OPENVPN pfsense 2.0 error reading pck12

AlexS

Здравствуйте!

Пытаюсь настроить OPENVPN.
Сознаю сертифкат сервера на компе с WinXP, затем cоздаю Openvpn сервер c помощью визарда. Добавляю нового пользователя, указываю ему сертификат сервера. Далее экспортирую конфигурацию(ClientExport), однако при попытке подключения получаю ошибку. вывод OPENVPN GUI:

Wed Jan 26 17:30:19 2011 OpenVPN 2.1.3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Aug 20 2010
Wed Jan 26 17:30:23 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jan 26 17:30:23 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Jan 26 17:30:23 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 26 17:30:23 2011 Error reading PKCS#12 file pfsense-udp-1194.p12: error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long
Wed Jan 26 17:30:23 2011 Exiting

Как решить данную проблему?

dvserg

Думаю
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
и как следствие
Error reading PKCS#12 file pfsense-udp-1194.p12: error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long

Посмотрите ветку форума про OpenVPN там вроде что-то было и вот тут еще http://forum.pfsense.org/index.php/board,49.0.html

AlexS

Спасибо за правильное место для поиска. Все настроил.

alexandrnew

AlexS
опиши народу на русском :) вдруг кто столкнется :)
спасибо

AlexS

В принципе там все просто. :)
Я просто по новой сгенерировал сертификаты и все заработало.
1 . Создаем сертификат:
  System-> Cert Manager ->add ot import ca

Descriptive Name   sever(имя сертификата)
       Method =  Create an internal Certificate Authority
       Key Length = 2048 bits
  lifetime = 3650 days
  Distinguished Name
           Country Code  RU
           State or province (название области)
           City (город )
           Organisation (название организации)
           email Address (адрес почтовый)
           common name (имя )
     Нажимаем на Сохранение.

2. Открываем вкладку Certificates
нажимаем на крестик добавления нового сертификата

Descriptive name (имя сертификата)
  Method Create an internal certificate
  Certificate authority выбираем сертификат server(его мы создали на первом этапе)
  keylength 2048 bits
  lifetime 3650 Days
  Distinguished name
           Country Code  RU
           State or province (область)
           City (город)
           Organisation (организация)
           email Address (адрес)
           common name internal-ca (любое имя)

Сохраняем
  You can see two down arrows one is the certificate and other is the key. download them both.

3.Создаем VPN тунель.
  ВЫбираем OpenVPN в табе VPN.Добавляем новый.

Server Mode Remote Access SSL/TSL
  Protocol UDP
  Interface WAN
  Local Port 1194
  Description

TLS Authentication снимаем галочку
  Peer Certification authority server (здесь сертификат из 1 шага)
  Server Certificate (сертификат из 2 шага)
  DH Parameters 1024 Bits
  Enryption Algorithm BF-CBC (128 Bits) (Можновыбрать лююой другой)
  Tunnel Network 10.7.12.0/24 (Здесь указываем ip, которые будут выдаваться клиентам)
  Local Network (Здесь указываем LAN)
  Compressio Ставим галку  Compress tunnelpackets using LZO algorithm
  Address Pool check on Provide a virtual adapter IP address to clients оставляем не установленной
    Сохраняем

4. Добавляем правила в Firewall
  Firewall-> Rules->WAN
Добавляем правило
  Action Pass
  Interface WAN
  Protocol UDP
  Source any
  Destination any
  Destination Port Range Select From OpenVPN to OpenVPN(Либо указываем порты которые используем для OPENVPN)
  Description

Сохраняем.

В принципе все. Сервер настроен. Теперь нужно настроить клиента.
Есть два варианта:
1. Поставить пакет OpenVPN Client Export Utility.
1.1. Добавляем нового пользователя

System->User Manager->Нажимаем добавить пользователя

Username alex(или любое другое)
  password whatever
  full name  
  expiration date  
  group membership выбираем админ и нажимаем стрелку вправо
  сохраняем.

1.2. Создаем сертификат для пользователя

User Certificates Нажимаем добавить

Descriptive Name alex
  Certificate Authority server (Такое же имя как в шаге 1)
  keylength 2048 Bits
  Lifetime 3650 Days

Сохраняем.
 1.3 Во вкладке Client Export, получить много разных вариантов для экспорта сертификата.

2. В ручную установить OPenVPN и создать конфигурацию в папке  C:\Program Files\OpenVPN\config
2.1 Копируем из вкладки  System-> Cert Manager  crt сертификат сервера запоминаем его название
2.2 Копируем из вкладки  Certificate  crt и key файлы сервера запоминаем их названия.

в блокноте создаем файл server.ovpn
И вставляем в него(без ####):
 ####
  client
  dev tun
  proto udp
  remote x.x.x.x 1194   #(X.x.x.x публичный ip Pfsense2.0)
  ping 10
  resolv-retry infinite
  nobind
  persist-key
  persist-tun
  ca ca.crt   #(имя сертификата сервера в шаге 2.1)
  cert server.crt #(имя сертификата в шаге 2.2)
  key server.key #(имя сертификата в шаге 2.2)
  comp-lzo
  pull
  verb
#############

Сохраняем  файл. Все теперь можно подключаться.

dvserg

В FAQ http://forum.pfsense.org/index.php/topic,22839.msg117446.html#msg117446

Eugene

И на wiki запостил бы тогда уж.

dvserg

@Evgeny:

И на wiki запостил бы тогда уж.

Точно, и туда тоже нужно.