Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 23:10 Stanislav Maslovski
написал(a):
> On Mon, Oct 08, 2007 at 07:56:04PM +0400, Alexey Pechnikov wrote:
> > > AP> Публичный ключ клиента должен быть на сервере, иначе как проверить
> > > AP> клиента?
> > >
> > > Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но
> > > скажу, что клиент проверяется по переданному им в рамках сессии
> > > сертификату, подписанному CA. И лишь сертификат CA, один на всех
> > > клиентов, должен быть на сервере. Чтобы проверить подпись.
> >
> > На сервере:
> >
> > # ls
> > easy-rsa ipp.txt openvpn.conf
> > # cd easy-rsa
> > # ls
> > keys
> > # cd keys
> > # ls
> > 01.pem 02.pem 03.pem 05.pem 06.pem 0C.pem ca.crt ca.key
> > dh1024.pem server.crt server.key
> >
> > Без файлов .pem ничего не работает, их требуется класть для каждого
> > клиента.
> >
> > На всякий случай:
> >
> > # openvpn --version
> > OpenVPN 2.0.7 armv5b-softfloat-linux [SSL] [LZO] built on Jun 20 2006
> > Developed by James Yonan
> > Copyright (C) 2002-2005 OpenVPN Solutions LLC <info@openvpn.net>
>
> С версией более старой, чем 2.0.9 не работал, но все равно не могу понять,
> как вы такого поведения добились? Дайте что-ли взглянуть на содержимое
> openvpn.conf, даже интересно.
$cat openvpn.conf
dev tun0
server x.y.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
persist-key
persist-tun
client-to-client
tls-server
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem
ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/server.crt
key /opt/etc/openvpn/easy-rsa/keys/server.key
user nobody
group nobody
comp-lzo
persist-tun
persist-key
verb 3
$cat client.conf
verb 1
cd /opt/openvpn-client
dev tun
nobind
comp-lzo
resolv-retry infinite
cert client.crt
key client.key
ca ca.crt
tls-client
pull
proto udp
mssfix 1300
remote a.b.c.d
port 1194
persist-key
persist-tun
ping-restart 0
mssfix 1300 насколько помню осталось после экспериментов с криво настроенным
adsl-модемом.
Reply to: