From: "Владимир Саломатин" <salomatin.ru@mail.ru> To: sysadmins@lists.altlinux.org Subject: [Sysadmins] OpenVPN сервер через Alterator Date: Thu, 06 May 2010 12:10:48 +0400 Message-ID: <E1O9wAS-0003pJ-00.salomatin-ru-mail-ru@f135.mail.ru> (raw) >На сервере: создать ключ, подписать сертификат в УЦ и положить его. -- WBR, Mikhail Efremov Пожалуйста еще раз для непонятливых: Беру Школьный сервер. Захожу в Управление ключами SSL Создаю новый SSL ключ - openvpn-server Получаю на свой домашний комп файл openvpn-server.csr Захожу в Удостоверяющий Центр (УЦ) Школьного сервера загружаю openvpn-server.csr нажимаю "Подписать" получаю файл output.pem Возвращаюсь в Управление ключами SSL Этот файл (output.pem) выполняю "Положить сертификат, подписанный УЦ": получаю запись openvpn-server (истекает 06.05.2011) Хорошо Захожу в OpenVPN-сервер, делаю "Положить сертификат УЦ" - показываю путь до output.pem Запускаю сервер, все нормально. nmap -sU -p 1194 XX.XX.XX.XX PORT STATE SERVICE 1194/udp open|filtered unknown Вроде работает и на сервере появилось: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/[65534] inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0 Теперь с клинтом. Что и куда ложить? >На клиенте: создать ключ, подписать сертификат тем же УЦ, что и >сертификат сервера. Положить подписанный сертификат и сертификат этого >УЦ (в alterator-ca можно его скачать). Беру Simply Центр управления системой - OpenVPN - соединение Управление ключами Создаю ключ "Общее имя vvv" и показываю каталог /tmp получаю там файл vvv.csr Возвращаюсь на Школьный сервер Захожу в Удостоверяющий Центр (УЦ) Школьного сервера загружаю vvv.csr нажимаю "Подписать" получаю еще один файл под таким же названием: output.pem >Положить подписанный сертификат и сертификат этого >УЦ (в alterator-ca можно его скачать). Куда положить? Пробовал положить клиенту оба одноименных файла output.pem Центр управления системой пишет "Включено", но ничего нет. May 6 14:05:43 simply openvpn[14324]: IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. May 6 14:05:43 simply openvpn[14324]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. May 6 14:05:43 simply openvpn[14324]: Re-using SSL/TLS context May 6 14:05:43 simply openvpn[14324]: LZO compression initialized May 6 14:05:43 simply openvpn[14324]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] May 6 14:05:43 simply openvpn[14324]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] May 6 14:05:43 simply openvpn[14324]: Local Options hash (VER=V4): '41690919' May 6 14:05:43 simply openvpn[14324]: Expected Remote Options hash (VER=V4): '530fdded' May 6 14:05:43 simply openvpn[14324]: UDPv4 link local: [undef] May 6 14:05:43 simply openvpn[14324]: UDPv4 link remote: 81.89.95.192:1194 May 6 14:05:43 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194 [2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by removing --remote or adding --float) May 6 14:05:45 simply sshd[15086]: Accepted password for vova from 176.16.5.2 port 41384 ssh2 May 6 14:05:45 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194 [2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by removing --remote or adding --float) Спасибо
next reply other threads:[~2010-05-06 8:10 UTC|newest] Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top 2010-05-06 8:10 Владимир Саломатин [this message] 2010-05-06 9:22 ` Nikolay A. Fetisov 2010-05-06 14:45 ` Владимир Саломатин 2010-05-06 16:27 ` Mikhail Efremov 2010-05-11 16:52 ` Michael Shigorin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=E1O9wAS-0003pJ-00.salomatin-ru-mail-ru@f135.mail.ru \ --to=salomatin.ru@mail.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git