Сертификаты
-
CA, как вариант, я бы создавал на 10 лет (3650 дней).
Если в Вашем случае это не особо проблематично - создайте новый и подпишите им Ваши пользовательские и серверные сертификаты. Только OpenVPN на это время отключите.
https://doc.pfsense.org/index.php/Certificate_Management
https://forum.pfsense.org/index.php?topic=38692.msg200040#msg200040 -
Там кстати не только СА кончились… Там все покончалось... Мой предшественник их на 2 года создавал(((
-
Пересоздавайте. Ссылки - выше. Дел на 5 мин.
-
Кстати не фига не на 5 минут! Получается что мне нужно создать сертификат самого шлюза, потом сертификат VPN, а потом долго и упорно создавать сертификаты еще для каждого юзера и выгружать для них клиентский установочник… Или я что то не правильно понял?
-
мне нужно создать сертификат самого шлюза
Ваш бывший коллега и его заменил на собственный ?
Сколько у вас пользователей, использующих сертификаты ? Сотня, тысяча ?
P.s. За то время , что вы здесь пишите - уже давно бы все помяняли :-\
-
Да, он и его поменял… Короче с сертификатами вроде разобрался... ТОлько теперь проблема в другом: пришлось перенастраивать Опен ВПН и получился косяк. В офисе сеть 192.168.250.0, по впн все подрубаются в 192.168.251.0... Как сделать чтоб ВПН в ту же сетку рубился, или что бы подсети подружились между собой?
-
Да, он и его поменял… Короче с сертификатами вроде разобрался... ТОлько теперь проблема в другом: пришлось перенастраивать Опен ВПН и получился косяк. В офисе сеть 192.168.250.0, по впн все подрубаются в 192.168.251.0... Как сделать чтоб ВПН в ту же сетку рубился, или что бы подсети подружились между собой?
Вы кроме сетификатов еще что-то меняли? Рисуйте схему сети.
-
Ситуация такая: играясь с сертификатами я случайно вообще убил весь ОпенВПН, в итоге я грохнул сервер ОпенВПН и сделал его по новой, вроде с теми же настройками. Потом начал создавать пользовательские сертификаты и они начали появляться на вкладке vpn-openvpn-client export (там еще у каждого пользователя есть кнопочки чтоб скачать клиент ОпенВПН уже сконфигурированный под конкретного пользователя).
Схема сети простая: есть офис, в нем шлюз на сенсе. Офисная сетка 192.168.250.0. На шлюзе есть некоторое кол-во поднятых тунелей до таких же шлюзов на сенсе (они подняты, все в порядке с ними), ну и остальные подняты службы а-ля ДХЦП. Есть некоторая кучка пользователей, которые работают из дома на сервере в офисе и им нужно на него как то попадать. Раньше, пока не кончились сертификаты все работало отлично, потом я полез с ними разбираться, в итоге сертификаты теперь работают, а ВПН- нет. Пользователь при подключении к ВПН получает адреса и подсети 192.168.251.0. Мои танцы с бубнами довели все до чего: впн "типа" поднимается, видно это с обоих сторон, но после создания нового сервака из офиса полученый адрес клиентом 192.168.251.6 пингуется, а из дома офисные адреса пинговаться не хотят. После перезагрузки службы ОпенВПН на сенсе перестал пинговаться адрес и из офиса… У меня паника, уже не знаю куда лезть... Эта сетка мне досталась по наследству и я хз какое правило и какая роль за что отвечает... А подписывать в описании моего предшественника не учили... Вся надежда на помощь тут!
Кстати! По адресу 192.168.251.1 из дома сотрудника открывается офисный веб интерфейс шлюза с пометкой что типа не безопасно заходить в него из другой подсети...
-
Ситуация такая: играясь с сертификатами я случайно вообще убил весь ОпенВПН, в итоге я грохнул сервер ОпенВПН и сделал его по новой, вроде с теми же настройками.
Перед каждым серъезным изменением делайте backup конфига! Экономит часы (иногда - даже дни) работы.
P.s. Прочтите свои ЛС.
-
Да бэкапы то есть… Только сть в том чтоб поднять опен впн...
