Перенос настроек openvpn



  • Доброго времени.
    Отчаялся перенести конфиг openvpn на pfsense.

    proto udp
    dev tun
    pkcs12 cert.p12
    remote x.x.x.x 1234
    ifconfig 10.0.0.10 10.0.0.9
    keepalive 5 50
    tls-client
    tls-auth ta.key 1
    remote-cert-tls server
    cipher BF-CBC
    pull
    
    

    И если с опциями
    proto udp
    dev tun
    remote x.x.x.x 1234
    ifconfig 10.0.0.10 10.0.0.9
    cipher BF-CBC
    pull - все ясно,
    то вот остальные вгоняют в тоску и отчаяние.
    Очень надеюсь на Ваши советы, т.к. сам перепробовал по-моему все возможные сочетания опций..



  • pkcs12 cert.p12

    pkcs12 cert.p12 -  это , комбинированный файл-контейнер, в котором есть/могут быть:
    ca - certificate authority, cert - ваш сертификат, key - приватный ключ,  и ключ TLS.

    Они нужны для создания клиента OVPN. pfSense, насколько я знаю, с .p12 работать не умеет.

    ca,  cert  и  key  импортируются в System: Certificate Manager в соответствующих пунктах.
    Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

    осталось извлечь все это из pkcs12 cert.p12

    Как -то так:
    http://stackoverflow.com/questions/3549459/extracting-client-certificate-private-key-from-p12-file#3549459
    http://stackoverflow.com/questions/9497719/extract-public-private-key-from-pkcs12-file-for-later-use-in-ssh-pk-authentifica
    https://www.icts.uiowa.edu/confluence/pages/viewpage.action?pageId=32735365
    .p12 может быть защищен паролем.

    Или запросить у владельца сервера ключи и сертификаты в другом виде.



  • @pigbrother:

    pkcs12 cert.p12

    pkcs12 cert.p12 -  это , комбинированный файл-контейнер, в котором есть/могут быть:
    ca - certificate authority, cert - ваш сертификат, key - приватный ключ,  и ключ TLS.

    Они нужны для создания клиента OVPN. pfSense, насколько я знаю, с .p12 работать не умеет.

    ca,  cert  и  key , нужно импортировать в System: Certificate Manager в соответствующих пунктах.
    Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

    осталось извлечь все это из pkcs12 cert.p12
    .p12 может быть защищен паролем.

    Как -то так:
    http://stackoverflow.com/questions/3549459/extracting-client-certificate-private-key-from-p12-file#3549459
    http://stackoverflow.com/questions/9497719/extract-public-private-key-from-pkcs12-file-for-later-use-in-ssh-pk-authentifica
    https://www.icts.uiowa.edu/confluence/pages/viewpage.action?pageId=32735365
    Или запросить у владельца сервера ключи и сертификаты в другом виде.

    Вытащил, был без пароля, обычнм опенссл открыл - и установил. тут проблем нет
    Ключ ta.key не сертификат - вставляется только в openvpn если выбрать тип сервера shared key
    проблема какие настройки выбрать под остальные опции из конфига?

    А то в итоге получаю

    Jun 8 21:51:39	openvpn	94648	TUN/TAP device ovpnc1 exists previously, keep at program end
    Jun 8 21:51:39	openvpn	94648	TUN/TAP device /dev/tun1 opened
    Jun 8 21:51:39	openvpn	94648	ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
    Jun 8 21:51:39	openvpn	94648	do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Jun 8 21:51:39	openvpn	94648	/sbin/ifconfig ovpnc1 10.0.32.10 10.0.32.9 mtu 1500 netmask 255.255.255.255 up
    Jun 8 21:51:39	openvpn	94648	/usr/local/sbin/ovpn-linkup ovpnc1 1500 1544 10.0.32.10 10.0.32.9 init
    Jun 8 21:51:39	openvpn	94648	Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:12 ET:0 EL:3 ]
    Jun 8 21:51:39	openvpn	94648	Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.32.9 10.0.32.10,cipher BF-CBC,auth SHA1,keysize 128,secret'
    Jun 8 21:51:39	openvpn	94648	Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.32.10 10.0.32.9,cipher BF-CBC,auth SHA1,keysize 128,secret'
    Jun 8 21:51:39	openvpn	94648	Local Options hash (VER=V4): '3e6e0c94'
    Jun 8 21:51:39	openvpn	94648	Expected Remote Options hash (VER=V4): '6bc3b03c'
    Jun 8 21:51:39	openvpn	94648	UDPv4 link local (bound): [AF_INET]xx.xxx.xxx.250
    Jun 8 21:51:39	openvpn	94648	UDPv4 link remote: [AF_INET]x.x.x.34:1252
    Jun 8 21:51:41	openvpn	94648	MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
    Jun 8 21:51:41	openvpn	94648	MANAGEMENT: CMD 'state 1'
    Jun 8 21:51:41	openvpn	94648	MANAGEMENT: Client disconnected
    Jun 8 21:52:39	openvpn	94648	Inactivity timeout (--ping-restart), restarting
    

    З.Ы, откуда mtu 1544?



  • Ключ ta.key не сертификат - вставляется только в openvpn если выбрать тип сервера shared key

    Ключ TLS вставляется в поле, появляющееся при создании клиента при снятии галки Automatically generate a shared TLS authentication key.

    Ключ TLS=ta.key

    cipher BF-CBC - выбрать в Encryption algorithm

    ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще
    keepalive 5 50 - аналогично
    tls-client - аналогично
    remote-cert-tls server  -  аналогично

    tls-auth ta.key 1 =  Enable authentication of TLS packets

    В приведенном конфиге также отсутствует директива
    auth - в pfSense задается в Auth Digest Algorithm

    Ну и не ошибиться с выбором
    Peer Certificate Authority
    Client Certificate



  • Вроде разобрался.
    Методом проб и ошибок добился следующего

    
    Jun 12 20:41:50	openvpn	89834	NOTE: the current --script-security setting may allow this configuration to call user-defined scriptsJun 
    12 20:41:50	openvpn	89834	UDPv4 link local (bound): [AF_INET]x.x.x.108
    Jun 12 20:41:50	openvpn	89834	UDPv4 link remote: [AF_INET]y.y.y.6:1234
    Jun 12 20:42:40	openvpn	89834	[UNDEF] Inactivity timeout (--ping-restart), restarting
    Jun 12 20:42:40	openvpn	89834	SIGUSR1[soft,ping-restart] received, process restarting
    Jun 12 20:42:42	openvpn	89834	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Jun 12 20:42:42	openvpn	89834	UDPv4 link local (bound): [AF_INET]x.x.x.108
    Jun 12 20:42:42	openvpn	89834	UDPv4 link remote: [AF_INET]y.y.y.6:1234
    

    т.е. ошибок и проблем сертификатов нет, но и соединения тоже
    з.ы. сервер жив и здоров, и с соседней машины с такой же 10.3 бсд радует прекрасной работой

    Т.е. понятно, что где то ошибка в настройках аутентификации. Но вот где..



  • ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще

    Хм, а не ifconfig 10.0.0.9 10.0.0.10 должно ли быть ? Т.е. сперва адрес удаленный , а затем - свой.



  • @werter:

    ifconfig 10.0.0.10 10.0.0.9 - вписать в Advanced configuration\не использовать вообще

    Хм, а не ifconfig 10.0.0.9 10.0.0.10 должно ли быть ? Т.е. сперва адрес удаленный , а затем - свой.

    Разницы экспериментально не появляется.
    А самое главное, в логе не появляется ошибок на эту тему.



  • Разницы экспериментально не появляется.
    А самое главное, в логе не появляется ошибок на эту тему.

    В настройках сервера и клиента в конце добавить\изменить verb 7


Log in to reply