* [Sysadmins] OpenVPN сервер через Alterator @ 2010-04-18 8:17 Владимир Саломатин 2010-04-18 8:59 ` Mikhail Efremov 0 siblings, 1 reply; 12+ messages in thread From: Владимир Саломатин @ 2010-04-18 8:17 UTC (permalink / raw) To: sysadmins Через веб-интерфейс Alterator создал ключи и запустил OpenVPN сервер. [root@serv vova]# service openvpn status openvpn is running Status of VPN iface-tun0 written to /var/log/messages Однако /etc/openvpn/keys/ пустой openvpn-startup посылает [root@serv openvpn]# cat openvpn-startup #!/bin/bash # Startup file for OpenVPN # Load tun module /sbin/modprobe tun >/dev/null 2>&1 sleep 1s Это что правильно? А как же server.conf ? Его теперь делать и настраивать не надо? Само то оно не работает из командной строки: [root@serv openvpn]# service openvpn start Starting openvpn service: No channels to start! [FAILED] Configure one or more VPN's and place configuration files in /etc/openvpn Sample config could be obtained from /usr/share/doc/openvpn говорит надо конфигурировать. Так если я использую веб-интерфейс Alterator ручками надо все деалать? А зачем тогда веб-интерфейс Alterator? Спасибо. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 8:17 [Sysadmins] OpenVPN сервер через Alterator Владимир Саломатин @ 2010-04-18 8:59 ` Mikhail Efremov 2010-04-18 10:50 ` Владимир Саломатин 0 siblings, 1 reply; 12+ messages in thread From: Mikhail Efremov @ 2010-04-18 8:59 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Sun, 18 Apr 2010 12:17:44 +0400 Владимир Саломатин wrote: > Через веб-интерфейс Alterator создал ключи и запустил OpenVPN сервер. > > [root@serv vova]# service openvpn status > openvpn is running > Status of VPN iface-tun0 written to /var/log/messages Там используется etcnet. service openvpn запускать не надо вообще. Смотрите /var/log/messages, там должны быть сообщения от openvpn при запуске. Конфигурацию искать в /etc/net/ifaces/tun0/. Но предупреждаю, на изменение конфигов в ручную оно не рассчитано, при следующем использовании alterator-openvpn-server все изменения будут потеряны. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 8:59 ` Mikhail Efremov @ 2010-04-18 10:50 ` Владимир Саломатин 2010-04-18 11:36 ` Mikhail Efremov 0 siblings, 1 reply; 12+ messages in thread From: Владимир Саломатин @ 2010-04-18 10:50 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > Там используется etcnet. service openvpn запускать не надо вообще. > Смотрите /var/log/messages, там должны быть сообщения от openvpn при > запуске. > Конфигурацию искать в /etc/net/ifaces/tun0/. > Но предупреждаю, на изменение конфигов в ручную оно не рассчитано, при > следующем использовании alterator-openvpn-server все изменения будут > потеряны. Хорошо. Понятно. Не сканируется порт 1194. Это нормально? А такое сообщение в var/log/messages? WARNING: file '/var/lib/ssl/private/openvpn-server.key' is group or others accessible а перегружать командой можно? например: ifup tun0 Спасибо. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 10:50 ` Владимир Саломатин @ 2010-04-18 11:36 ` Mikhail Efremov 2010-04-18 12:21 ` Владимир Саломатин 0 siblings, 1 reply; 12+ messages in thread From: Mikhail Efremov @ 2010-04-18 11:36 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Sun, 18 Apr 2010 14:50:45 +0400 Владимир Саломатин wrote: > > Там используется etcnet. service openvpn запускать не надо вообще. > > Смотрите /var/log/messages, там должны быть сообщения от openvpn при > > запуске. > > Конфигурацию искать в /etc/net/ifaces/tun0/. > > Но предупреждаю, на изменение конфигов в ручную оно не рассчитано, > > при следующем использовании alterator-openvpn-server все изменения > > будут потеряны. > > Хорошо. Понятно. > > Не сканируется порт 1194. > Это нормально? Должен быть открыт, проверьте настройки iptables. > А такое сообщение в var/log/messages? > WARNING: file '/var/lib/ssl/private/openvpn-server.key' is group or > others accessible Да, это надо поправить, повесьте багу. Но на работоспособность этот warning не повлияет. > а перегружать командой можно? например: > ifup tun0 Да, конечно. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 11:36 ` Mikhail Efremov @ 2010-04-18 12:21 ` Владимир Саломатин 2010-04-18 12:53 ` Mikhail Efremov 0 siblings, 1 reply; 12+ messages in thread From: Владимир Саломатин @ 2010-04-18 12:21 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > > Не сканируется порт 1194. > > Это нормально? > > Должен быть открыт, проверьте настройки iptables. Похоже iptables не причем. Даже на 127.0.0.1 и на адрес сетевой не открыт. Что-то не запустилось, хотя [root@comp-Celeron-M-413ca8 /]# service openvpn status openvpn is running Status of VPN iface-tun0 written to /var/log/messages и [root@comp-Celeron-M-413ca8 /]# ip a s 10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/[65534] inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0 После запуска: tail /var/log/messages Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: OpenVPN 2.0.8 i586-alt-linux-gnu [SSL] [LZO] [EPOLL] built on Jun 5 2009 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: Diffie-Hellman initialized with 1024 bit key Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: WARNING: file '/var/lib/ssl/private/openvpn-server.key' is group or others accessible Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: TUN/TAP device tun0 opened Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: ip link set dev tun0 up mtu 1500 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: /etc/net/scripts/openvpn.action tun0 1500 1542 10.8.0.1 10.8.0.2 init Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: ip route add 10.8.0.0/24 via 10.8.0.2 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: chroot to '/var/lib/openvpn' and cd to '/' succeeded Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: GID set to openvpn Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: UID set to openvpn Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: UDPv4 link local (bound): [undef]:1194 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: UDPv4 link remote: [undef] Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: MULTI: multi_init called, r=256 v=256 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: IFCONFIG POOL: base=10.8.0.4 size=62 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: IFCONFIG POOL LIST Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: Initialization Sequence Completed а порт даже не открывается. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 12:21 ` Владимир Саломатин @ 2010-04-18 12:53 ` Mikhail Efremov 2010-04-18 13:03 ` Владимир Саломатин 0 siblings, 1 reply; 12+ messages in thread From: Mikhail Efremov @ 2010-04-18 12:53 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Sun, 18 Apr 2010 16:21:43 +0400 Владимир Саломатин wrote: > После запуска: > > tail /var/log/messages > > comp-Celeron-M-413ca8 openvpn[16704]: UID set to openvpn Jan 1 > 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: UDPv4 link local > (bound): [undef]:1194 Jan 1 04:22:20 comp-Celeron-M-413ca8 > openvpn[16704]: UDPv4 link remote: [undef] Jan 1 04:22:20 > comp-Celeron-M-413ca8 openvpn[16704]: MULTI: multi_init called, r=256 > v=256 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: IFCONFIG > POOL: base=10.8.0.4 size=62 Jan 1 04:22:20 comp-Celeron-M-413ca8 > openvpn[16704]: IFCONFIG POOL LIST Jan 1 04:22:20 > comp-Celeron-M-413ca8 openvpn[16704]: Initialization Sequence > Completed > > > а порт даже не открывается. Точно ss -na -u | grep 1194 ничего не выводит? -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 12:53 ` Mikhail Efremov @ 2010-04-18 13:03 ` Владимир Саломатин 2010-04-18 15:49 ` Mikhail Efremov 0 siblings, 1 reply; 12+ messages in thread From: Владимир Саломатин @ 2010-04-18 13:03 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > Точно > ss -na -u | grep 1194 > ничего не выводит? > [root@comp-Celeron-M-413ca8 /]# ss -na -u | grep 1194 UNCONN 0 0 *:1194 *:* Это IP самого сервера [root@comp-Celeron-M-413ca8 /]# nmap -p 1194 176.16.5.12 Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-01 05:14 YEKT Interesting ports on 176.16.5.12: PORT STATE SERVICE 1194/tcp closed unknown [root@comp-Celeron-M-413ca8 /]# nmap -p 1194 127.0.0.1 Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-01 05:15 YEKT Interesting ports on localhost.localdomain (127.0.0.1): PORT STATE SERVICE 1194/tcp closed unknown в это снаружи [vova@client ~]$ nmap -p 1194 176.16.5.12 Starting Nmap 4.20 ( http://insecure.org ) at 2010-04-18 19:03 YEKST Interesting ports on 176.16.5.12: PORT STATE SERVICE 1194/tcp closed unknown ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 13:03 ` Владимир Саломатин @ 2010-04-18 15:49 ` Mikhail Efremov 2010-04-18 23:46 ` Владимир Саломатин 2010-04-19 12:10 ` Владимир Саломатин 0 siblings, 2 replies; 12+ messages in thread From: Mikhail Efremov @ 2010-04-18 15:49 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Sun, 18 Apr 2010 17:03:58 +0400 Владимир Саломатин wrote: > [root@comp-Celeron-M-413ca8 /]# ss -na -u | grep 1194 > UNCONN 0 0 > *:1194 *:* Порт слушается. > Это IP самого сервера > [root@comp-Celeron-M-413ca8 /]# nmap -p 1194 176.16.5.12 > > Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-01 05:14 YEKT > Interesting ports on 176.16.5.12: > PORT STATE SERVICE > 1194/tcp closed unknown Там UDP. nmap -sU -p 1194 176.16.5.12 -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 15:49 ` Mikhail Efremov @ 2010-04-18 23:46 ` Владимир Саломатин 2010-04-19 11:47 ` Mikhail Efremov 2010-04-19 12:10 ` Владимир Саломатин 1 sibling, 1 reply; 12+ messages in thread From: Владимир Саломатин @ 2010-04-18 23:46 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > Порт слушается. > > Там UDP. > nmap -sU -p 1194 176.16.5.12 Замечательно. С сервером все понятно. Работает. Другой такой же сервер использую в качестве клиента. На нем создаю новый SSL ключ vova_client, забираю на подпись. Перехожу на сервер 176.16.5.12 и там в удостоверяющем центре загружаю ключ и подписываю сертификат. Получаю подписанный. В Управлении ключами клиента делаю "Положить сертификат, подписанный УЦ" Получаю нормальный ключ. Срок истекает тогда-то. Создаю OpenVPN-соединение. Указываю сервер 176.16.5.12 ключ vova_client, успешно загружен применить. Ничего не происходит. Apr 19 05:44:32 comp-7912b2 openvpn[21357]: IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Apr 19 05:44:32 comp-7912b2 openvpn[21357]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Re-using SSL/TLS context Apr 19 05:44:32 comp-7912b2 openvpn[21357]: LZO compression initialized Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Local Options hash (VER=V4): '41690919' Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Expected Remote Options hash (VER=V4): '530fdded' Apr 19 05:44:32 comp-7912b2 openvpn[21357]: UDPv4 link local: [undef] Apr 19 05:44:32 comp-7912b2 openvpn[21357]: UDPv4 link remote: 176.16.5.12:1194 Apr 19 05:44:32 comp-7912b2 openvpn[21357]: TLS: Initial packet from 176.16.5.12:1194, sid=aa32e494 6870f787 Apr 19 05:44:33 comp-7912b2 openvpn[21357]: VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /O=openvpn-server/CN=comp-Celeron-M-413ca8.vvv.school.local Apr 19 05:44:33 comp-7912b2 openvpn[21357]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Apr 19 05:44:33 comp-7912b2 openvpn[21357]: TLS Error: TLS object -> incoming plaintext read error Apr 19 05:44:33 comp-7912b2 openvpn[21357]: TLS Error: TLS handshake failed Apr 19 05:44:33 comp-7912b2 openvpn[21357]: TCP/UDP: Closing socket Apr 19 05:44:33 comp-7912b2 openvpn[21357]: SIGUSR1[soft,tls-error] received, process restarting Apr 19 05:44:33 comp-7912b2 openvpn[21357]: Restart pause, 2 second(s) ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 23:46 ` Владимир Саломатин @ 2010-04-19 11:47 ` Mikhail Efremov 0 siblings, 0 replies; 12+ messages in thread From: Mikhail Efremov @ 2010-04-19 11:47 UTC (permalink / raw) To: sysadmins On Mon, 19 Apr 2010 03:46:19 +0400 Владимир Саломатин wrote: > Другой такой же сервер использую в качестве клиента. > > На нем создаю новый SSL ключ vova_client, забираю на подпись. > Перехожу на сервер 176.16.5.12 и там в удостоверяющем центре загружаю > ключ и подписываю сертификат. Получаю подписанный. В Управлении > ключами клиента делаю "Положить сертификат, подписанный УЦ" > > Получаю нормальный ключ. Срок истекает тогда-то. > > Создаю OpenVPN-соединение. Указываю сервер 176.16.5.12 ключ > vova_client, успешно загружен > > применить. Ничего не происходит. А сертификат УЦ, которым подписано, тоже загружен? Впрочем, если нет и не было сообщения об ошибке при запуске из альтератора, то это бага. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-18 15:49 ` Mikhail Efremov 2010-04-18 23:46 ` Владимир Саломатин @ 2010-04-19 12:10 ` Владимир Саломатин 2010-04-19 13:05 ` Mikhail Efremov 1 sibling, 1 reply; 12+ messages in thread From: Владимир Саломатин @ 2010-04-19 12:10 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > А сертификат УЦ, которым подписано, тоже загружен? > Впрочем, если нет и не было сообщения об ошибке при запуске из > альтератора, то это бага. Поэтому так дотошно и стал разбираться с сервером, чтобы точно исключить его. Хотя все равно надо еще разобраться, может что делаю неправильно. Посмотрю. Как получу связь любым способом, там виднее будет. А можно для теста вручную загрузить и запустить клиента? Как правильно? Какие ключи положить и куда? Или можно по описаниям как обычно клиента ставят. Но тогда какие ключи и сертификаты получать с сервера? Спасибо. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator 2010-04-19 12:10 ` Владимир Саломатин @ 2010-04-19 13:05 ` Mikhail Efremov 0 siblings, 0 replies; 12+ messages in thread From: Mikhail Efremov @ 2010-04-19 13:05 UTC (permalink / raw) Cc: sysadmins On Mon, 19 Apr 2010 16:10:25 +0400 Владимир Саломатин wrote: > > > А сертификат УЦ, которым подписано, тоже загружен? > > Впрочем, если нет и не было сообщения об ошибке при запуске из > > альтератора, то это бага. > > Поэтому так дотошно и стал разбираться с сервером, чтобы точно > исключить его. Хотя все равно надо еще разобраться, может что делаю > неправильно. Посмотрю. Как получу связь любым способом, там виднее > будет. > > > А можно для теста вручную загрузить и запустить клиента? > Как правильно? Какие ключи положить и куда? > > Или можно по описаниям как обычно клиента ставят. Но тогда какие > ключи и сертификаты получать с сервера? На сервере: создать ключ, подписать сертификат в УЦ и положить его. Если сертификат подписывается не в УЦ этого сервера, то положить и сертификат этого УЦ, в интерфейсе есть соответствующее поле. Если у openvpn-клиента есть подсети, которые должны быть видны из сети openvpn-сервера и другим openvpn-клиентам (т.е. openvpn-клиент сам является сервером сети), то прописать их в "Сети клиентов". При этом в "Имя клиента" должно быть написано то, что стоит в поле CN (Common Name) сертификата этого клиента. На клиенте: создать ключ, подписать сертификат тем же УЦ, что и сертификат сервера. Положить подписанный сертификат и сертификат этого УЦ (в alterator-ca можно его скачать). Убедиться, что настройки сервера и клиента совпадают (включено/выключено LZO, одинаковый порт и т.д.). Запустить, все должно работать. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2010-04-19 13:05 UTC | newest] Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2010-04-18 8:17 [Sysadmins] OpenVPN сервер через Alterator Владимир Саломатин 2010-04-18 8:59 ` Mikhail Efremov 2010-04-18 10:50 ` Владимир Саломатин 2010-04-18 11:36 ` Mikhail Efremov 2010-04-18 12:21 ` Владимир Саломатин 2010-04-18 12:53 ` Mikhail Efremov 2010-04-18 13:03 ` Владимир Саломатин 2010-04-18 15:49 ` Mikhail Efremov 2010-04-18 23:46 ` Владимир Саломатин 2010-04-19 11:47 ` Mikhail Efremov 2010-04-19 12:10 ` Владимир Саломатин 2010-04-19 13:05 ` Mikhail Efremov
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git