Ki szeretnék építeni egy openvpn tunnelt a notim és az egyik mikrotik router között. A kövezkezőket már megtettem, ennyire jutottam:
- Regeltem a CA-cert-en
- Megcsináltam a mikrotikben a szervert
- Próbálnék csatlakozni linux-al (Fedora 8, Network manager) --> Ez nem megy !!!
- Csatlakozok egy másik routerral, ott megy minden.
Ha a kliens linux akkor valami CAcert fájt akar tőlem, ide megadtam azt amit a CA-cert vissza generált válaszként, de nem csatlakozik akkor sem.
Ezt kapom rá:
Dec 9 15:22:03 deszka nm-openvpn[9693]: VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /CN=xxxxxxxxxx.changeip.net
Viszont ha routerrel kapcsolódok akkor egy fél certifikációt sem kell rátöltenem, egyszerüen működik a dolog a host, user, pass megadásával.
Honnan szedjem neki azt a hiányzó fájt?
- 3092 megtekintés
Hozzászólások
up+, egy kicsitkét fontos lenne.... szeretnék már kapcsolódni :)
Bármi ötlet, megoldás jöhet, bármit megpróbálok.
- A hozzászóláshoz be kell jelentkezni
mikrotikhez nem értek, de emlékszem itt a fórumon írták, hogy csak tcp tunnelt tud kialakítani (proto tcp).
de úgy látom nem vagy képben, hogy mi kell a tanúsítványos megoldáshoz: CA tanúsítvány kell szerverre-kliensre, és kell saját cert. és kulcs a szervernek, meg a kliensnek (ezt fel is kell oda másolni).
egyszerűbb lenne először pre-shared key-jel próbálkozni.
- A hozzászóláshoz be kell jelentkezni
Szerintem neked a kliens oldalon nincs, vagy nem jó helyen keresi a ca.crt-t
Nekem is voltak gondjaim, ezért úgy teszteltem, hogy egy már működő szerver configját importáltam.
Viszont pár érdekes dologra nem találtam magyarázatot. A kapcsolat csak akkor épül fel, ha a szerver-kliens IP-nek x.x.x.1 x.x.x.2 -t adok. Bármely más IP-nél netmask hibákkal elszállt. Ha a kapcsolat felépült, nem tudtam routolni, valószínűleg mert nem tud push route optionst a klienseknek. (kézzel kellett megoldani).
- A hozzászóláshoz be kell jelentkezni
Egyszerre irok mindkettőtöknek, mert kb. ua. lenne a mondandóm.
A tcp az ok, ezt tudom, és tcp szerint megy a dolog.
Látom a router logjában hogy hogy "betárcsázás" történik, majd bontja a kapcsolatot. DE ha másik routerral kapcsolódok akkor rendesen fellép, a másik router nem kapott tőlem semmilyen extra fájt, egyszerüen csak beállítottam a host,user,pass dolgokat és hogy openvpn és már megy is.
Hová tegyem és honnan vegyem a ca.crt-t???
Ahogy én csináltam: Regeltem a CAcert.org-on majd oda feltöltöttem a router által generált tanusitványt, amire az adott egy választanusitványt. Ez kellett a "szerver" routerba hogy létrehozza a openvpn szervert. A "kliens" router-ba semmit nem tettem és működik. PC-n a jelszavon és felhasználóneven kivül valami ca.crt-t is kér
- A hozzászóláshoz be kell jelentkezni
Egyszerüen nem igaz!!!! Nem csak az openvpn nem akar összejönni, de kipróbáltam pptp-vel is és semmi csatalakozási szándék. Annyi van itt előrébb hogy beazonosít és ad is címet, de megfagyasztja a hálózati adatforgalmat, és a rendszerfigyelőben feltolja a terhelést a hálózaton.
Mindjárt felülök a 7-esre és kimegyek a routerhez, majd megbeszélem vele a dolgokat egy kalapács társaságában.
A legjobb a dologban hogy pl. a pptp-s kapcsolat régebben ment.
A ca.cert akkor sincs meg a routeren, ha PC-vel generáltam certifikációt azt meg nem fogadta el a router.
+
- A hozzászóláshoz be kell jelentkezni
A pptp tökéletesen megy nálam is.
Amikor importálod a certeket, csak 1 jön létre a Certificates alatt, és "KR" van a sor elején ha jól sikerült. (lehet nem mindegy a sorrend az importálásnál)
Esetleg próbálj upgradelni....
- A hozzászóláshoz be kell jelentkezni
Megvan a KR-es certifikáció és el is indul vele a szerver
- A hozzászóláshoz be kell jelentkezni
En kb egy fel eve ez alapjan csinaltam, eleg sok barkacsolas utan mukodott is a dolog. Viszont szemelyes tapasztalatom alapjan wifizesen kivul masra nem feltetlen tokeletes, pl tuzfal szabalyokat neha elfelejtette ervenyesiteni,nem akart adslre kapcsolodni csak miutan 3x ujrainditottad es kettot tapsoltal meg hasonlo trukkok.Voltak dolgok amik asztalon osszerakva mentek, majd mire felszereltuk oket a helyukre akkor mar nem akart mukodni, ugy hogy semmi nem lett valtoztatva...
- A hozzászóláshoz be kell jelentkezni
Ennél kicsit jobbak a tapasztalataim. (szerencsére)
Köszi a linket, kipróbálom.
- A hozzászóláshoz be kell jelentkezni
Ha kitudnád próbálni a linkben található how-to-t és működne is akkor lehet előrébb lennék hogy most hol a baj, a gépemben, vagy a mikrotik nem enged be.
- A hozzászóláshoz be kell jelentkezni
Kipróbáltam.... már legalább a cerifikációt be tudom neki adni de semmi egyéb nem történt, nem csatlakozik fel :(
Mikrotiken:
18:28:13 ovpn,info TCP connection established from 91.120.170.xxx
18:28:19 ovpn,info TCP connection established from 91.120.170.xxx
18:28:25 ovpn,info TCP connection established from 91.120.170.xxx
18:28:31 ovpn,info TCP connection established from 91.120.170.xxx
Fedoran:
[root@deszka ovpn]# /usr/sbin/openvpn --config client.ovpn
Thu Dec 11 18:31:40 2008 OpenVPN 2.1_rc8 i386-redhat-linux-gnu [SSL] [LZO2] [EPOLL] built on Jun 14 2008
Thu Dec 11 18:31:40 2008 WARNING: file 'auth.cfg' is group or others accessible
Thu Dec 11 18:31:40 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Dec 11 18:31:40 2008 WARNING: file 'client1.key' is group or others accessible
Thu Dec 11 18:31:40 2008 Control Channel MTU parms [ L:1559 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Dec 11 18:31:40 2008 Data Channel MTU parms [ L:1559 D:1450 EF:59 EB:4 ET:0 EL:0 ]
Thu Dec 11 18:31:40 2008 Local Options hash (VER=V4): '5cb3f8dc'
Thu Dec 11 18:31:40 2008 Expected Remote Options hash (VER=V4): '898ae6c6'
Thu Dec 11 18:31:40 2008 Attempting to establish TCP connection with 81.182.25.xxx:1194 [nonblock]
Thu Dec 11 18:31:41 2008 TCP connection established with 81.182.25.xxx:1194
Thu Dec 11 18:31:41 2008 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Dec 11 18:31:41 2008 TCPv4_CLIENT link local: [undef]
Thu Dec 11 18:31:41 2008 TCPv4_CLIENT link remote: 81.182.25.xxx:1194
Thu Dec 11 18:31:41 2008 Connection reset, restarting [0]
Thu Dec 11 18:31:41 2008 TCP/UDP: Closing socket
Thu Dec 11 18:31:41 2008 SIGUSR1[soft,connection-reset] received, process restarting
Thu Dec 11 18:31:41 2008 Restart pause, 5 second(s)
- A hozzászóláshoz be kell jelentkezni
A linkben szereplőt még nem próbáltam. Nekem nem is a connectel volt problémám, hanem inkább utána. A kapcsolódás létrejön, és stabil.
Nálam így néz ki a client config:
client
remote 91.82.X.X
port 1194
proto tcp-client
ca d:\\progra~1\\openvpn\\config\\ca.crt
cert d:\\progra~1\\openvpn\\config\\client1.crt
key d:\\progra~1\\openvpn\\config\\client1.key
dev tun
comp-lzo
verb 3
mute 10
ns-cert-type server
persist-key
persist-tun
auth-user-pass
A mikrotik oldalon semmi különös, a Mode: IP -vel megy ethernetel nem.
Secrets és a Profile beállítása után már a kapcsolat is felépül.
- A hozzászóláshoz be kell jelentkezni
tudsz adni olyan cmíet, kulcsot, passt, stb... amivel tehetnék egy próbát?
Kezdek gyanakodni hogy itt nálam lesz valami probléma a rendszerben.
Nálad igy elsőre az lehet a probléma hogy "comp-lzo" ezt szedd ki belőle. Nem tud a mikrotik tömöritést.
- A hozzászóláshoz be kell jelentkezni
Nincs plussz eszközöm, az élesre (gondolom megérted) nem.
- A hozzászóláshoz be kell jelentkezni
Én sem engednék senkit az élesre.... :D természetes
Olyan már volt nekem is hogy irta hogy dialing... majd ott bontott. Mostmár eddig se jut el.
- A hozzászóláshoz be kell jelentkezni