* [Sysadmins] OpenVPN сервер через Alterator
@ 2010-04-18 8:17 Владимир Саломатин
2010-04-18 8:59 ` Mikhail Efremov
0 siblings, 1 reply; 12+ messages in thread
From: Владимир Саломатин @ 2010-04-18 8:17 UTC (permalink / raw)
To: sysadmins
Через веб-интерфейс Alterator создал ключи и запустил OpenVPN сервер.
[root@serv vova]# service openvpn status
openvpn is running
Status of VPN iface-tun0 written to /var/log/messages
Однако /etc/openvpn/keys/ пустой
openvpn-startup посылает
[root@serv openvpn]# cat openvpn-startup
#!/bin/bash
# Startup file for OpenVPN
# Load tun module
/sbin/modprobe tun >/dev/null 2>&1
sleep 1s
Это что правильно? А как же server.conf ?
Его теперь делать и настраивать не надо?
Само то оно не работает из командной строки:
[root@serv openvpn]# service openvpn start
Starting openvpn service: No channels to start!
[FAILED]
Configure one or more VPN's and place configuration files in /etc/openvpn
Sample config could be obtained from /usr/share/doc/openvpn
говорит надо конфигурировать.
Так если я использую веб-интерфейс Alterator ручками надо все деалать?
А зачем тогда веб-интерфейс Alterator?
Спасибо.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 8:17 [Sysadmins] OpenVPN сервер через Alterator Владимир Саломатин
@ 2010-04-18 8:59 ` Mikhail Efremov
2010-04-18 10:50 ` Владимир Саломатин
0 siblings, 1 reply; 12+ messages in thread
From: Mikhail Efremov @ 2010-04-18 8:59 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Sun, 18 Apr 2010 12:17:44 +0400 Владимир Саломатин wrote:
> Через веб-интерфейс Alterator создал ключи и запустил OpenVPN сервер.
>
> [root@serv vova]# service openvpn status
> openvpn is running
> Status of VPN iface-tun0 written to /var/log/messages
Там используется etcnet. service openvpn запускать не надо вообще.
Смотрите /var/log/messages, там должны быть сообщения от openvpn при
запуске.
Конфигурацию искать в /etc/net/ifaces/tun0/.
Но предупреждаю, на изменение конфигов в ручную оно не рассчитано, при
следующем использовании alterator-openvpn-server все изменения будут
потеряны.
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 8:59 ` Mikhail Efremov
@ 2010-04-18 10:50 ` Владимир Саломатин
2010-04-18 11:36 ` Mikhail Efremov
0 siblings, 1 reply; 12+ messages in thread
From: Владимир Саломатин @ 2010-04-18 10:50 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> Там используется etcnet. service openvpn запускать не надо вообще.
> Смотрите /var/log/messages, там должны быть сообщения от openvpn при
> запуске.
> Конфигурацию искать в /etc/net/ifaces/tun0/.
> Но предупреждаю, на изменение конфигов в ручную оно не рассчитано, при
> следующем использовании alterator-openvpn-server все изменения будут
> потеряны.
Хорошо. Понятно.
Не сканируется порт 1194.
Это нормально?
А такое сообщение в var/log/messages?
WARNING: file '/var/lib/ssl/private/openvpn-server.key' is group or others accessible
а перегружать командой можно? например:
ifup tun0
Спасибо.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 10:50 ` Владимир Саломатин
@ 2010-04-18 11:36 ` Mikhail Efremov
2010-04-18 12:21 ` Владимир Саломатин
0 siblings, 1 reply; 12+ messages in thread
From: Mikhail Efremov @ 2010-04-18 11:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Sun, 18 Apr 2010 14:50:45 +0400 Владимир Саломатин wrote:
> > Там используется etcnet. service openvpn запускать не надо вообще.
> > Смотрите /var/log/messages, там должны быть сообщения от openvpn при
> > запуске.
> > Конфигурацию искать в /etc/net/ifaces/tun0/.
> > Но предупреждаю, на изменение конфигов в ручную оно не рассчитано,
> > при следующем использовании alterator-openvpn-server все изменения
> > будут потеряны.
>
> Хорошо. Понятно.
>
> Не сканируется порт 1194.
> Это нормально?
Должен быть открыт, проверьте настройки iptables.
> А такое сообщение в var/log/messages?
> WARNING: file '/var/lib/ssl/private/openvpn-server.key' is group or
> others accessible
Да, это надо поправить, повесьте багу. Но на работоспособность этот
warning не повлияет.
> а перегружать командой можно? например:
> ifup tun0
Да, конечно.
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 11:36 ` Mikhail Efremov
@ 2010-04-18 12:21 ` Владимир Саломатин
2010-04-18 12:53 ` Mikhail Efremov
0 siblings, 1 reply; 12+ messages in thread
From: Владимир Саломатин @ 2010-04-18 12:21 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> > Не сканируется порт 1194.
> > Это нормально?
>
> Должен быть открыт, проверьте настройки iptables.
Похоже iptables не причем. Даже на 127.0.0.1 и на адрес сетевой не открыт.
Что-то не запустилось, хотя
[root@comp-Celeron-M-413ca8 /]# service openvpn status
openvpn is running
Status of VPN iface-tun0 written to /var/log/messages
и
[root@comp-Celeron-M-413ca8 /]# ip a s
10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen
100
link/[65534]
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
После запуска:
tail /var/log/messages
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: OpenVPN 2.0.8 i586-alt-linux-gnu [SSL] [LZO]
[EPOLL] built on Jun 5 2009
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: Diffie-Hellman initialized with 1024 bit key
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: WARNING:
file '/var/lib/ssl/private/openvpn-server.key' is group or others accessible
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0
ET:0 EL:0 ]
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: TUN/TAP device tun0 opened
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: ip link set dev tun0 up mtu 1500
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: ip addr add dev tun0 local 10.8.0.1 peer
10.8.0.2
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: /etc/net/scripts/openvpn.action tun0 1500
1542 10.8.0.1 10.8.0.2 init
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: ip route add 10.8.0.0/24 via 10.8.0.2
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16663]: Data Channel MTU parms [ L:1542 D:1450 EF:42
EB:135 ET:0 EL:0 AF:3/1 ]
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: chroot to '/var/lib/openvpn' and cd to '/'
succeeded
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: GID set to openvpn
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: UID set to openvpn
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: UDPv4 link local (bound): [undef]:1194
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: UDPv4 link remote: [undef]
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: MULTI: multi_init called, r=256 v=256
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: IFCONFIG POOL: base=10.8.0.4 size=62
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: IFCONFIG POOL LIST
Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: Initialization Sequence Completed
а порт даже не открывается.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 12:21 ` Владимир Саломатин
@ 2010-04-18 12:53 ` Mikhail Efremov
2010-04-18 13:03 ` Владимир Саломатин
0 siblings, 1 reply; 12+ messages in thread
From: Mikhail Efremov @ 2010-04-18 12:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Sun, 18 Apr 2010 16:21:43 +0400 Владимир Саломатин wrote:
> После запуска:
>
> tail /var/log/messages
>
> comp-Celeron-M-413ca8 openvpn[16704]: UID set to openvpn Jan 1
> 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: UDPv4 link local
> (bound): [undef]:1194 Jan 1 04:22:20 comp-Celeron-M-413ca8
> openvpn[16704]: UDPv4 link remote: [undef] Jan 1 04:22:20
> comp-Celeron-M-413ca8 openvpn[16704]: MULTI: multi_init called, r=256
> v=256 Jan 1 04:22:20 comp-Celeron-M-413ca8 openvpn[16704]: IFCONFIG
> POOL: base=10.8.0.4 size=62 Jan 1 04:22:20 comp-Celeron-M-413ca8
> openvpn[16704]: IFCONFIG POOL LIST Jan 1 04:22:20
> comp-Celeron-M-413ca8 openvpn[16704]: Initialization Sequence
> Completed
>
>
> а порт даже не открывается.
Точно
ss -na -u | grep 1194
ничего не выводит?
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 12:53 ` Mikhail Efremov
@ 2010-04-18 13:03 ` Владимир Саломатин
2010-04-18 15:49 ` Mikhail Efremov
0 siblings, 1 reply; 12+ messages in thread
From: Владимир Саломатин @ 2010-04-18 13:03 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> Точно
> ss -na -u | grep 1194
> ничего не выводит?
>
[root@comp-Celeron-M-413ca8 /]# ss -na -u | grep 1194
UNCONN 0 0 *:1194 *:*
Это IP самого сервера
[root@comp-Celeron-M-413ca8 /]# nmap -p 1194 176.16.5.12
Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-01 05:14 YEKT
Interesting ports on 176.16.5.12:
PORT STATE SERVICE
1194/tcp closed unknown
[root@comp-Celeron-M-413ca8 /]# nmap -p 1194 127.0.0.1
Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-01 05:15 YEKT
Interesting ports on localhost.localdomain (127.0.0.1):
PORT STATE SERVICE
1194/tcp closed unknown
в это снаружи
[vova@client ~]$ nmap -p 1194 176.16.5.12
Starting Nmap 4.20 ( http://insecure.org ) at 2010-04-18 19:03 YEKST
Interesting ports on 176.16.5.12:
PORT STATE SERVICE
1194/tcp closed unknown
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 13:03 ` Владимир Саломатин
@ 2010-04-18 15:49 ` Mikhail Efremov
2010-04-18 23:46 ` Владимир Саломатин
2010-04-19 12:10 ` Владимир Саломатин
0 siblings, 2 replies; 12+ messages in thread
From: Mikhail Efremov @ 2010-04-18 15:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Sun, 18 Apr 2010 17:03:58 +0400 Владимир Саломатин wrote:
> [root@comp-Celeron-M-413ca8 /]# ss -na -u | grep 1194
> UNCONN 0 0
> *:1194 *:*
Порт слушается.
> Это IP самого сервера
> [root@comp-Celeron-M-413ca8 /]# nmap -p 1194 176.16.5.12
>
> Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-01 05:14 YEKT
> Interesting ports on 176.16.5.12:
> PORT STATE SERVICE
> 1194/tcp closed unknown
Там UDP.
nmap -sU -p 1194 176.16.5.12
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 15:49 ` Mikhail Efremov
@ 2010-04-18 23:46 ` Владимир Саломатин
2010-04-19 11:47 ` Mikhail Efremov
2010-04-19 12:10 ` Владимир Саломатин
1 sibling, 1 reply; 12+ messages in thread
From: Владимир Саломатин @ 2010-04-18 23:46 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> Порт слушается.
>
> Там UDP.
> nmap -sU -p 1194 176.16.5.12
Замечательно. С сервером все понятно. Работает.
Другой такой же сервер использую в качестве клиента.
На нем создаю новый SSL ключ vova_client, забираю на подпись. Перехожу на сервер 176.16.5.12 и там
в удостоверяющем центре загружаю ключ и подписываю сертификат. Получаю подписанный.
В Управлении ключами клиента делаю "Положить сертификат, подписанный УЦ"
Получаю нормальный ключ. Срок истекает тогда-то.
Создаю OpenVPN-соединение. Указываю сервер 176.16.5.12 ключ vova_client, успешно загружен
применить. Ничего не происходит.
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: IMPORTANT: OpenVPN's default port number is now 1194,
based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as
the default port.
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: WARNING: No server certificate verification method has
been enabled. See http://openvpn.net/howto.html#mitm for more info.
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Re-using SSL/TLS context
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: LZO compression initialized
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0
ET:0 EL:0 ]
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135
ET:0 EL:0 AF:3/1 ]
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Local Options hash (VER=V4): '41690919'
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: Expected Remote Options hash (VER=V4): '530fdded'
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: UDPv4 link local: [undef]
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: UDPv4 link remote: 176.16.5.12:1194
Apr 19 05:44:32 comp-7912b2 openvpn[21357]: TLS: Initial packet from 176.16.5.12:1194, sid=aa32e494
6870f787
Apr 19 05:44:33 comp-7912b2 openvpn[21357]: VERIFY ERROR: depth=0, error=unable to get local issuer
certificate: /O=openvpn-server/CN=comp-Celeron-M-413ca8.vvv.school.local
Apr 19 05:44:33 comp-7912b2 openvpn[21357]: TLS_ERROR: BIO read tls_read_plaintext error:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Apr 19 05:44:33 comp-7912b2 openvpn[21357]: TLS Error: TLS object -> incoming plaintext read error
Apr 19 05:44:33 comp-7912b2 openvpn[21357]: TLS Error: TLS handshake failed
Apr 19 05:44:33 comp-7912b2 openvpn[21357]: TCP/UDP: Closing socket
Apr 19 05:44:33 comp-7912b2 openvpn[21357]: SIGUSR1[soft,tls-error] received, process restarting
Apr 19 05:44:33 comp-7912b2 openvpn[21357]: Restart pause, 2 second(s)
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 23:46 ` Владимир Саломатин
@ 2010-04-19 11:47 ` Mikhail Efremov
0 siblings, 0 replies; 12+ messages in thread
From: Mikhail Efremov @ 2010-04-19 11:47 UTC (permalink / raw)
To: sysadmins
On Mon, 19 Apr 2010 03:46:19 +0400 Владимир Саломатин wrote:
> Другой такой же сервер использую в качестве клиента.
>
> На нем создаю новый SSL ключ vova_client, забираю на подпись.
> Перехожу на сервер 176.16.5.12 и там в удостоверяющем центре загружаю
> ключ и подписываю сертификат. Получаю подписанный. В Управлении
> ключами клиента делаю "Положить сертификат, подписанный УЦ"
>
> Получаю нормальный ключ. Срок истекает тогда-то.
>
> Создаю OpenVPN-соединение. Указываю сервер 176.16.5.12 ключ
> vova_client, успешно загружен
>
> применить. Ничего не происходит.
А сертификат УЦ, которым подписано, тоже загружен?
Впрочем, если нет и не было сообщения об ошибке при запуске из
альтератора, то это бага.
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-18 15:49 ` Mikhail Efremov
2010-04-18 23:46 ` Владимир Саломатин
@ 2010-04-19 12:10 ` Владимир Саломатин
2010-04-19 13:05 ` Mikhail Efremov
1 sibling, 1 reply; 12+ messages in thread
From: Владимир Саломатин @ 2010-04-19 12:10 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> А сертификат УЦ, которым подписано, тоже загружен?
> Впрочем, если нет и не было сообщения об ошибке при запуске из
> альтератора, то это бага.
Поэтому так дотошно и стал разбираться с сервером, чтобы точно исключить его.
Хотя все равно надо еще разобраться, может что делаю неправильно. Посмотрю. Как получу связь
любым способом, там виднее будет.
А можно для теста вручную загрузить и запустить клиента?
Как правильно? Какие ключи положить и куда?
Или можно по описаниям как обычно клиента ставят. Но тогда какие ключи и сертификаты получать с
сервера?
Спасибо.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-04-19 12:10 ` Владимир Саломатин
@ 2010-04-19 13:05 ` Mikhail Efremov
0 siblings, 0 replies; 12+ messages in thread
From: Mikhail Efremov @ 2010-04-19 13:05 UTC (permalink / raw)
Cc: sysadmins
On Mon, 19 Apr 2010 16:10:25 +0400 Владимир Саломатин wrote:
>
> > А сертификат УЦ, которым подписано, тоже загружен?
> > Впрочем, если нет и не было сообщения об ошибке при запуске из
> > альтератора, то это бага.
>
> Поэтому так дотошно и стал разбираться с сервером, чтобы точно
> исключить его. Хотя все равно надо еще разобраться, может что делаю
> неправильно. Посмотрю. Как получу связь любым способом, там виднее
> будет.
>
>
> А можно для теста вручную загрузить и запустить клиента?
> Как правильно? Какие ключи положить и куда?
>
> Или можно по описаниям как обычно клиента ставят. Но тогда какие
> ключи и сертификаты получать с сервера?
На сервере: создать ключ, подписать сертификат в УЦ и положить его.
Если сертификат подписывается не в УЦ этого сервера, то положить и
сертификат этого УЦ, в интерфейсе есть соответствующее поле.
Если у openvpn-клиента есть подсети, которые должны быть видны из сети
openvpn-сервера и другим openvpn-клиентам (т.е. openvpn-клиент сам
является сервером сети), то прописать их в "Сети клиентов". При этом в
"Имя клиента" должно быть написано то, что стоит в поле CN (Common Name)
сертификата этого клиента.
На клиенте: создать ключ, подписать сертификат тем же УЦ, что и
сертификат сервера. Положить подписанный сертификат и сертификат этого
УЦ (в alterator-ca можно его скачать).
Убедиться, что настройки сервера и клиента совпадают
(включено/выключено LZO, одинаковый порт и т.д.).
Запустить, все должно работать.
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2010-04-19 13:05 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-04-18 8:17 [Sysadmins] OpenVPN сервер через Alterator Владимир Саломатин
2010-04-18 8:59 ` Mikhail Efremov
2010-04-18 10:50 ` Владимир Саломатин
2010-04-18 11:36 ` Mikhail Efremov
2010-04-18 12:21 ` Владимир Саломатин
2010-04-18 12:53 ` Mikhail Efremov
2010-04-18 13:03 ` Владимир Саломатин
2010-04-18 15:49 ` Mikhail Efremov
2010-04-18 23:46 ` Владимир Саломатин
2010-04-19 11:47 ` Mikhail Efremov
2010-04-19 12:10 ` Владимир Саломатин
2010-04-19 13:05 ` Mikhail Efremov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git