* [Sysadmins] OpenVPN сервер через Alterator
@ 2010-05-06 8:10 Владимир Саломатин
2010-05-06 9:22 ` Nikolay A. Fetisov
0 siblings, 1 reply; 5+ messages in thread
From: Владимир Саломатин @ 2010-05-06 8:10 UTC (permalink / raw)
To: sysadmins
>На сервере: создать ключ, подписать сертификат в УЦ и положить его.
--
WBR, Mikhail Efremov
Пожалуйста еще раз для непонятливых:
Беру Школьный сервер.
Захожу в Управление ключами SSL
Создаю новый SSL ключ - openvpn-server
Получаю на свой домашний комп файл openvpn-server.csr
Захожу в Удостоверяющий Центр (УЦ) Школьного сервера
загружаю openvpn-server.csr
нажимаю "Подписать"
получаю файл output.pem
Возвращаюсь в Управление ключами SSL
Этот файл (output.pem) выполняю "Положить сертификат, подписанный УЦ":
получаю запись openvpn-server (истекает 06.05.2011)
Хорошо
Захожу в OpenVPN-сервер, делаю
"Положить сертификат УЦ" - показываю путь до output.pem
Запускаю сервер, все нормально.
nmap -sU -p 1194 XX.XX.XX.XX
PORT STATE SERVICE
1194/udp open|filtered unknown
Вроде работает и на сервере появилось:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/[65534]
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
Теперь с клинтом. Что и куда ложить?
>На клиенте: создать ключ, подписать сертификат тем же УЦ, что и
>сертификат сервера. Положить подписанный сертификат и сертификат этого
>УЦ (в alterator-ca можно его скачать).
Беру Simply
Центр управления системой - OpenVPN - соединение
Управление ключами
Создаю ключ "Общее имя vvv" и показываю каталог /tmp
получаю там файл vvv.csr
Возвращаюсь на Школьный сервер
Захожу в Удостоверяющий Центр (УЦ) Школьного сервера
загружаю vvv.csr
нажимаю "Подписать"
получаю еще один файл под таким же названием: output.pem
>Положить подписанный сертификат и сертификат этого
>УЦ (в alterator-ca можно его скачать).
Куда положить?
Пробовал положить клиенту оба одноименных файла output.pem
Центр управления системой пишет "Включено", но ничего нет.
May 6 14:05:43 simply openvpn[14324]: IMPORTANT: OpenVPN's default port number is now 1194,
based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000
as the default port.
May 6 14:05:43 simply openvpn[14324]: WARNING: No server certificate verification method has
been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 6 14:05:43 simply openvpn[14324]: Re-using SSL/TLS context
May 6 14:05:43 simply openvpn[14324]: LZO compression initialized
May 6 14:05:43 simply openvpn[14324]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0
EL:0 ]
May 6 14:05:43 simply openvpn[14324]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0
EL:0 AF:3/1 ]
May 6 14:05:43 simply openvpn[14324]: Local Options hash (VER=V4): '41690919'
May 6 14:05:43 simply openvpn[14324]: Expected Remote Options hash (VER=V4): '530fdded'
May 6 14:05:43 simply openvpn[14324]: UDPv4 link local: [undef]
May 6 14:05:43 simply openvpn[14324]: UDPv4 link remote: 81.89.95.192:1194
May 6 14:05:43 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194
[2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by
removing --remote or adding --float)
May 6 14:05:45 simply sshd[15086]: Accepted password for vova from 176.16.5.2 port 41384 ssh2
May 6 14:05:45 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194
[2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by
removing --remote or adding --float)
Спасибо
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-05-06 8:10 [Sysadmins] OpenVPN сервер через Alterator Владимир Саломатин
@ 2010-05-06 9:22 ` Nikolay A. Fetisov
2010-05-06 14:45 ` Владимир Саломатин
2010-05-11 16:52 ` Michael Shigorin
0 siblings, 2 replies; 5+ messages in thread
From: Nikolay A. Fetisov @ 2010-05-06 9:22 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
В Чтв, 06/05/2010 в 12:10 +0400, Владимир Саломатин пишет:
> ....
> May 6 14:05:43 simply openvpn[14324]: UDPv4 link local: [undef]
> May 6 14:05:43 simply openvpn[14324]: UDPv4 link remote: 81.89.95.192:1194
> May 6 14:05:43 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194
> [2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by
> removing --remote or adding --float)
> ...
А к какому серверу подсоединяется клиент, и нет ли на сервере
каких-либо особенностей с подключением к Сети, типа двух uplink'ов?
Поскольку по логам клиент хочет соединиться с 81.89.95.192, а ответ
приходит от 94.181.42.61. Что клиенту, по понятным причинам, не
нравится.
Если так и _должно_ быть, то попробуйте добавить в конфигурацию клиента
параметр 'float'.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-05-06 9:22 ` Nikolay A. Fetisov
@ 2010-05-06 14:45 ` Владимир Саломатин
2010-05-06 16:27 ` Mikhail Efremov
2010-05-11 16:52 ` Michael Shigorin
1 sibling, 1 reply; 5+ messages in thread
From: Владимир Саломатин @ 2010-05-06 14:45 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> А к какому серверу подсоединяется клиент, и нет ли на сервере
> каких-либо особенностей с подключением к Сети, типа двух uplink'ов?
Да, все правильно. Сервер подключен сразу к двум провайдерам. Но виден сразу по двум адресам
снаружи.
Хорошо, я убрал второе подключение.
>
> Поскольку по логам клиент хочет соединиться с 81.89.95.192, а ответ
> приходит от 94.181.42.61. Что клиенту, по понятным причинам, не
> нравится.
> Если так и _должно_ быть, то попробуйте добавить в конфигурацию клиента
> параметр 'float'.
>
Куда добавляют float ?
После того как убрал, тоже нет соединения. Все-таки не подходит ключ.
Куда и что надо положить?
May 6 20:36:26 simply openvpn[16674]: IMPORTANT: OpenVPN's default port number is now 1194,
based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000
as the default port.
May 6 20:36:26 simply openvpn[16674]: WARNING: No server certificate verification method has
been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 6 20:36:26 simply openvpn[16674]: Re-using SSL/TLS context
May 6 20:36:26 simply openvpn[16674]: LZO compression initialized
May 6 20:36:26 simply openvpn[16674]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0
EL:0 ]
May 6 20:36:26 simply openvpn[16674]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0
EL:0 AF:3/1 ]
May 6 20:36:26 simply openvpn[16674]: Local Options hash (VER=V4): '41690919'
May 6 20:36:26 simply openvpn[16674]: Expected Remote Options hash (VER=V4): '530fdded'
May 6 20:36:26 simply openvpn[16674]: UDPv4 link local: [undef]
May 6 20:36:26 simply openvpn[16674]: UDPv4 link remote: 81.89.95.192:1194
May 6 20:36:26 simply openvpn[16674]: TLS: Initial packet from 81.89.95.192:1194, sid=415659bf
f55b68f7
May 6 20:36:26 simply openvpn[16674]: VERIFY ERROR: depth=0, error=unable to get local issuer
certificate: /C=RU/O=openvpn-server/OU=fFIRMA/CN=salomatin.salomatin.ru
May 6 20:36:26 simply openvpn[16674]: TLS_ERROR: BIO read tls_read_plaintext error:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
May 6 20:36:26 simply openvpn[16674]: TLS Error: TLS object -> incoming plaintext read error
May 6 20:36:26 simply openvpn[16674]: TLS Error: TLS handshake failed
May 6 20:36:26 simply openvpn[16674]: TCP/UDP: Closing socket
May 6 20:36:26 simply openvpn[16674]: SIGUSR1[soft,tls-error] received, process restarting
May 6 20:36:26 simply openvpn[16674]: Restart pause, 2 second(s)
Спасибо.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-05-06 14:45 ` Владимир Саломатин
@ 2010-05-06 16:27 ` Mikhail Efremov
0 siblings, 0 replies; 5+ messages in thread
From: Mikhail Efremov @ 2010-05-06 16:27 UTC (permalink / raw)
To: sysadmins
On Thu, 06 May 2010 18:45:11 +0400 Владимир Саломатин wrote:
> После того как убрал, тоже нет соединения. Все-таки не подходит ключ.
> Куда и что надо положить?
Сертификат УЦ, которым подписаны сертификаты клиента и сервера. И на
сервер и на клиент. Это который ca-root.pem в "Удостоверяющий
Центр"->"Управление УЦ".
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] OpenVPN сервер через Alterator
2010-05-06 9:22 ` Nikolay A. Fetisov
2010-05-06 14:45 ` Владимир Саломатин
@ 2010-05-11 16:52 ` Michael Shigorin
1 sibling, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2010-05-11 16:52 UTC (permalink / raw)
To: sysadmins
On Thu, May 06, 2010 at 01:22:34PM +0400, Nikolay A. Fetisov wrote:
> Поскольку по логам клиент хочет соединиться с 81.89.95.192, а
> ответ приходит от 94.181.42.61. Что клиенту, по понятным
> причинам, не нравится. Если так и _должно_ быть, то попробуйте
> добавить в конфигурацию клиента параметр 'float'.
И читайте lartc.org насчёт конфигурирования source routing,
вредности опции equalize и прочих тонкостей multilink'а.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2010-05-11 16:52 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-05-06 8:10 [Sysadmins] OpenVPN сервер через Alterator Владимир Саломатин
2010-05-06 9:22 ` Nikolay A. Fetisov
2010-05-06 14:45 ` Владимир Саломатин
2010-05-06 16:27 ` Mikhail Efremov
2010-05-11 16:52 ` Michael Shigorin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git