From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mak@complife.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,SPF_HELO_PASS,
	SPF_PASS autolearn=ham version=3.2.5
Message-ID: <50433FA9.5080306@complife.ru>
Date: Sun, 02 Sep 2012 15:14:49 +0400
From: "Michael A. Kangin" <mak@complife.ru>
User-Agent: Mozilla/5.0 (X11; Linux i686 on x86_64;
	rv:10.0.3) Gecko/20120426 Thunderbird/10.0.3
MIME-Version: 1.0
To: ALT Linux Community general discussions <community@lists.altlinux.org>
References: <5042F97E.5040408@mail.ru> <5043254E.8060807@complife.ru>
	<50433B11.7050906@mail.ru>
In-Reply-To: <50433B11.7050906@mail.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Comm] OpenVPN
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 02 Sep 2012 11:14:57 -0000
Archived-At: <http://lore.altlinux.org/community/50433FA9.5080306@complife.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On 09/02/2012 02:55 PM, Vladimir Karpinsky wrote:

>>> >> dh /var/lib/ssl/certs/dh1024.pem
>> > как минимум этого вот нет на клиенте
> Положил, результата нет
А сам-то ключ положили? он идентичный серверному?


> Подскажите, пожалуйста, где бы это было бы хорошо разжёвано, --- я до конца
> не понимаю логики работы, и сомневаюсь, что правильно понимаю какие
> сертификаты куда надо класть. То что я нашёл делается через easy-rsa. У нас
> этого нет, и подробной документации с альт-спецификой найти тоже не могу.

openvpn может работать или со статичным ключом, одинаковым для клиента и 
сервера, или с CA-инфраструктурой, когда есть один сертификат CA, 
которому все доверяют, и по сертификато-ключу на каждый клиент и сервер.

Если вам нужно соединить только один клиент и один сервер, проще 
воспользоваться статичным ключом.
Примеры конфигов для этого типа лежат в
/usr/share/doc/openvpn-docs-*/sample-config-files/static-*.conf
(должен быть установлен пакет openvpn-docs)

Иначе же разворачивайте CA-инфраструктуру, если вы не пользуетесь уже 
какой-то готовой. Это вот easy-rsa я никогда почему-то не мог осилить, 
оказалось проще ручками по многочисленным статьям
(например, http://www.opennet.ru/base/sec/openssl.txt.html)
Делаете себе самоподписанный x509 сертификат для CA, делаете сертификаты 
для серверов и клиентов, указываете это всё в конфигах.
Примеры конфигов для этого типа:
/usr/share/doc/openvpn-docs-*/sample-config-files/server.conf
и /usr/share/doc/openvpn-docs-*/sample-config-files/client.conf

Там дофига комментариев, но почитать их душеполезно.


-- 
wbr, Michael A. Kangin