Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Сертификаты

    Scheduled Pinned Locked Moved Russian
    11 Posts 2 Posters 2.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      CA, как вариант, я бы создавал на 10 лет (3650 дней).

      Если в Вашем случае это не особо проблематично - создайте новый и подпишите им Ваши пользовательские и серверные сертификаты. Только OpenVPN на это время отключите.

      https://doc.pfsense.org/index.php/Certificate_Management
      https://forum.pfsense.org/index.php?topic=38692.msg200040#msg200040

      1 Reply Last reply Reply Quote 0
      • F
        FUCKir
        last edited by

        Там кстати не только СА кончились… Там все покончалось... Мой предшественник их на 2 года создавал(((

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          Пересоздавайте. Ссылки - выше. Дел на 5 мин.

          1 Reply Last reply Reply Quote 0
          • F
            FUCKir
            last edited by

            Кстати не фига не на 5 минут! Получается что мне нужно создать сертификат самого шлюза, потом сертификат VPN, а потом долго и упорно создавать сертификаты еще для каждого юзера и выгружать для них клиентский установочник… Или я что то не правильно понял?

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              мне нужно создать сертификат самого шлюза

              Ваш бывший коллега и его заменил на собственный ?

              Сколько у вас пользователей, использующих сертификаты ? Сотня, тысяча ?

              P.s. За то время , что вы здесь пишите - уже давно бы все помяняли  :-\

              1 Reply Last reply Reply Quote 0
              • F
                FUCKir
                last edited by

                Да, он и его поменял… Короче с сертификатами вроде разобрался... ТОлько теперь проблема в другом: пришлось перенастраивать Опен ВПН и получился косяк. В офисе сеть 192.168.250.0, по впн все подрубаются в 192.168.251.0... Как сделать чтоб ВПН в ту же сетку рубился, или что бы подсети подружились между собой?

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  @FUCKir:

                  Да, он и его поменял… Короче с сертификатами вроде разобрался... ТОлько теперь проблема в другом: пришлось перенастраивать Опен ВПН и получился косяк. В офисе сеть 192.168.250.0, по впн все подрубаются в 192.168.251.0... Как сделать чтоб ВПН в ту же сетку рубился, или что бы подсети подружились между собой?

                  Вы кроме сетификатов еще что-то меняли? Рисуйте схему сети.

                  1 Reply Last reply Reply Quote 0
                  • F
                    FUCKir
                    last edited by

                    Ситуация такая: играясь с сертификатами я случайно вообще убил весь ОпенВПН, в итоге я грохнул сервер ОпенВПН и сделал его по новой, вроде с теми же настройками. Потом начал создавать пользовательские сертификаты и они начали появляться на вкладке vpn-openvpn-client export (там еще у каждого пользователя есть кнопочки чтоб скачать клиент ОпенВПН уже сконфигурированный под конкретного пользователя).

                    Схема сети простая: есть офис, в нем шлюз на сенсе. Офисная сетка 192.168.250.0. На шлюзе есть некоторое кол-во поднятых тунелей до таких же шлюзов на сенсе (они подняты, все в порядке с ними), ну и остальные подняты службы а-ля ДХЦП. Есть некоторая кучка пользователей, которые работают из дома на сервере в офисе и им нужно на него как то попадать. Раньше, пока не кончились сертификаты все работало отлично, потом я полез с ними разбираться, в итоге сертификаты теперь работают, а ВПН- нет. Пользователь при подключении к ВПН получает адреса и подсети 192.168.251.0. Мои танцы с бубнами довели все до чего: впн "типа" поднимается, видно это с обоих сторон, но после создания нового сервака из офиса полученый адрес клиентом 192.168.251.6 пингуется, а из дома офисные адреса пинговаться не хотят. После перезагрузки службы ОпенВПН на сенсе перестал пинговаться адрес и из офиса… У меня паника, уже не знаю куда лезть... Эта сетка мне досталась по наследству и я хз какое правило и какая роль за что отвечает... А подписывать в описании моего предшественника не учили... Вся надежда на помощь тут!

                    Кстати! По адресу 192.168.251.1 из дома сотрудника открывается офисный веб интерфейс шлюза с пометкой что типа не безопасно заходить в него из другой подсети...

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Ситуация такая: играясь с сертификатами я случайно вообще убил весь ОпенВПН, в итоге я грохнул сервер ОпенВПН и сделал его по новой, вроде с теми же настройками.

                      Перед каждым серъезным изменением делайте backup конфига! Экономит часы (иногда - даже дни) работы.

                      P.s. Прочтите свои ЛС.

                      1 Reply Last reply Reply Quote 0
                      • F
                        FUCKir
                        last edited by

                        Да бэкапы то есть… Только сть в том чтоб поднять опен впн...

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.