Ki szeretnék építeni egy openvpn tunnelt a notim és az egyik mikrotik router között. A kövezkezőket már megtettem, ennyire jutottam:
- Regeltem a CA-cert-en
- Megcsináltam a mikrotikben a szervert
- Próbálnék csatlakozni linux-al (Fedora 8, Network manager) --> Ez nem megy !!!
- Csatlakozok egy másik routerral, ott megy minden.
Ha a kliens linux akkor valami CAcert fájt akar tőlem, ide megadtam azt amit a CA-cert vissza generált válaszként, de nem csatlakozik akkor sem.
Ezt kapom rá:
Dec 9 15:22:03 deszka nm-openvpn[9693]: VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /CN=xxxxxxxxxx.changeip.net
Viszont ha routerrel kapcsolódok akkor egy fél certifikációt sem kell rátöltenem, egyszerüen működik a dolog a host, user, pass megadásával.
Honnan szedjem neki azt a hiányzó fájt?
Hozzászólások
up+, egy kicsitkét fontos lenne.... szeretnék már kapcsolódni :)
Bármi ötlet, megoldás jöhet, bármit megpróbálok.
mikrotikhez nem értek, de emlékszem itt a fórumon írták, hogy csak tcp tunnelt tud kialakítani (proto tcp).
de úgy látom nem vagy képben, hogy mi kell a tanúsítványos megoldáshoz: CA tanúsítvány kell szerverre-kliensre, és kell saját cert. és kulcs a szervernek, meg a kliensnek (ezt fel is kell oda másolni).
egyszerűbb lenne először pre-shared key-jel próbálkozni.
Szerintem neked a kliens oldalon nincs, vagy nem jó helyen keresi a ca.crt-t
Nekem is voltak gondjaim, ezért úgy teszteltem, hogy egy már működő szerver configját importáltam.
Viszont pár érdekes dologra nem találtam magyarázatot. A kapcsolat csak akkor épül fel, ha a szerver-kliens IP-nek x.x.x.1 x.x.x.2 -t adok. Bármely más IP-nél netmask hibákkal elszállt. Ha a kapcsolat felépült, nem tudtam routolni, valószínűleg mert nem tud push route optionst a klienseknek. (kézzel kellett megoldani).
Egyszerre irok mindkettőtöknek, mert kb. ua. lenne a mondandóm.
A tcp az ok, ezt tudom, és tcp szerint megy a dolog.
Látom a router logjában hogy hogy "betárcsázás" történik, majd bontja a kapcsolatot. DE ha másik routerral kapcsolódok akkor rendesen fellép, a másik router nem kapott tőlem semmilyen extra fájt, egyszerüen csak beállítottam a host,user,pass dolgokat és hogy openvpn és már megy is.
Hová tegyem és honnan vegyem a ca.crt-t???
Ahogy én csináltam: Regeltem a CAcert.org-on majd oda feltöltöttem a router által generált tanusitványt, amire az adott egy választanusitványt. Ez kellett a "szerver" routerba hogy létrehozza a openvpn szervert. A "kliens" router-ba semmit nem tettem és működik. PC-n a jelszavon és felhasználóneven kivül valami ca.crt-t is kér
Egyszerüen nem igaz!!!! Nem csak az openvpn nem akar összejönni, de kipróbáltam pptp-vel is és semmi csatalakozási szándék. Annyi van itt előrébb hogy beazonosít és ad is címet, de megfagyasztja a hálózati adatforgalmat, és a rendszerfigyelőben feltolja a terhelést a hálózaton.
Mindjárt felülök a 7-esre és kimegyek a routerhez, majd megbeszélem vele a dolgokat egy kalapács társaságában.
A legjobb a dologban hogy pl. a pptp-s kapcsolat régebben ment.
A ca.cert akkor sincs meg a routeren, ha PC-vel generáltam certifikációt azt meg nem fogadta el a router.
+
A pptp tökéletesen megy nálam is.
Amikor importálod a certeket, csak 1 jön létre a Certificates alatt, és "KR" van a sor elején ha jól sikerült. (lehet nem mindegy a sorrend az importálásnál)
Esetleg próbálj upgradelni....
Megvan a KR-es certifikáció és el is indul vele a szerver
En kb egy fel eve ez alapjan csinaltam, eleg sok barkacsolas utan mukodott is a dolog. Viszont szemelyes tapasztalatom alapjan wifizesen kivul masra nem feltetlen tokeletes, pl tuzfal szabalyokat neha elfelejtette ervenyesiteni,nem akart adslre kapcsolodni csak miutan 3x ujrainditottad es kettot tapsoltal meg hasonlo trukkok.Voltak dolgok amik asztalon osszerakva mentek, majd mire felszereltuk oket a helyukre akkor mar nem akart mukodni, ugy hogy semmi nem lett valtoztatva...
Ennél kicsit jobbak a tapasztalataim. (szerencsére)
Köszi a linket, kipróbálom.
Ha kitudnád próbálni a linkben található how-to-t és működne is akkor lehet előrébb lennék hogy most hol a baj, a gépemben, vagy a mikrotik nem enged be.
Kipróbáltam.... már legalább a cerifikációt be tudom neki adni de semmi egyéb nem történt, nem csatlakozik fel :(
Mikrotiken:
Fedoran:
A linkben szereplőt még nem próbáltam. Nekem nem is a connectel volt problémám, hanem inkább utána. A kapcsolódás létrejön, és stabil.
Nálam így néz ki a client config:
client
remote 91.82.X.X
port 1194
proto tcp-client
ca d:\\progra~1\\openvpn\\config\\ca.crt
cert d:\\progra~1\\openvpn\\config\\client1.crt
key d:\\progra~1\\openvpn\\config\\client1.key
dev tun
comp-lzo
verb 3
mute 10
ns-cert-type server
persist-key
persist-tun
auth-user-pass
A mikrotik oldalon semmi különös, a Mode: IP -vel megy ethernetel nem.
Secrets és a Profile beállítása után már a kapcsolat is felépül.
tudsz adni olyan cmíet, kulcsot, passt, stb... amivel tehetnék egy próbát?
Kezdek gyanakodni hogy itt nálam lesz valami probléma a rendszerben.
Nálad igy elsőre az lehet a probléma hogy "comp-lzo" ezt szedd ki belőle. Nem tud a mikrotik tömöritést.
Nincs plussz eszközöm, az élesre (gondolom megérted) nem.
Én sem engednék senkit az élesre.... :D természetes
Olyan már volt nekem is hogy irta hogy dialing... majd ott bontott. Mostmár eddig se jut el.