4. Перенос настроек openvpn

Перенос настроек openvpn

  • P

    Доброго времени.
    Отчаялся перенести конфиг openvpn на pfsense.

    proto udp
dev tun
pkcs12 cert.p12
remote x.x.x.x 1234
ifconfig 10.0.0.10 10.0.0.9
keepalive 5 50
tls-client
tls-auth ta.key 1
remote-cert-tls server
cipher BF-CBC
pull

    И если с опциями
    proto udp
    dev tun
    remote x.x.x.x 1234
    ifconfig 10.0.0.10 10.0.0.9
    cipher BF-CBC
    pull - все ясно,
    то вот остальные вгоняют в тоску и отчаяние.
    Очень надеюсь на Ваши советы, т.к. сам перепробовал по-моему все возможные сочетания опций..

    0
  • P

    pkcs12 cert.p12

    pkcs12 cert.p12 -  это , комбинированный файл-контейнер, в котором есть/могут быть:
    ca - certificate authority, cert - ваш сертификат, key - приватный ключ,  и ключ TLS.

    Они нужны для создания клиента OVPN. pfSense, насколько я знаю, с .p12 работать не умеет.

    ca,  cert  и  key  импортируются в System: Certificate Manager в соответствующих пунктах.
    Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

    осталось извлечь все это из pkcs12 cert.p12

    Как -то так:
    http://stackoverflow.com/questions/3549459/extracting-client-certificate-private-key-from-p12-file#3549459
    http://stackoverflow.com/questions/9497719/extract-public-private-key-from-pkcs12-file-for-later-use-in-ssh-pk-authentifica
    https://www.icts.uiowa.edu/confluence/pages/viewpage.action?pageId=32735365
    .p12 может быть защищен паролем.

    Или запросить у владельца сервера ключи и сертификаты в другом виде.

    0
  • P

    @pigbrother:

    pkcs12 cert.p12

    pkcs12 cert.p12 -  это , комбинированный файл-контейнер, в котором есть/могут быть:
    ca - certificate authority, cert - ваш сертификат, key - приватный ключ,  и ключ TLS.

    Они нужны для создания клиента OVPN. pfSense, насколько я знаю, с .p12 работать не умеет.

    ca,  cert  и  key , нужно импортировать в System: Certificate Manager в соответствующих пунктах.
    Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

    осталось извлечь все это из pkcs12 cert.p12
    .p12 может быть защищен паролем.

    Как -то так:
    http://stackoverflow.com/questions/3549459/extracting-client-certificate-private-key-from-p12-file#3549459
    http://stackoverflow.com/questions/9497719/extract-public-private-key-from-pkcs12-file-for-later-use-in-ssh-pk-authentifica
    https://www.icts.uiowa.edu/confluence/pages/viewpage.action?pageId=32735365
    Или запросить у владельца сервера ключи и сертификаты в другом виде.

    Вытащил, был без пароля, обычнм опенссл открыл - и установил. тут проблем нет
    Ключ ta.key не сертификат - вставляется только в openvpn если выбрать тип сервера shared key
    проблема какие настройки выбрать под остальные опции из конфига?

    А то в итоге получаю

    Jun 8 21:51:39	openvpn	94648	TUN/TAP device ovpnc1 exists previously, keep at program end
Jun 8 21:51:39	openvpn	94648	TUN/TAP device /dev/tun1 opened
Jun 8 21:51:39	openvpn	94648	ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
Jun 8 21:51:39	openvpn	94648	do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Jun 8 21:51:39	openvpn	94648	/sbin/ifconfig ovpnc1 10.0.32.10 10.0.32.9 mtu 1500 netmask 255.255.255.255 up
Jun 8 21:51:39	openvpn	94648	/usr/local/sbin/ovpn-linkup ovpnc1 1500 1544 10.0.32.10 10.0.32.9 init
Jun 8 21:51:39	openvpn	94648	Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:12 ET:0 EL:3 ]
Jun 8 21:51:39	openvpn	94648	Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.32.9 10.0.32.10,cipher BF-CBC,auth SHA1,keysize 128,secret'
Jun 8 21:51:39	openvpn	94648	Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.32.10 10.0.32.9,cipher BF-CBC,auth SHA1,keysize 128,secret'
Jun 8 21:51:39	openvpn	94648	Local Options hash (VER=V4): '3e6e0c94'
Jun 8 21:51:39	openvpn	94648	Expected Remote Options hash (VER=V4): '6bc3b03c'
Jun 8 21:51:39	openvpn	94648	UDPv4 link local (bound): [AF_INET]xx.xxx.xxx.250
Jun 8 21:51:39	openvpn	94648	UDPv4 link remote: [AF_INET]x.x.x.34:1252
Jun 8 21:51:41	openvpn	94648	MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
Jun 8 21:51:41	openvpn	94648	MANAGEMENT: CMD 'state 1'
Jun 8 21:51:41	openvpn	94648	MANAGEMENT: Client disconnected
Jun 8 21:52:39	openvpn	94648	Inactivity timeout (--ping-restart), restarting

    З.Ы, откуда mtu 1544?

    0
  • P

    Ключ ta.key не сертификат - вставляется только в openvpn если выбрать тип сервера shared key

    Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

    Ключ TLS=ta.key

    cipher BF-CBC - выбрать в Encryption algorithm

    ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще
    keepalive 5 50 - аналогично
    tls-client - аналогично
    remote-cert-tls server  -  аналогично

    tls-auth ta.key 1 =  Enable authentication of TLS packets

    В приведенном конфиге также отсутствует директива
    auth - в pfSense задается в Auth Digest Algorithm

    Ну и не ошибиться с выбором
    Peer Certificate Authority
    Client Certificate

    0
  • P

    Вроде разобрался.
    Методом проб и ошибок добился следующего

    
Jun 12 20:41:50	openvpn	89834	NOTE: the current --script-security setting may allow this configuration to call user-defined scriptsJun 
12 20:41:50	openvpn	89834	UDPv4 link local (bound): [AF_INET]x.x.x.108
Jun 12 20:41:50	openvpn	89834	UDPv4 link remote: [AF_INET]y.y.y.6:1234
Jun 12 20:42:40	openvpn	89834	[UNDEF] Inactivity timeout (--ping-restart), restarting
Jun 12 20:42:40	openvpn	89834	SIGUSR1[soft,ping-restart] received, process restarting
Jun 12 20:42:42	openvpn	89834	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jun 12 20:42:42	openvpn	89834	UDPv4 link local (bound): [AF_INET]x.x.x.108
Jun 12 20:42:42	openvpn	89834	UDPv4 link remote: [AF_INET]y.y.y.6:1234

    т.е. ошибок и проблем сертификатов нет, но и соединения тоже
    з.ы. сервер жив и здоров, и с соседней машины с такой же 10.3 бсд радует прекрасной работой

    Т.е. понятно, что где то ошибка в настройках аутентификации. Но вот где..

    0
  • W

    ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще

    Хм, а не ifconfig 10.0.0.9 10.0.0.10 должно ли быть ? Т.е. сперва адрес удаленный , а затем - свой.

    0
  • P

    @werter:

    ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще

    Хм, а не ifconfig 10.0.0.9 10.0.0.10 должно ли быть ? Т.е. сперва адрес удаленный , а затем - свой.

    Разницы экспериментально не появляется.
    А самое главное, в логе не появляется ошибок на эту тему.

    0
  • W

    Разницы экспериментально не появляется.
    А самое главное, в логе не появляется ошибок на эту тему.

    В настройках сервера и клиента в конце добавить\изменить verb 7

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy