Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Перенос настроек openvpn

    Scheduled Pinned Locked Moved Russian
    8 Posts 3 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pumbey
      last edited by

      Доброго времени.
      Отчаялся перенести конфиг openvpn на pfsense.

      proto udp
      dev tun
      pkcs12 cert.p12
      remote x.x.x.x 1234
      ifconfig 10.0.0.10 10.0.0.9
      keepalive 5 50
      tls-client
      tls-auth ta.key 1
      remote-cert-tls server
      cipher BF-CBC
      pull
      
      

      И если с опциями
      proto udp
      dev tun
      remote x.x.x.x 1234
      ifconfig 10.0.0.10 10.0.0.9
      cipher BF-CBC
      pull - все ясно,
      то вот остальные вгоняют в тоску и отчаяние.
      Очень надеюсь на Ваши советы, т.к. сам перепробовал по-моему все возможные сочетания опций..

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by

        pkcs12 cert.p12

        pkcs12 cert.p12 -  это , комбинированный файл-контейнер, в котором есть/могут быть:
        ca - certificate authority, cert - ваш сертификат, key - приватный ключ,  и ключ TLS.

        Они нужны для создания клиента OVPN. pfSense, насколько я знаю, с .p12 работать не умеет.

        ca,  cert  и  key  импортируются в System: Certificate Manager в соответствующих пунктах.
        Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

        осталось извлечь все это из pkcs12 cert.p12

        Как -то так:
        http://stackoverflow.com/questions/3549459/extracting-client-certificate-private-key-from-p12-file#3549459
        http://stackoverflow.com/questions/9497719/extract-public-private-key-from-pkcs12-file-for-later-use-in-ssh-pk-authentifica
        https://www.icts.uiowa.edu/confluence/pages/viewpage.action?pageId=32735365
        .p12 может быть защищен паролем.

        Или запросить у владельца сервера ключи и сертификаты в другом виде.

        1 Reply Last reply Reply Quote 0
        • P
          pumbey
          last edited by

          @pigbrother:

          pkcs12 cert.p12

          pkcs12 cert.p12 -  это , комбинированный файл-контейнер, в котором есть/могут быть:
          ca - certificate authority, cert - ваш сертификат, key - приватный ключ,  и ключ TLS.

          Они нужны для создания клиента OVPN. pfSense, насколько я знаю, с .p12 работать не умеет.

          ca,  cert  и  key , нужно импортировать в System: Certificate Manager в соответствующих пунктах.
          Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

          осталось извлечь все это из pkcs12 cert.p12
          .p12 может быть защищен паролем.

          Как -то так:
          http://stackoverflow.com/questions/3549459/extracting-client-certificate-private-key-from-p12-file#3549459
          http://stackoverflow.com/questions/9497719/extract-public-private-key-from-pkcs12-file-for-later-use-in-ssh-pk-authentifica
          https://www.icts.uiowa.edu/confluence/pages/viewpage.action?pageId=32735365
          Или запросить у владельца сервера ключи и сертификаты в другом виде.

          Вытащил, был без пароля, обычнм опенссл открыл - и установил. тут проблем нет
          Ключ ta.key не сертификат - вставляется только в openvpn если выбрать тип сервера shared key
          проблема какие настройки выбрать под остальные опции из конфига?

          А то в итоге получаю

          Jun 8 21:51:39	openvpn	94648	TUN/TAP device ovpnc1 exists previously, keep at program end
          Jun 8 21:51:39	openvpn	94648	TUN/TAP device /dev/tun1 opened
          Jun 8 21:51:39	openvpn	94648	ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
          Jun 8 21:51:39	openvpn	94648	do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
          Jun 8 21:51:39	openvpn	94648	/sbin/ifconfig ovpnc1 10.0.32.10 10.0.32.9 mtu 1500 netmask 255.255.255.255 up
          Jun 8 21:51:39	openvpn	94648	/usr/local/sbin/ovpn-linkup ovpnc1 1500 1544 10.0.32.10 10.0.32.9 init
          Jun 8 21:51:39	openvpn	94648	Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:12 ET:0 EL:3 ]
          Jun 8 21:51:39	openvpn	94648	Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.32.9 10.0.32.10,cipher BF-CBC,auth SHA1,keysize 128,secret'
          Jun 8 21:51:39	openvpn	94648	Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.32.10 10.0.32.9,cipher BF-CBC,auth SHA1,keysize 128,secret'
          Jun 8 21:51:39	openvpn	94648	Local Options hash (VER=V4): '3e6e0c94'
          Jun 8 21:51:39	openvpn	94648	Expected Remote Options hash (VER=V4): '6bc3b03c'
          Jun 8 21:51:39	openvpn	94648	UDPv4 link local (bound): [AF_INET]xx.xxx.xxx.250
          Jun 8 21:51:39	openvpn	94648	UDPv4 link remote: [AF_INET]x.x.x.34:1252
          Jun 8 21:51:41	openvpn	94648	MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
          Jun 8 21:51:41	openvpn	94648	MANAGEMENT: CMD 'state 1'
          Jun 8 21:51:41	openvpn	94648	MANAGEMENT: Client disconnected
          Jun 8 21:52:39	openvpn	94648	Inactivity timeout (--ping-restart), restarting
          

          З.Ы, откуда mtu 1544?

          1 Reply Last reply Reply Quote 0
          • P
            pigbrother
            last edited by

            Ключ ta.key не сертификат - вставляется только в openvpn если выбрать тип сервера shared key

            Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

            Ключ TLS=ta.key

            cipher BF-CBC - выбрать в Encryption algorithm

            ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще
            keepalive 5 50 - аналогично
            tls-client - аналогично
            remote-cert-tls server  -  аналогично

            tls-auth ta.key 1 =  Enable authentication of TLS packets

            В приведенном конфиге также отсутствует директива
            auth - в pfSense задается в Auth Digest Algorithm

            Ну и не ошибиться с выбором
            Peer Certificate Authority
            Client Certificate

            1 Reply Last reply Reply Quote 0
            • P
              pumbey
              last edited by

              Вроде разобрался.
              Методом проб и ошибок добился следующего

              
              Jun 12 20:41:50	openvpn	89834	NOTE: the current --script-security setting may allow this configuration to call user-defined scriptsJun 
              12 20:41:50	openvpn	89834	UDPv4 link local (bound): [AF_INET]x.x.x.108
              Jun 12 20:41:50	openvpn	89834	UDPv4 link remote: [AF_INET]y.y.y.6:1234
              Jun 12 20:42:40	openvpn	89834	[UNDEF] Inactivity timeout (--ping-restart), restarting
              Jun 12 20:42:40	openvpn	89834	SIGUSR1[soft,ping-restart] received, process restarting
              Jun 12 20:42:42	openvpn	89834	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
              Jun 12 20:42:42	openvpn	89834	UDPv4 link local (bound): [AF_INET]x.x.x.108
              Jun 12 20:42:42	openvpn	89834	UDPv4 link remote: [AF_INET]y.y.y.6:1234
              

              т.е. ошибок и проблем сертификатов нет, но и соединения тоже
              з.ы. сервер жив и здоров, и с соседней машины с такой же 10.3 бсд радует прекрасной работой

              Т.е. понятно, что где то ошибка в настройках аутентификации. Но вот где..

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще

                Хм, а не ifconfig 10.0.0.9 10.0.0.10 должно ли быть ? Т.е. сперва адрес удаленный , а затем - свой.

                1 Reply Last reply Reply Quote 0
                • P
                  pumbey
                  last edited by

                  @werter:

                  ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще

                  Хм, а не ifconfig 10.0.0.9 10.0.0.10 должно ли быть ? Т.е. сперва адрес удаленный , а затем - свой.

                  Разницы экспериментально не появляется.
                  А самое главное, в логе не появляется ошибок на эту тему.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    Разницы экспериментально не появляется.
                    А самое главное, в логе не появляется ошибок на эту тему.

                    В настройках сервера и клиента в конце добавить\изменить verb 7

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.