OPENVPN pfsense 2.0 error reading pck12
-
Здравствуйте!
Пытаюсь настроить OPENVPN.
Сознаю сертифкат сервера на компе с WinXP, затем cоздаю Openvpn сервер c помощью визарда. Добавляю нового пользователя, указываю ему сертификат сервера. Далее экспортирую конфигурацию(ClientExport), однако при попытке подключения получаю ошибку. вывод OPENVPN GUI:Wed Jan 26 17:30:19 2011 OpenVPN 2.1.3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Aug 20 2010 Wed Jan 26 17:30:23 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Wed Jan 26 17:30:23 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Wed Jan 26 17:30:23 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Wed Jan 26 17:30:23 2011 Error reading PKCS#12 file pfsense-udp-1194.p12: error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long Wed Jan 26 17:30:23 2011 Exiting
Как решить данную проблему?
-
Думаю
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
и как следствие
Error reading PKCS#12 file pfsense-udp-1194.p12: error:0D07207B:asn1 encoding routines:ASN1_get_object:header too longПосмотрите ветку форума про OpenVPN там вроде что-то было и вот тут еще http://forum.pfsense.org/index.php/board,49.0.html
-
Спасибо за правильное место для поиска. Все настроил.
-
AlexS
опиши народу на русском :) вдруг кто столкнется :)
спасибо -
В принципе там все просто. :)
Я просто по новой сгенерировал сертификаты и все заработало.
1 . Создаем сертификат:
System-> Cert Manager ->add ot import caDescriptive Name sever(имя сертификата)
Method = Create an internal Certificate Authority
Key Length = 2048 bits
lifetime = 3650 days
Distinguished Name
Country Code RU
State or province (название области)
City (город )
Organisation (название организации)
email Address (адрес почтовый)
common name (имя )
Нажимаем на Сохранение.2. Открываем вкладку Certificates
нажимаем на крестик добавления нового сертификатаDescriptive name (имя сертификата)
Method Create an internal certificate
Certificate authority выбираем сертификат server(его мы создали на первом этапе)
keylength 2048 bits
lifetime 3650 Days
Distinguished name
Country Code RU
State or province (область)
City (город)
Organisation (организация)
email Address (адрес)
common name internal-ca (любое имя)Сохраняем
You can see two down arrows one is the certificate and other is the key. download them both.3.Создаем VPN тунель.
ВЫбираем OpenVPN в табе VPN.Добавляем новый.Server Mode Remote Access SSL/TSL
Protocol UDP
Interface WAN
Local Port 1194
DescriptionTLS Authentication снимаем галочку
Peer Certification authority server (здесь сертификат из 1 шага)
Server Certificate (сертификат из 2 шага)
DH Parameters 1024 Bits
Enryption Algorithm BF-CBC (128 Bits) (Можновыбрать лююой другой)
Tunnel Network 10.7.12.0/24 (Здесь указываем ip, которые будут выдаваться клиентам)
Local Network (Здесь указываем LAN)
Compressio Ставим галку Compress tunnelpackets using LZO algorithm
Address Pool check on Provide a virtual adapter IP address to clients оставляем не установленной
Сохраняем4. Добавляем правила в Firewall
Firewall-> Rules->WAN
Добавляем правило
Action Pass
Interface WAN
Protocol UDP
Source any
Destination any
Destination Port Range Select From OpenVPN to OpenVPN(Либо указываем порты которые используем для OPENVPN)
DescriptionСохраняем.
В принципе все. Сервер настроен. Теперь нужно настроить клиента.
Есть два варианта:
1. Поставить пакет OpenVPN Client Export Utility.
1.1. Добавляем нового пользователяSystem->User Manager->Нажимаем добавить пользователя
Username alex(или любое другое)
password whatever
full name
expiration date
group membership выбираем админ и нажимаем стрелку вправо
сохраняем.1.2. Создаем сертификат для пользователя
User Certificates Нажимаем добавить
Descriptive Name alex
Certificate Authority server (Такое же имя как в шаге 1)
keylength 2048 Bits
Lifetime 3650 DaysСохраняем.
1.3 Во вкладке Client Export, получить много разных вариантов для экспорта сертификата.2. В ручную установить OPenVPN и создать конфигурацию в папке C:\Program Files\OpenVPN\config
2.1 Копируем из вкладки System-> Cert Manager crt сертификат сервера запоминаем его название
2.2 Копируем из вкладки Certificate crt и key файлы сервера запоминаем их названия.в блокноте создаем файл server.ovpn
И вставляем в него(без ####):
####
client
dev tun
proto udp
remote x.x.x.x 1194 #(X.x.x.x публичный ip Pfsense2.0)
ping 10
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt #(имя сертификата сервера в шаге 2.1)
cert server.crt #(имя сертификата в шаге 2.2)
key server.key #(имя сертификата в шаге 2.2)
comp-lzo
pull
verb
#############Сохраняем файл. Все теперь можно подключаться.
-
В FAQ http://forum.pfsense.org/index.php/topic,22839.msg117446.html#msg117446
-
И на wiki запостил бы тогда уж.
-