OpenVPN - nastavení - certifikáty atd...

[chinook]

toto je moje konfigurace na serveru
dev tun
local IP SERVERU
port 1194
proto udp

push "route 192.168.1.0 255.255.255.0 10.8.0.1"

push "route 10.8.0.1"
push "dhcp-option DNS 81.27.192.33"
push "dhcp-option WINS 81.27.192.97"
push "redirect-gateway"

ca /etc/openvpn/ca.crt
cert /etc/openvpn/debian.crt
key /etc/openvpn/debian.key
dh /etc/openvpn/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

log-append /etc/openvpn/log

status /etc/openvpn/log/vpn.status 10

comp-lzo
#keepalive 10 120
persist-tun
persist-key
verb 3



toto klienta

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.

client
# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun


# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote IP SERVERU 1194
;remote my-server-2 1194


# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Try to preserve some state across restarts.
persist-key
persist-tun


# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client1.crt
key client1.key


# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

Pokud chces mohu ti vygenerovat i certifikaty

[TiMEoS]

Pokud chces mohu ti vygenerovat i certifikaty

heh no tak toto berem ako dobry vtip
potom sa ho uz len mozes spytat na ip adresu servera

[chinook]

heh no tak toto berem ako dobry vtip
potom sa ho uz len mozes spytat na ip adresu servera

Jen by si vyzkousel ze mu to chodi a pak certifikaty samozrejme zmenil. Chtit je nemusi ne? Jen jsem se nabidl

[svaca]

A proc to nejdrive nevyzkousis bez certifikatu
Abys mel jistotu, e je chyba tam ....

Zapis vypada celkem rozume ....

Co vypisuje log ?

[PCborec]

potřeboval bych poradit s nastavenim.
připojení na net mám přes ADSL, s veřejnou IP. to mám připojené do switche a v siti mam jedno PC které je jako "server", je tam win XP. slouzi k filtrovani posty (kerio), zalohuje data z disku d: ktere jsou sdilene na disk e:, neni to raid nevim jak to funguje.. a je tam mysql pro učetnictvi. Chtěl bych se přes VPN připojit přes internet do sitě, abych se dostal k databazi a mohl pracovat z venku, take abych přes vzdalenou plochu nebo VNC mohl spravovat server.

asi VPN server. v prvni řadě budu muset přesměrovat asi na tom adsl modemu veřejnou ip na ten muj server. na jakem portu VPN běži? na adsl modemu je router.

dale co mam všechno nainstalovat na serveru ? nepomohl by mi někdo nastavit config soubor u openVPN?

[PCborec]

tak sem našel navod tady a podle toho jsem to zkusil:
http://www.itsatechworld.com/2006/01...igure-openvpn/

je tam vygenerovani certifikatu ktere se mi asi povedlo, pak jsou tam ke stahnuti konfiguračni soubory pro server a pro klienty.. pokud sem to dobře pochopil tak stači jenom upravit IP serveru a DSN, ktere mužou byt jakekoliv ne?

tady je chyba kterou mi to vypise:
Mon Jan 15 08:27:03 2007 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2
005
Mon Jan 15 08:27:03 2007 Cannot load certificate file C:\Program Files\OpenVPN\e
asy-rsa\keys\server.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line:
error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Mon Jan 15 08:27:03 2007 Exiting
Press any key to continue...


soubor server.crt se mi ve složce C:\Program Files\OpenVPN\e
asy-rsa\keys\ vytvořil tak nevím v čem je problem.

[monsoon]

No asi by to chtelo vice informaci.
Vypada to na chybu v certifiaktech, co je vubec v tom souboru, neni prazdny? Je to ten spravny crt ke klici ? Mozna by se hodily konfiguraky.

Pro inspiraci ti muzu hodit moje.

Server:

Kód:

monsoon@debian:~$ cat /etc/openvpn/private.conf
mode server
tls-server
dev tap0
ifconfig 192.168.124.124 255.255.255.0
ifconfig-pool 192.168.124.125 192.168.124.140 255.255.255.0
ifconfig-pool-persist ipp.txt

cipher AES-256-CBC

crl-verify /etc/openvpn/private/crl.pem

ca /etc/openvpn/private/ca.crt
cert /etc/openvpn/private/server.crt
key /etc/openvpn/private/server.key
dh /etc/openvpn/private/dh2048.pem

log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10

user openvpn
group openvpn
comp-lzo
verb 3

keepalive 10 120

Client:

Kód:

remote monsoon.no-ip.com
tls-client
dev tap
pull
nobind
route 192.168.123.0 255.255.255.0 192.168.124.124 50

cipher AES-256-CBC

ca ca.crt
cert monsoon_ntb.crt
key monsoon_ntb.key

comp-lzo
verb 3
ns-cert-type server