From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <salomatin.ru@mail.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.5 required=5.0 tests=BAYES_00, DNS_FROM_OPENWHOIS, 
	SPF_PASS autolearn=no version=3.2.5
From: =?koi8-r?Q?=F7=CC=C1=C4=C9=CD=C9=D2_=F3=C1=CC=CF=CD=C1=D4=C9=CE?=
	<salomatin.ru@mail.ru>
To: sysadmins@lists.altlinux.org
Mime-Version: 1.0
X-Mailer: mPOP Web-Mail 2.19
X-Originating-IP: 10.51.86.59 via proxy [94.181.42.61]
Date: Thu, 06 May 2010 12:10:48 +0400
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Message-Id: <E1O9wAS-0003pJ-00.salomatin-ru-mail-ru@f135.mail.ru>
X-Spam: Not detected
X-Mras: Ok
Subject: [Sysadmins] =?koi8-r?b?T3BlblZQTiDTxdLXxdIg3sXSxdogQWx0ZXJhdG9y?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: =?koi8-r?Q?=F7=CC=C1=C4=C9=CD=C9=D2_=F3=C1=CC=CF=CD=C1=D4=C9=CE?=
	<salomatin.ru@mail.ru>,
	ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 06 May 2010 08:10:53 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/E1O9wAS-0003pJ-00.salomatin-ru-mail-ru@f135.mail.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

>На сервере: создать ключ, подписать сертификат в УЦ и положить его.
-- 
WBR, Mikhail Efremov

Пожалуйста  еще раз для непонятливых:

Беру Школьный сервер. 

Захожу в Управление ключами SSL 
Создаю новый SSL ключ - openvpn-server
Получаю на свой домашний комп  файл  openvpn-server.csr

Захожу в Удостоверяющий Центр (УЦ) Школьного сервера  
загружаю openvpn-server.csr
нажимаю "Подписать"
получаю  файл  output.pem

Возвращаюсь в Управление ключами SSL
Этот файл (output.pem) выполняю  "Положить сертификат, подписанный УЦ":

получаю запись openvpn-server (истекает 06.05.2011) 

Хорошо

Захожу в OpenVPN-сервер, делаю 
"Положить сертификат УЦ" -  показываю путь до output.pem

Запускаю сервер, все нормально.
nmap -sU -p 1194 XX.XX.XX.XX

PORT     STATE         SERVICE
1194/udp open|filtered unknown

Вроде работает и на сервере появилось:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/[65534]
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0


Теперь с клинтом. Что и куда ложить?

>На клиенте: создать ключ, подписать сертификат тем же УЦ, что и
>сертификат сервера. Положить подписанный сертификат и сертификат этого
>УЦ (в alterator-ca можно его скачать).

Беру Simply
Центр управления системой - OpenVPN - соединение
Управление ключами
Создаю ключ "Общее имя vvv" и показываю каталог /tmp
получаю там файл vvv.csr

Возвращаюсь на Школьный сервер
Захожу в Удостоверяющий Центр (УЦ) Школьного сервера  
загружаю vvv.csr
нажимаю "Подписать"
получаю еще один файл под таким же названием: output.pem 

>Положить подписанный сертификат и сертификат этого
>УЦ (в alterator-ca можно его скачать).

Куда положить?
Пробовал положить клиенту оба одноименных файла output.pem 

Центр управления системой пишет "Включено", но ничего нет.

May  6 14:05:43 simply openvpn[14324]: IMPORTANT: OpenVPN's default port number is now 1194, 
based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 
as the default port.
May  6 14:05:43 simply openvpn[14324]: WARNING: No server certificate verification method has 
been enabled.  See http://openvpn.net/howto.html#mitm for more info.
May  6 14:05:43 simply openvpn[14324]: Re-using SSL/TLS context
May  6 14:05:43 simply openvpn[14324]: LZO compression initialized
May  6 14:05:43 simply openvpn[14324]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 
EL:0 ]
May  6 14:05:43 simply openvpn[14324]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 
EL:0 AF:3/1 ]
May  6 14:05:43 simply openvpn[14324]: Local Options hash (VER=V4): '41690919'
May  6 14:05:43 simply openvpn[14324]: Expected Remote Options hash (VER=V4): '530fdded'
May  6 14:05:43 simply openvpn[14324]: UDPv4 link local: [undef]
May  6 14:05:43 simply openvpn[14324]: UDPv4 link remote: 81.89.95.192:1194
May  6 14:05:43 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194
[2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by 
removing --remote or adding --float)
May  6 14:05:45 simply sshd[15086]: Accepted password for vova from 176.16.5.2 port 41384 ssh2
May  6 14:05:45 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194
[2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by 
removing --remote or adding --float)

Спасибо