OPENVPN pfsense 2.0 error reading pck12



  • Здравствуйте!

    Пытаюсь настроить OPENVPN.
    Сознаю сертифкат сервера на компе с WinXP, затем cоздаю Openvpn сервер c помощью визарда. Добавляю нового пользователя, указываю ему сертификат сервера. Далее экспортирую конфигурацию(ClientExport), однако при попытке подключения получаю ошибку. вывод OPENVPN GUI:

    Wed Jan 26 17:30:19 2011 OpenVPN 2.1.3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Aug 20 2010
    Wed Jan 26 17:30:23 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
    Wed Jan 26 17:30:23 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
    Wed Jan 26 17:30:23 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Wed Jan 26 17:30:23 2011 Error reading PKCS#12 file pfsense-udp-1194.p12: error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long
    Wed Jan 26 17:30:23 2011 Exiting
    

    Как решить данную проблему?



  • Думаю
    WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
    и как следствие
    Error reading PKCS#12 file pfsense-udp-1194.p12: error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long

    Посмотрите ветку форума про OpenVPN там вроде что-то было и вот тут еще http://forum.pfsense.org/index.php/board,49.0.html



  • Спасибо за правильное место для поиска. Все настроил.



  • AlexS
    опиши народу на русском :) вдруг кто столкнется :)
    спасибо



  • В принципе там все просто. :)
    Я просто по новой сгенерировал сертификаты и все заработало.
    1 . Создаем сертификат:
      System-> Cert Manager ->add ot import ca

    Descriptive Name   sever(имя сертификата)
           Method =  Create an internal Certificate Authority
           Key Length = 2048 bits
      lifetime = 3650 days
      Distinguished Name
               Country Code  RU
               State or province (название области)
               City (город )
               Organisation (название организации)
               email Address (адрес почтовый)
               common name (имя )
         Нажимаем на Сохранение.

    2. Открываем вкладку Certificates
    нажимаем на крестик добавления нового сертификата

    Descriptive name (имя сертификата)
      Method Create an internal certificate
      Certificate authority выбираем сертификат server(его мы создали на первом этапе)
      keylength 2048 bits
      lifetime 3650 Days
      Distinguished name
               Country Code  RU
               State or province (область)
               City (город)
               Organisation (организация)
               email Address (адрес)
               common name internal-ca (любое имя)

    Сохраняем
      You can see two down arrows one is the certificate and other is the key. download them both.

    3.Создаем VPN тунель.
      ВЫбираем OpenVPN в табе VPN.Добавляем новый.

    Server Mode Remote Access SSL/TSL
      Protocol UDP
      Interface WAN
      Local Port 1194
      Description

    TLS Authentication снимаем галочку
      Peer Certification authority server (здесь сертификат из 1 шага)
      Server Certificate (сертификат из 2 шага)
      DH Parameters 1024 Bits
      Enryption Algorithm BF-CBC (128 Bits) (Можновыбрать лююой другой)
      Tunnel Network 10.7.12.0/24 (Здесь указываем ip, которые будут выдаваться клиентам)
      Local Network (Здесь указываем LAN)
      Compressio Ставим галку  Compress tunnelpackets using LZO algorithm
      Address Pool check on Provide a virtual adapter IP address to clients оставляем не установленной
        Сохраняем

    4. Добавляем правила в Firewall
      Firewall-> Rules->WAN
    Добавляем правило
      Action Pass
      Interface WAN
      Protocol UDP
      Source any
      Destination any
      Destination Port Range Select From OpenVPN to OpenVPN(Либо указываем порты которые используем для OPENVPN)
      Description

    Сохраняем.

    В принципе все. Сервер настроен. Теперь нужно настроить клиента.
    Есть два варианта:
    1. Поставить пакет OpenVPN Client Export Utility.
    1.1. Добавляем нового пользователя

    System->User Manager->Нажимаем добавить пользователя

    Username alex(или любое другое)
      password whatever
      full name  
      expiration date  
      group membership выбираем админ и нажимаем стрелку вправо
      сохраняем.

    1.2. Создаем сертификат для пользователя

    User Certificates Нажимаем добавить

    Descriptive Name alex
      Certificate Authority server (Такое же имя как в шаге 1)
      keylength 2048 Bits
      Lifetime 3650 Days

    Сохраняем.
     1.3 Во вкладке Client Export, получить много разных вариантов для экспорта сертификата.

    2. В ручную установить OPenVPN и создать конфигурацию в папке  C:\Program Files\OpenVPN\config
    2.1 Копируем из вкладки  System-> Cert Manager  crt сертификат сервера запоминаем его название
    2.2 Копируем из вкладки  Certificate  crt и key файлы сервера запоминаем их названия.

    в блокноте создаем файл server.ovpn
    И вставляем в него(без ####):
     ####
      client
      dev tun
      proto udp
      remote x.x.x.x 1194   #(X.x.x.x публичный ip Pfsense2.0)
      ping 10
      resolv-retry infinite
      nobind
      persist-key
      persist-tun
      ca ca.crt   #(имя сертификата сервера в шаге 2.1)
      cert server.crt #(имя сертификата в шаге 2.2)
      key server.key #(имя сертификата в шаге 2.2)
      comp-lzo
      pull
      verb
    #############

    Сохраняем  файл. Все теперь можно подключаться.





  • И на wiki запостил бы тогда уж.



  • @Evgeny:

    И на wiki запостил бы тогда уж.

    Точно, и туда тоже нужно.


Locked