From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.5 required=5.0 tests=AWL,BAYES_00,SPF_PASS autolearn=ham version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail; h=Content-Transfer-Encoding:Content-Type:In-Reply-To:References:Subject:To:MIME-Version:From:Date:Message-ID; bh=JqQhHORIWrWSKJ5wuk9i7E8id1ZWUDpKGgbwMCqsm0Q=; b=m2RD9+vakXV1MKpaN54fyDuBtheN8Ib9QVhdS983ekGgWJiN583Kx3Ae7zillvCuKDbnshlyWGBlbdzuDOv2rsAxrtAvQRzZ2Nb737/EdHDV9mrrTG48MiO59D4MO+Ec; Message-ID: <510D0EC8.7080804@mail.ru> Date: Sat, 02 Feb 2013 17:04:08 +0400 From: Vladimir Karpinsky User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20130107 Thunderbird/17.0.2 MIME-Version: 1.0 To: community@lists.altlinux.org References: <50A3B9B9.8070803@mail.ru> <1352923274.6502.6.camel@v3405.naf.net.ru> <50A3FE60.4040104@mail.ru> <51081951.3070300@mail.ru> <1359560342.32585.46.camel@v3405.naf.net.ru> <51094375.6080002@mail.ru> <1359576242.32585.69.camel@v3405.naf.net.ru> <510C9B98.50103@mail.ru> <1359808630.26381.52.camel@v3405.naf.net.ru> In-Reply-To: <1359808630.26381.52.camel@v3405.naf.net.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-Antivirus: avast! (VPS 130201-1, 02.02.2013), Outbound message X-Antivirus-Status: Clean X-Spam: Not detected X-Mras: Ok Subject: Re: [Comm] Openvpn X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 02 Feb 2013 13:04:16 -0000 Archived-At: List-Archive: List-Post: 02.02.2013 16:37, Nikolay A. Fetisov пишет: > В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет: >> 31.01.2013 0:04, Nikolay A. Fetisov пишет: >> >>> Offtopic: chroot и работу от псевдо-пользователя _действительно_ надо >>> было отключать в /etc/sysconfig/openvpn ? >> >> А оно отключено? ... > > В /etc/sysconfig/openvpn из пакета присутствуют строки > CHROOT=yes > OPENVPNUSER=openvpn > OPENVPNGROUP=openvpn > > При их наличии init-скрипт запускает OpenVPN с ключами командной строки > "--user openvpn --group openvpn --persist-tun --persist-key > --chroot /var/lib/openvpn" > > У Вас этого не наблюдается - соответственно, в /etc/sysconfig/openvpn > они отключены. > А есть ли соответствующие параметры в файле конфигурации - надо смотреть > отдельно. Строк нет, вероятно, уход в чрут полезен, да и вставить 3 строки недолго, пользователь и группа имеются. Чем может грозить сам переход? >> Есть ли преимущества у какого-нибудь способа запуска? > > Не скажу - я не пользуюсь ни конфигураций через etcnet, ни альтератором > в целом. > Так что, выбирать Вам. Пока убрал etcnet, т.к. рабочий (по сертификатам) init-скрипт, дальше подумаю. >> ... >> Пытаюсь для начала свести конфигурации к единообразности по сертификатам. >> ... > > На самом деле, зависит от того, как (чем) создаются сертификаты. > В целом: > - должен быть центр сертификации (Certification Authority) - его > сертификат (или цепочка для SubCA) указывается в параметре ca; > - для сервера должен быть ключ и серверный сертификат, подписанный CA - > в key и cert в файле конфигурации сервера соответственно; > - для клиента должен быть ключ и клиентский сертификат, подписанный CA - > в key и cert в файле конфигурации клиента соответственно; > - сертификаты CA, сервера и клиента должны быть действующими. > > Т.е., сертификат CA на сервере должен быть тот же, что и на клиентах, > сертификат сервера должен быть подписан этим CA, и сертификаты клиентов > также должны быть подписаны тем же самым CA. > > Опционально, на сервере в каталоге, указанном в ccd, _может_ быть файл > с именем, совпадающим с CN сертификата клиента - тогда клиенту будет > дополнительно при подключении передана конфигурация из такого файла. > Это всё есть и работает. На клиентах прописан ca, тот который прописан в /etc/openvpn, тот, что в etcnet --- другой, из-за этого, скорее всего, клиенты подцепиться не могли, когда он запускался при загрузке, и писали ошибку сертификата. Я в какой-то момент, когда запускал, совсем в сертификатах запутался и вероятно создал CA не один раз --- один попал в конфиг альтератора, а второй, когда создавал /etc/openvpn. Вопрос в том, почему файлы так значительно отличаются по структуре. Почему у них оказались разные расширения, есть ли в этом какой-то физический смысл? > Вариант, когда в двух разных конфигурациях key и cert одинаковые, а > ca разный - какой-то очень подозрительный. Т.е., такое может и работать > (например, сертификат CA помещён внутрь cert, и отдельно указанный ca не > используется; или cert самоподписанный, и им же подписаны сертификаты > клиентов), но выглядит оно как-то странно. Плохо то, что сделал давно, заниматься этим приходится урывками, да и сервер лишний раз перегружать не хочу. В результате работает, но как... -- С уважением, Владимир.