Re: Сертификаты OpenVPN
Alexey Pechnikov wrote:
> А как посмотреть список _действующих_ сертификатов?
Действующие - все кроме отозванных, главное что бы одним ca подписанны
были, cn неважен.
А ccd сразу статический определяет.
А, это решает вопрос. Только все еще непонятно, что будет, если с двух компов
с одним сертификатом попытаться подключиться.
Один раз попробовал - второй одновременно не заработал, правда
эксперемент был не чистый т.к. "второй" был win.
Кстати в вашем конфиге строчки persist-tun и persist-key продублированны.
В конфиг сервера можно добавить строчки
dev tap5 (например)
mode server
если несколько openvpn серверов запускается (на разных портах например)
- что бы интерфейс при рестарте не менялся и шейпинг знал где-что.
Вот пример конфига сервера:
local xx.xx.xx.5
dev tap5
port 80 (удивительное рядом - при порте 8080 иногда скорость в
большом инете выше)
tls-server
tls-auth /etc/openvpn/ssl/keys/ta.key 0
dh
/etc/openvpn/ssl/keys/dh2048.pem
#pkcs12 /etc/openvpn/ssl/keys/server_vpn.p12 (либо
эта строчка, либо три следующих нужны)
ca /etc/openvpn/ssl/keys/ca.crt
cert /etc/openvpn/ssl/keys/server_vpn.crt
key /etc/openvpn/ssl/keys/server_vpn.key
mode server
client-config-dir /etc/openvpn/ccd
ifconfig 192.168.1.5 255.255.255.0
ifconfig-pool 192.168.1.8 192.168.1.9 (пара адресов на случай,
если кто-то статику не получит, что бы увидеть и найти ошибку почему)
push "route-gateway 192.168.1.5"
push "ifconfig default gw 192.168.1.5"
push "dhcp-option DNS xxx.xx.xx.xx"
cipher DES-EDE3-CBC
user nobody
group nogroup
persist-tun
persist-key
comp-lzo
keepalive 10 120
verb 3
status /etc/openvpn/openvpn-status.log
Можно добавить "client-to-client", если надо.
Запускается командой:
openvpn --cd /etc/openvpn --daemon --config ovpn80.conf --crl-verify
/etc/openvpn/ssl/accesslist
accesslist генерится по крону
Насчет автоматизации создания сертификатов - еще подсказали
tinyca.sm-zone.net - не пробовал, а EJBCA замечательная вешь (GPL2).
Удачи.
--
Sincerely,
Nicholas
Reply to: