Szia!
Eljött az idő új telefonra cserélni a régit. Az új egy samu A53, android 12-vel. Eddig mindent mobilon is elértem - otthoni dolgot, pl. házautomatizálás, stb. - openvpn-en keresztül.
Nagy naivan azt hittem, felteszem az openvpn-t, certeket a mobilra - ahogy eddig simán ment - és ok.
Hát nem tudok kapcsolódni :( Az openvpn szervert egy mikrotik rb4011 adja.
Napok óta túrom a netet, csináltam már pkcs12 "mindent egybe" file-t, de semmi.
Legutolsó üzi a teló openvpn-jétől: "Select Certificate This profile doesn't include a client certificate..."
Ezzel hoztam létre a p12 file-t: (a HA server debianján)
openssl pkcs12 -export -in mobil.crt -inkey mobil.key -certfile ca.crt -name Mobil -out my-vpn.p12
openvpn kliens konfig:
#Template client.ovpnclient
client
dev tun
proto tcp-client
remote x.x.org
port 1194
ifconfig 192.168.3.244 192.168.3.1
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
redirect-gateway def1
<ca>
ca.crt
</ca>
<pkcs12>
my-vpn.p12
</pkcs12>
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
<auth-user-pass>
mobil
xxxxx
</auth-user-pass>
auth-nocache
Tanácstalan vagyok.
Roland
- 354 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
Ugye a "ca.crt" helyén a fájl tartalma van a konfigban? Mert oda az köll... Illetve a pkcs12 helyett pem, és key meg cert tagek közé a key meg a cert fájl tartalma...
- A hozzászóláshoz be kell jelentkezni
Bocs, azt a sok hibaüzenet miatt bennmaradt a <ca> rész. Ha van p12, akkor nem is kell, de akkor azt is hiányolja...
- A hozzászóláshoz be kell jelentkezni
Igen!
Eredetileg ez volt:
#Template client.ovpnclient
client
dev tun
proto tcp-client
remote x.y.z
port 1194
ifconfig 192.168.3.244 192.168.3.1
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca ca.crt
cert mobil.crt
key mobil.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret.key
auth-nocache
- A hozzászóláshoz be kell jelentkezni
Úgy értve hogy a file tartalma legyen a <ca> </ca> között. A ---- begin certificate ---- stb
- A hozzászóláshoz be kell jelentkezni
újra összemádolva egybe, eredeti hibát kaptam:
"There was an error attempting to connect to the selected server."
Error message: X509::parse_pem:
error in cert:: error:0909006C:PEM
routines:get_name:no start line
- A hozzászóláshoz be kell jelentkezni
Biztos, hogy jo a kulcs formatuma? Mi az elso 2 sor? Benne van a start jel?
- A hozzászóláshoz be kell jelentkezni
Esetleg bináris a file? Vagy lemaradt az elejéről a - BEGIN CERTIFICATE - ?
Szerk: esetleg komment van a fájl elején, és a kici olcó szoftver nem bír vele? (Pl. Java5-ös keytool csinál ilyet.)
- A hozzászóláshoz be kell jelentkezni
Elmaradt ----- tag-ekkel kibővítve új hiba:
"There was an error attempting to connect selected server.
Error message: PKey::parse_pem: error in private key::
error: 0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong
tag /error:1D0603A:as1 encoding routines:asn1_d2i_ex_primitive:nested
asn1 error / error:0D08303A:asn1 encoding routines:..."
- A hozzászóláshoz be kell jelentkezni
Szerintem a tanúsítványok nem jó formátumúak a hibaüzenetek alapján. Általában nem kell pkcs12 formátum, az OpenVPN jól elvan a pem kiterjesztésű szöveges formátummal. Nekem semmi gondom OpenVPN-nel Android 12 verzión (úgy, hogy eredetileg Android 9 volt a teló új korában, onnan frissült évente - sose volt gond az OpenVPN-nel).
Én úgy csinálom, hogy az OVPN állományba beteszem a <ca></ca>, <cert></cert> és a <key></key> tag-ek közé a megfelelő (szöveges, pem formátumú) állományok tartalmát, és csak az ovpn-t importálom mindenhol (telefonon is). Fontos, hogy a BEGIN-END sorok a pem részei, azokat nem szabad legyni egyik szakasznál sem.
Ha aggályos neked így, akkor a kulcs lehet jelszavazott is, és akkor azt meg kell adni a kliensben csatlakozáskor a kulcs feloldásához. Nekem nem jelszavas, a kényelmet jobban szeretem és igyekszem nem elhagyni a telót.
- A hozzászóláshoz be kell jelentkezni
Köszönöm!
Eddig nekem sem volt bajom, csak ez az samu A53...
Én is összemásoltam egybe, ekkor jött a hosszú hibaüzi...
Nem fontos a pw...
- A hozzászóláshoz be kell jelentkezni
Na akkor mégegyszer... Az összemásolt fájl _ugye_ úgy néz ki, hogy:
...
<ca>
-----BEGIN CERTIFICATE-----
asdqweh5VQBiY2XibDvBmolasdfqwerutSaZIMVJiu4r6DNiUbGyRpq3oaNB6dkL
...
HZjYORyDasdt1hQ=
-----END CERTIFICATE-----
</ca>
<cert>
asdGWSC6fFeMrSU0+P80T25W0dQffi/Zm7jKqwerasdf5l6cuA8MzB7va3O9ZASi
...
rttzUORyhgfdt1hQ=
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
asden8zf7OiMzv0CuNkROUhZnFsjHqvLO15xhR7J1ApySmC2c39cq7R+1Jj7TK95
...
oZN4yxcvFdasWevc7lqwer==
-----END PRIVATE KEY-----
</key>
...
Igen, a begin/end sorokban a kötőjelek és a szóközök is fontosak.
- A hozzászóláshoz be kell jelentkezni
Igen!
Egy másik userrel is megcsináltam- azzal jó! Fene se érti. Évek óta a régit használtam.
Valszeg másik szál, VPN alatt az androidos mikrotik app nem megy csak connecting örökké...
De jó, egymás után jönnek - informatikai ezirányú tudásom híjján...
- A hozzászóláshoz be kell jelentkezni
Ha nem kapcsolódik élő VPN mellett valami, akkor valószínű route hiba (a route hiánya) lesz.
Mivel írod, hogy az OpenVPN szerver egy Mikrotik eszköz, ezért biztos, hogy a szerver nem tudja push-olni a route-okat a kliens felé (ezt nem tudja a MT OVPN megvalósítása jelenleg), így vagy a kliens konfigba kell felvenned a route-ok konfigját, vagy egyéb módon (kézzel pl.) kell konfigurálni a kliensen az route-okat. Én a kliens konfigba való felvételt javaslom.
- A hozzászóláshoz be kell jelentkezni
Köszönöm!
Húha, nem értem...
kliens konfigba: route ...?
- A hozzászóláshoz be kell jelentkezni
"a szerver nem tudja push-olni a route-okat a kliens felé (ezt nem tudja a MT OVPN megvalósítása jelenleg)" - Ez komoly? Azért ez gáz... Nem is kicsit...
- A hozzászóláshoz be kell jelentkezni