From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,SPF_HELO_PASS, SPF_PASS autolearn=ham version=3.2.5 Message-ID: <50433FA9.5080306@complife.ru> Date: Sun, 02 Sep 2012 15:14:49 +0400 From: "Michael A. Kangin" User-Agent: Mozilla/5.0 (X11; Linux i686 on x86_64; rv:10.0.3) Gecko/20120426 Thunderbird/10.0.3 MIME-Version: 1.0 To: ALT Linux Community general discussions References: <5042F97E.5040408@mail.ru> <5043254E.8060807@complife.ru> <50433B11.7050906@mail.ru> In-Reply-To: <50433B11.7050906@mail.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Comm] OpenVPN X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 02 Sep 2012 11:14:57 -0000 Archived-At: List-Archive: List-Post: On 09/02/2012 02:55 PM, Vladimir Karpinsky wrote: >>> >> dh /var/lib/ssl/certs/dh1024.pem >> > как минимум этого вот нет на клиенте > Положил, результата нет А сам-то ключ положили? он идентичный серверному? > Подскажите, пожалуйста, где бы это было бы хорошо разжёвано, --- я до конца > не понимаю логики работы, и сомневаюсь, что правильно понимаю какие > сертификаты куда надо класть. То что я нашёл делается через easy-rsa. У нас > этого нет, и подробной документации с альт-спецификой найти тоже не могу. openvpn может работать или со статичным ключом, одинаковым для клиента и сервера, или с CA-инфраструктурой, когда есть один сертификат CA, которому все доверяют, и по сертификато-ключу на каждый клиент и сервер. Если вам нужно соединить только один клиент и один сервер, проще воспользоваться статичным ключом. Примеры конфигов для этого типа лежат в /usr/share/doc/openvpn-docs-*/sample-config-files/static-*.conf (должен быть установлен пакет openvpn-docs) Иначе же разворачивайте CA-инфраструктуру, если вы не пользуетесь уже какой-то готовой. Это вот easy-rsa я никогда почему-то не мог осилить, оказалось проще ручками по многочисленным статьям (например, http://www.opennet.ru/base/sec/openssl.txt.html) Делаете себе самоподписанный x509 сертификат для CA, делаете сертификаты для серверов и клиентов, указываете это всё в конфигах. Примеры конфигов для этого типа: /usr/share/doc/openvpn-docs-*/sample-config-files/server.conf и /usr/share/doc/openvpn-docs-*/sample-config-files/client.conf Там дофига комментариев, но почитать их душеполезно. -- wbr, Michael A. Kangin