OpenVPN konfiguracia

Snazim sa rozbehat OpenVPN na Gentoo a nechapem par veci v konfiguraku, su to tieto riadky:

ifconfig 10.0.1.100 255.255.255.0

ca /etc/openvpn/cacert.pem
cert /etc/openvpn/vpn.crt
key /etc/openvpn/vpn.key
dh /etc/openvpn/dh1024.pem

V riadku s ifconfigom uvadzam uz fungujucu IP adresu mojho eth0 rozhrania, alebo to ma byt ina adresa pre TAP rozhranie - hoci funguje cey eth0?

Certifikaty som podla manualu vytvoril takto:

openssl req -new -x509 -nodes -out cert.pem -keyout key.pem
openssl dhparam -out dh1024.pem 1024

Ak potom premenujem v sulade s konfigurakom cert.pem na vpn.crt a key.pem na vpn.key, bude to v poriadku?

No a moj hlavny problem pride teraz: Skade naberiem ten cacert.pem v prvom riadku certifikatov??

Odpovědi

se zdrojakama openvpn dostanes i adresar s hromadkou easy-rsa skriptu a readme, kde je presny postup pro grnerovani vsech potrebnych SSL vysmyslu pro openvnp, jeho pouziti je velmi jednoduche, je to v readme popsane krok za krokem

-- Nezdar není hanbou, hanbou je strach z pokusu.

4.11.2004 10:33 blacksun | skóre: 7
Rozbalit Rozbalit vše Re: OpenVPN konfiguracia

OpenVPN som nainstaloval prikazom emerge, pomocou find som ziadny easy-rsa adresar nenasiel a preto sa pytam ze ako na to ...

4.11.2004 10:54 Marek | skóre: 21
Rozbalit Rozbalit vše Re: OpenVPN konfiguracia

Tak si stahni zdrojaky k OpenVPN, tam to je, ale kdyz si nechas na www.root.cz prohledat OpenSSL, tak se vysledku doberes taky, byt ne primo pro OpenVPN ale je tam postup jak zprovoznit certifikat a jak je vygenerovat, proste takove vstupni/prakticke info do sifrovani.

4.11.2004 14:11 Peter Krizan
Rozbalit Rozbalit vše Re: OpenVPN konfiguracia

Asi si naozaj osobitne stiahnem aj tie zdrojaky, lebo z clanku na root.cz som uz tahal rozumy na tie horeuvedene prikazy, pre tento specialny pripad je to vsak aj tak malo. Dik.

4.11.2004 14:46 Marek | skóre: 21
Rozbalit Rozbalit vše Re: OpenVPN konfiguracia

Generování certifikátu CA Nejprve vytvoříme adresář pro certifikační autoritu (viz konfigurace výše, například /etc/ssl/demoCA). V něm vytvoříme potřebné podadreasáře (certs crl newcerts private). Vytvoříme prázdný soubor index.txt (touch index.txt) a soubor serial s obsahem 01: echo 01 >/etc/ssl/demoCA/serial Dále si vygenerujeme certifikát samotné certifikační autority. Bude to certifikát podepsaný sám sebou, uděláme to podobně jako v příkladu výše: openssl req -new -x509 -nodes -out cacert.pem -keyout cakey.pem -days 1098 Jako Common Name zadejte třeba Certifikační autorita.
Počet dní můžete klidně i zvýšit, ať nemusíte certifikát každé tři roky měnit Soubory umístěte tam, kde mají být (certifikát v /etc/ssl/demoCA, klíč v /etc/ssl/demoCA/private). Klíč pro jistotu ochraňte proti čtení ostatními uživateli (chmod 400 cakey.pem).

Cituji s root.cz, je tam i generovani certifikatu certifikacni autority.

Mam stejny problem, pokousel jsem se vygenerovat certifikaty dle predpripravenych scriptu z EASY_RSA, bohuzel na Slackware 9.1 scripty nefunguji. Stale chce definovat adresar a s klicema atd. POkusil jsem se tedy postupovat dle navodu z Rootu, tam ovsem neni popsano (pro me jako laika) ktery klic je vlastne ten spravny. nebylo by od veci kdyby nekdo napsal jak se dostat k certifikatum, klicum atd.

Je to takto spravne?

- ca /etc/openvpn/cacert.pem
--> openssl req -new -x509 -nodes -out cacert.pem -keyout cakey.pem -days 1098
-cert /etc/openvpn/vpn.crt
-key /etc/openvpn/vpn.key
--> openssl req -new -x509 -nodes -out vpn.crt -keyout vpn.key
-dh /etc/openvpn/dh1024.pem
--> penssl dhparam -out dh1024.pem 1024

.:: www.lowprize.info ::.

8.1.2005 09:01 ttt
Rozbalit Rozbalit vše Re: OpenVPN konfiguracia

Pred casem jsem to resil taky tak si zkusim vzpomenout :) (mam patchovaneho slacka 9.1).

1. Vygenerovat cerifikaty a klice po vzoru scriptu build-key (tady si uz nejsem uplne jist, srovnej s clankem na rootu o openssl)

2. zkontrolovat soubor /etc/ssl/openssl.cnf - cesty musi ukazovat na spravne, v (1) vygenerovane soubory. Vytvorit pomocne soubory (viz clanek root)

3. generovat certifikaty a klice podle scriptu build.key

V konfiguracnim souboru openvpn potom napr bude:

ca ca.crt (viz. 1)

cert client.crt (viz. 3)

key client.key (viz. 3)

Diffie Helman parameter (potrebne pro server) je jasny.

8.1.2005 09:34 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: OpenVPN konfiguracia

Já certifikáty (pro klienty, server) tvořím za pomoci následujících příkazů (certifikační autoritu už mám):

openssl req -new -nodes -out request.pem -keyout key.pem -days 1096
openssl ca -in request.pem -out cert.pem

Jinak ty parametry dh se vygenerujou jen jednou.

I cesta může být cíl.

Predem se omlouvam, ze vyuzivam tohoto threadu pro svuj vlastni dotaz.

Potreboval bych zajistit u openvpn v rezimu client/server aby server prideloval jednotlivym klientum pevne zvolene IP. Zatim to funguje tak, ze server prideluje IP z mnoziny jemu prirazenych IP adres a to nejspis v poradi jak se klienti prihlasujou

8.1.2005 09:23 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: OpenVPN konfiguracia

Tohohle se dá docílit tím, že se při přihlášení server podívá na Common Name uvedené v certifikátu klienta a pak za pomoci konfigurační volby client-config-dir /etc/openvpn/clients se do daného adresáře podívá po souboru se stejným jménem, jako je Common Name v tom certifikátu a když v tom souboru je uvedeno např. ifconfig-push 192.168.99.2 255.255.255.0, přidělí mu tuto adresu.

Mezery zadané do Common Name certifikátu se mění na znak "_".

I cesta může být cíl.

Dotaz: OpenVPN konfiguracia

Odpovědi