Re: openvpn
Op 03-01-19 om 19:45 schreef Fred:
>
>
> Op 03-01-19 om 19:01 schreef Paul van der Vlis:
>> Op 03-01-19 om 17:45 schreef Fred:
>>>
>>> Op 03-01-19 om 17:39 schreef Paul van der Vlis:
>>>> Op 03-01-19 om 15:05 schreef Fred:
>>>>> Op 02-01-19 om 20:53 schreef Paul van der Vlis:
>>>>>> Hoi,
>>>>>>
>>>>>> Op 02-01-19 om 20:00 schreef Fred:
>>>>>>> Beste,
>>>>>>>
>>>>>>> Ik heb op een RBP een VPN servertje draaien waarmee ik via de ap van
>>>>>>> mijn mobiel een verbinding kan krijgen.
>>>>>>> Vanaf mijn laptop lukt dit echter niet.
>>>>>>>
>>>>>>> Ik heb wel het .ovpn configuratie bestand in de netwerk beheerder
>>>>>>> van
>>>>>>> Gnome geïmporteerd echter met uitzondering van het <tls-crypt>
>>>>>>> gedeelte.
>>>>>>> Deze lijkt namelijk niet geaccepteerd te worden als in n VPN wil
>>>>>>> toevoegen.
>>>>>> Bedoel je wellicht het <tls-auth> gedeelte?
>>>>>> Als je dat op de server hebt, moet je het ook op de client hebben.
>>>>>> Je kunt het dus ook weghalen aan zowel de server als de client kant.
>>>>> Onderstaande heb ik uit het .ovpn configuratie bestand gekopieerd;
>>>>>
>>>>>> #<tls-crypt>
>>>>>> #
>>>>>> # 2048 bit OpenVPN static key
>>>>>> #
>>>>>> #-----BEGIN OpenVPN Static key V1-----
>>>>> Deze sectie wordt niet aanvaart door de netwerkmanager, dat dat ik de
>>>>> regels van n comment out # heb voorzien wel.
>>>>> Het gaat volgens mij dus wel om <tls-crypt> i,p,v <tls-auth> (?)
>>>>>
>>>>> Maar in jou methode om een .opvn bestand te genereren zie ik juist die
>>>>> tag niet terug.
>>>>> Wellicht dat dat juist het probleem is. De log verwijst in elk
>>>>> geval wel
>>>>> naar een tls issue.
>>>> Ik zie dus zoiets en dat werkt:
>>>> ----------------
>>>> <tls-auth>
>>>> #
>>>> # 2048 bit OpenVPN static key
>>>> #
>>>> -----BEGIN OpenVPN Static key V1-----
>>>>
>>>> (...)
>>>>
>>>> -----END OpenVPN Static key V1-----
>>>> </tls-auth>
>>>> ----------------
>>>>
>>>> Probeer het misschien eens aan te passen.
>>> Dat heb ik juist geprobeerd maar levert ook niet het gewenste
>>> resultaat op;
>>> De log laat dan dit zien;
>>> Jan 3 15:37:00 raspberrypi ovpn-server[338]: tls-crypt unwrap error:
>>> packet authentication failed
>>> Jan 3 15:37:00 raspberrypi ovpn-server[338]: TLS Error: tls-crypt
>>> unwrapping failed from [AF_INET]
>> Ik heb nog wat verder gekeken, tls-auth is wat anders dan tls-crypt. Als
>> ik me niet vergis is tls-crypt nieuwer/beter, maar het zou best eens
>> kunnen dat networkmanager in Debian het nog niet ondersteund.
>> Hmm, ik zie dat er ook een backports-versie van is.
>>
>> Uit de manual: "In contrast to --tls-auth, --tls-crypt does *not*
>> require the user to set --key-direction."
>>
>> Met tls-crypt heb ik nog geen ervaring. Hieronder ga ik in op tls-auth.
>>
>> Networkmanager importeert alles nu netjes?
> Ja, als ik van <tls-crypt> <tls-auth> maak dan wordt het ovpn config
> bestand wel geïmporteerd, maar wel geeft dus toch in de log van de
> server een foutmelding zoals hierboven. Het bestand word ook
> geïmporteerd als ik de <tls-crypt> regels out comment.
>>
>> Wat staat er op de tls-auth regel in je client-configfile?
>> Bij mij staat er dit:
>> tls-auth ta.key 1
> Die komt in mijn client-configfile niet voor.
>
> ---------------------
> client
> dev tun
> proto udp
> remote xx.xx.xx.xx 1194
> resolv-retry infinite
> nobind
> persist-key
> persist-tun
> remote-cert-tls server
> tls-version-min 1.2
> verify-x509-name server_KLsSwJCOaYqwbKIp name
> cipher AES-256-CBC
> auth SHA256
> auth-nocache
> verb 3
> -----------------------------------
> En hierna de certificaten en keys...
Ik heb op de client dit, daarna de certificaten en keys:
-----------
client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
-------------
Volgens mij verschilt de cipher en heb jij "auth" waar ik "tls-auth"
heb, en dan de "direction".
>> Dit staat er bij mij in het server configfile:
>> tls-auth /etc/openvpn/keys/ta.key 0
>> Let op die laatste 0 en 1, dat is de direction.
> Bij mij;
> tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
>
> Dus zonder toevoeging van 0 of 1
Bovenstaande regel lijkt me geschikt voor tls-crypt en niet voor tls-auth.
Je zult moeten kiezen tussen tls-auth en tls-crypt.
Met dat laatste heb ik nog geen ervaring.
En of de network-manager openvpn plugin daarmee werkt weet ik niet.
Je zou het ook eerst zonder tls-crypt of tls-auth aan de praat kunnen
brengen om te zien of het dan werkt.
Je zou het ook zonder de network-manager plugin kunnen doen.
Gewoon het configfile in /etc/openvpn/ zetten en renamen (.ovpn moet
.conf worden). Daarna reboot ik normaal, de VPN start dan automatisch
als er een netwerkverbinding is.
Je kunt hem echter ook uitzetten in /etc/default/openvpn en hem met de
hand starten ("openvpn --config /path/configfile".
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Reply to: