Перенос настроек openvpn
-
Доброго времени.
Отчаялся перенести конфиг openvpn на pfsense.proto udp dev tun pkcs12 cert.p12 remote x.x.x.x 1234 ifconfig 10.0.0.10 10.0.0.9 keepalive 5 50 tls-client tls-auth ta.key 1 remote-cert-tls server cipher BF-CBC pull
И если с опциями
proto udp
dev tun
remote x.x.x.x 1234
ifconfig 10.0.0.10 10.0.0.9
cipher BF-CBC
pull - все ясно,
то вот остальные вгоняют в тоску и отчаяние.
Очень надеюсь на Ваши советы, т.к. сам перепробовал по-моему все возможные сочетания опций.. -
pkcs12 cert.p12
pkcs12 cert.p12 - это , комбинированный файл-контейнер, в котором есть/могут быть:
ca - certificate authority, cert - ваш сертификат, key - приватный ключ, и ключ TLS.Они нужны для создания клиента OVPN. pfSense, насколько я знаю, с .p12 работать не умеет.
ca, cert и key импортируются в System: Certificate Manager в соответствующих пунктах.
Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.осталось извлечь все это из pkcs12 cert.p12
Как -то так:
http://stackoverflow.com/questions/3549459/extracting-client-certificate-private-key-from-p12-file#3549459
http://stackoverflow.com/questions/9497719/extract-public-private-key-from-pkcs12-file-for-later-use-in-ssh-pk-authentifica
https://www.icts.uiowa.edu/confluence/pages/viewpage.action?pageId=32735365
.p12 может быть защищен паролем.Или запросить у владельца сервера ключи и сертификаты в другом виде.
-
pkcs12 cert.p12
pkcs12 cert.p12 - это , комбинированный файл-контейнер, в котором есть/могут быть:
ca - certificate authority, cert - ваш сертификат, key - приватный ключ, и ключ TLS.Они нужны для создания клиента OVPN. pfSense, насколько я знаю, с .p12 работать не умеет.
ca, cert и key , нужно импортировать в System: Certificate Manager в соответствующих пунктах.
Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.осталось извлечь все это из pkcs12 cert.p12
.p12 может быть защищен паролем.Как -то так:
http://stackoverflow.com/questions/3549459/extracting-client-certificate-private-key-from-p12-file#3549459
http://stackoverflow.com/questions/9497719/extract-public-private-key-from-pkcs12-file-for-later-use-in-ssh-pk-authentifica
https://www.icts.uiowa.edu/confluence/pages/viewpage.action?pageId=32735365
Или запросить у владельца сервера ключи и сертификаты в другом виде.Вытащил, был без пароля, обычнм опенссл открыл - и установил. тут проблем нет
Ключ ta.key не сертификат - вставляется только в openvpn если выбрать тип сервера shared key
проблема какие настройки выбрать под остальные опции из конфига?А то в итоге получаю
Jun 8 21:51:39 openvpn 94648 TUN/TAP device ovpnc1 exists previously, keep at program end Jun 8 21:51:39 openvpn 94648 TUN/TAP device /dev/tun1 opened Jun 8 21:51:39 openvpn 94648 ioctl(TUNSIFMODE): Device busy: Device busy (errno=16) Jun 8 21:51:39 openvpn 94648 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Jun 8 21:51:39 openvpn 94648 /sbin/ifconfig ovpnc1 10.0.32.10 10.0.32.9 mtu 1500 netmask 255.255.255.255 up Jun 8 21:51:39 openvpn 94648 /usr/local/sbin/ovpn-linkup ovpnc1 1500 1544 10.0.32.10 10.0.32.9 init Jun 8 21:51:39 openvpn 94648 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:12 ET:0 EL:3 ] Jun 8 21:51:39 openvpn 94648 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.32.9 10.0.32.10,cipher BF-CBC,auth SHA1,keysize 128,secret' Jun 8 21:51:39 openvpn 94648 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.32.10 10.0.32.9,cipher BF-CBC,auth SHA1,keysize 128,secret' Jun 8 21:51:39 openvpn 94648 Local Options hash (VER=V4): '3e6e0c94' Jun 8 21:51:39 openvpn 94648 Expected Remote Options hash (VER=V4): '6bc3b03c' Jun 8 21:51:39 openvpn 94648 UDPv4 link local (bound): [AF_INET]xx.xxx.xxx.250 Jun 8 21:51:39 openvpn 94648 UDPv4 link remote: [AF_INET]x.x.x.34:1252 Jun 8 21:51:41 openvpn 94648 MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock Jun 8 21:51:41 openvpn 94648 MANAGEMENT: CMD 'state 1' Jun 8 21:51:41 openvpn 94648 MANAGEMENT: Client disconnected Jun 8 21:52:39 openvpn 94648 Inactivity timeout (--ping-restart), restarting
З.Ы, откуда mtu 1544?
-
Ключ ta.key не сертификат - вставляется только в openvpn если выбрать тип сервера shared key
Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.
Ключ TLS=ta.key
cipher BF-CBC - выбрать в Encryption algorithm
ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще
keepalive 5 50 - аналогично
tls-client - аналогично
remote-cert-tls server - аналогичноtls-auth ta.key 1 = Enable authentication of TLS packets
В приведенном конфиге также отсутствует директива
auth - в pfSense задается в Auth Digest AlgorithmНу и не ошибиться с выбором
Peer Certificate Authority
Client Certificate -
Вроде разобрался.
Методом проб и ошибок добился следующегоJun 12 20:41:50 openvpn 89834 NOTE: the current --script-security setting may allow this configuration to call user-defined scriptsJun 12 20:41:50 openvpn 89834 UDPv4 link local (bound): [AF_INET]x.x.x.108 Jun 12 20:41:50 openvpn 89834 UDPv4 link remote: [AF_INET]y.y.y.6:1234 Jun 12 20:42:40 openvpn 89834 [UNDEF] Inactivity timeout (--ping-restart), restarting Jun 12 20:42:40 openvpn 89834 SIGUSR1[soft,ping-restart] received, process restarting Jun 12 20:42:42 openvpn 89834 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Jun 12 20:42:42 openvpn 89834 UDPv4 link local (bound): [AF_INET]x.x.x.108 Jun 12 20:42:42 openvpn 89834 UDPv4 link remote: [AF_INET]y.y.y.6:1234
т.е. ошибок и проблем сертификатов нет, но и соединения тоже
з.ы. сервер жив и здоров, и с соседней машины с такой же 10.3 бсд радует прекрасной работойТ.е. понятно, что где то ошибка в настройках аутентификации. Но вот где..
-
ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще
Хм, а не ifconfig 10.0.0.9 10.0.0.10 должно ли быть ? Т.е. сперва адрес удаленный , а затем - свой.
-
ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще
Хм, а не ifconfig 10.0.0.9 10.0.0.10 должно ли быть ? Т.е. сперва адрес удаленный , а затем - свой.
Разницы экспериментально не появляется.
А самое главное, в логе не появляется ошибок на эту тему. -
Разницы экспериментально не появляется.
А самое главное, в логе не появляется ошибок на эту тему.В настройках сервера и клиента в конце добавить\изменить verb 7