink / raw)
To: ALT Linux Community general discussions
04.07.2010 13:23, Mikhail Efremov пишет:
> On Sun, 04 Jul 2010 13:12:28 +0400
> "Anton A. Vinogradov"<vinogradov.mail@gmail.com> wrote:
>
>> 04.07.2010 12:59, Anton A. Vinogradov пишет:
>>> Ну мне еще из винды цепляться надо :(. А OpenVPNGUI упорно пытается
>>> сделать tap.
>>
>> Конфиг для OpenVPNGUI Windows
>>
>> remote 192.168.0.100 1194
>> client
>> dev tun
>
> [...]
>
>> #=======================================(вот этого не хватало)
>> redirect-gateway def1
>> #=======================================(вот этого не хватало)
>
> А, так Windows все-таки умеет tun? И с ним все заработало?
> Хотя я, конечно, постараюсь добавить мозга и в TAP-вариант. Если будет
Прежде всего, надо добавить мозга в справку. Зачем писать в первой
половине какой же это класный штука VPN, а во второй только несколько
строк по делу, понятных только тем, кто на VPN уже собаку съел и
подобном вступлении не нуждается.
> на это время и это уже к выходу Кентавра, видимо.
>
сервер отдает TUN.
но виндовс как-то странно его принимает.
После выставления приоритета маршрутизации пакеты ходят, всё, что мне
надо. пингуется.
/me пошел допинывать asterisk
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2010-07-04 9:29 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-07-03 15:51 [Comm] ark-server open-vpn vs ark-desktop Anton A. Vinogradov
2010-07-03 17:45 ` Mikhail Efremov
2010-07-03 17:58 ` Anton A. Vinogradov
2010-07-04 6:55 ` Anton A. Vinogradov
2010-07-04 8:55 ` Mikhail Efremov
2010-07-04 8:59 ` Anton A. Vinogradov
2010-07-04 9:12 ` Anton A. Vinogradov
2010-07-04 9:23 ` Mikhail Efremov
2010-07-04 9:29 ` Anton A. Vinogradov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git