как соединить две локальные сети офисов, р

l2grom

@l2grom:

@deutsche:

Версия pfsense, openvpn (сервер и клиент)?

1.2.3-RELEASE
built on Sun Dec 6 23:21:36 EST 2009

клиент

Версия 2.1 RC15:

Спасибо, результат отпишу.

l2grom

на сервере
Sep 25 14:30:42 openvpn[48129]: 192.168.1.1:2563 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=RU/ST=na/L=Tymen/O=CCK/CN=pfSense-CA/emailAddress=ai@mail.ru
Sep 25 14:30:42 openvpn[48129]: 192.168.1.1:2563 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sep 25 14:30:42 openvpn[48129]: 192.168.1.1:2563 TLS Error: TLS object -> incoming plaintext read error
Sep 25 14:30:42 openvpn[48129]: 192.168.1.1:2563 TLS Error: TLS handshake failed

в клиенте
Sun Sep 26 20:26:25 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 26 20:26:25 2010 TLS Error: TLS handshake failed
Sun Sep 26 20:26:25 2010 TCP/UDP: Closing socket

Все тоже самое, таже самая ошибка.

l2grom

@l2grom:

на сервере
Sep 25 14:30:42 openvpn[48129]: 192.168.1.1:2563 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=RU/ST=na/L=Tymen/O=CCK/CN=pfSense-CA/emailAddress=ai@mail.ru
Sep 25 14:30:42 openvpn[48129]: 192.168.1.1:2563 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sep 25 14:30:42 openvpn[48129]: 192.168.1.1:2563 TLS Error: TLS object -> incoming plaintext read error
Sep 25 14:30:42 openvpn[48129]: 192.168.1.1:2563 TLS Error: TLS handshake failed

в клиенте
Sun Sep 26 20:26:25 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 26 20:26:25 2010 TLS Error: TLS handshake failed
Sun Sep 26 20:26:25 2010 TCP/UDP: Closing socket

Все тоже самое, таже самая ошибка.

Я в принципе не претендую на эту технологию связи, раз она такая xxx, работает только на словах и бумаге, может есть другие способы подключения?

deutsche

Таки покажите текстовый конфиг сервера и версию. С PKI TLS быть не должно!
Можно брать любой VPN, например l2tp

Кстати, у Вас уже почти готово русское хау-то для OpenVPN.

l2grom

@deutsche:

Таки покажите текстовый конфиг сервера и версию. С PKI TLS быть не должно!
Можно брать любой VPN, например l2tp

Кстати, у Вас уже почти готово русское хау-то для OpenVPN.

Name  pfSense-VM.local
Version 1.2.3-RELEASE
built on Sun Dec 6 23:21:36 EST 2009
Platform pfSense

writepid /var/run/openvpn_server0.pid
#user nobody
#group nobody
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
dev tun
proto udp
cipher BF-CBC
up /etc/rc.filter_configure
down /etc/rc.filter_configure
tls-server
ifconfig 78.45.0.1 78.45.0.2
push "route 10.1.1.1 255.255.255.0"
lport 1194
push "dhcp-option DISABLE-NBT"
route 10.1.1.2 255.255.255.0
ca /var/etc/openvpn_server0.ca
cert /var/etc/openvpn_server0.cert
key /var/etc/openvpn_server0.key
dh /var/etc/openvpn_server0.dh
comp-lzo

deutsche

Строчка tls-server лишняя, удалите настройки (лучше вручную) и создайте заново.
Аутентификация должна быть PKI

l2grom

@deutsche:

Строчка tls-server лишняя, удалите настройки (лучше вручную) и создайте заново.
Аутентификация должна быть PKI

я удаляю ее, она снова появляется, и кеш почистил. что-то может не там делаю?

правлю фаил openvpn_server0.conf после захода на web- морду настройки возвращаются.

l2grom

@l2grom:

@deutsche:

Строчка tls-server лишняя, удалите настройки (лучше вручную) и создайте заново.
Аутентификация должна быть PKI

добился этого, настройки не слетают но

writepid /var/run/openvpn_server0.pid
#user nobody
#group nobody
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
dev tun
proto udp
cipher BF-CBC
up /etc/rc.filter_configure
down /etc/rc.filter_configure
server 78.45.0.0 255.255.255.0
client-config-dir /var/etc/openvpn_csc
lport 1194
ca /var/etc/openvpn_server0.ca
cert /var/etc/openvpn_server0.cert
key /var/etc/openvpn_server0.key
dh /var/etc/openvpn_server0.dh
comp-lzo

лог сервера ))))))))))
Sep 25 16:15:18 openvpn[2456]: 192.168.1.1:3179 Re-using SSL/TLS context
Sep 25 16:15:18 openvpn[2456]: 192.168.1.1:3179 LZO compression initialized
Sep 25 16:15:19 openvpn[2456]: 192.168.1.1:3179 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=RU/ST=na/L=Tymen/O=CCK/CN=pfSense-CA/emailAddress=ai@mail.ru
Sep 25 16:15:19 openvpn[2456]: 192.168.1.1:3179 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sep 25 16:15:19 openvpn[2456]: 192.168.1.1:3179 TLS Error: TLS object -> incoming plaintext read error
Sep 25 16:15:19 openvpn[2456]: 192.168.1.1:3179 TLS Error: TLS handshake failed

l2grom

я расшарил удаленный рабочий стол, может зайдете посмотрите), ибо я не знаю в чем дело, одно на уме, пакет не работает ибо кривой либо не дописан.

l2grom

Что я сделал, перевел часы на машине на которой генерил лицензии. и ВСЕ ЗАРАБОТАЛО. ТУПАЯ ПРОГА ГЕНЕРАТОР ЧАСОВ, МОГли БЫ УРОДЫ ВЫНЕСТИ ЧТОБ Я МОГ САМ ВБИТЬ ДАТУ НАЧАЛО И КОНЦА ЛИЦЕНЗИИ А НЕ ГЕНЕРИРОВАТЬ АВТОМАТОМ ОТ ЧАСОВ СИСТЕМНЫХ))))

aleksvolgin

Ай! Возьму грех на душу!

Если у вас не получается запустить конфигурацию с сертификатами, может вам попробовать более простую со статическими ключами? Здесь http://forum.ixbt.com/topic.cgi?id=14:40906#1 пункт 2. Там же можно подчерпнуть инфу по генерации ключей и насторойки конфига с сертификатами.

l2grom

@aleksvolgin:

Ай! Возьму грех на душу!

Если у вас не получается запустить конфигурацию с сертификатами, может вам попробовать более простую со статическими ключами? Здесь http://forum.ixbt.com/topic.cgi?id=14:40906#1 пункт 2. Там же можно подчерпнуть инфу по генерации ключей и насторойки конфига с сертификатами.

СПС ЗА СОВЕТ НО
Что я сделал, перевел часы на машине на которой генерил лицензии. и ВСЕ ЗАРАБОТАЛО. ТУПАЯ ПРОГА ГЕНЕРАТОР ЧАСОВ, МОГли БЫ УРОДЫ ВЫНЕСТИ ЧТОБ Я МОГ САМ ВБИТЬ ДАТУ НАЧАЛО И КОНЦА ЛИЦЕНЗИИ А НЕ ГЕНЕРИРОВАТЬ АВТОМАТОМ ОТ ЧАСОВ СИСТЕМНЫХ))))

l2grom

УВАЖАЕМЫЕ МОДЕРАТОРЫ , ТЕМУ МОЖНО 100% ОФОРМИТЬ И ПРИКРЕПИТЬ КАК РУСС-МАНУАЛ, И НЕ ЗАБЫТЬ ПОСЛЕДНИЕ СРОКИ, ЭТО ГЛАВНАЯ БЕДА, ГЕНЕРАТОР КЛЮЧЕЙ ТУПО СТАВИТ НАЧАЛО ДЕЙСТВИЯ СЕРТИФИКАТА ОСНОВЫВАЯСЬ НА ЛОКАЛЬНОМ ВРЕМЕНИ. ЭТО НЕДoЧЕТ.