Open VPN

[mira_mo]

Nemělo by tam být ještě něco jako tap?

[ok2slc]

No ono to tam je, akorát se to nejmenuje TUN/TAP, ale IP/ETHERNET. Obecně je TUN je pro vytvoření tunelu na L3 a TAP je pro L2. Doporučuji se podívat na http://devitka.sh.cvut.cz/~oskar/stah/OpenVPN.pdf kde je to srozumitelně popsáno.

[ok2slc]

ja som si vytvoril certifikaty na linuxe,
len teraz neviem co mam s nimi spravit
mam 4 subory:
cert.pem
key.pem
openssl
request.pem

poradi mi prosim niekto?

S linuxem ti moc neporadím, já generuji certifikáty v distribuci pro windows kde jsou v ..\OpenVPN\easy-rsa\ dávkové soubory a návod s přesným postupem jak na to.

[marekpetr]

Zdravim vas

tak se snazim vytvorit si vlastni certfikaty pro mk, ale nejak se mi nedari postupuji podle navodu v openvpn,ale nefunguji mi, asi delam neco spatne. Muze te popsat jak jste postupoval k vytvoreni certfikatu.
Ja podle navodu:
init-config.bat
1. vars
2. clean-all
Build a CA key (once only)
1. vars
2. build-ca
Build a DH file (for server side, once only)
1. vars
2. build-dh
Build a private key/certficate for the openvpn server
1. vars
2. build-key-server <machine-name>
Build key files in PEM format (for each client machine)
1. vars
2. build-key <machine-name>
(use <machine name> for specific name within script)

Pokud pouziji certifikaty ktere jste vygeneroval vy tak mi to vse funguje ... mozna by to zajimalo vice lidi.. diky za napovedu

[ok2slc]

Jen se zeptám zda při výměně certifikátů rebootujete MK ? Pokud si dobře vzpomínám, tak to vždy potřebovalo reboot.
Pokud by toto nepomohlo udělám malý video, ale můžu říct, že jinak než je postup v návodu to nedělám .

[marekpetr]

myslim ze nekde delam chybu pri vyrobe tech certifikatu, vase jsou ve formatu (v souboru) jine nez co mi "leze" z openvpn pod win, kde mam server.crt s nulovou delkou tedy nic v nem neni, pokud jej generuji pomoci openssl http://www.root.cz/clanky/jak-na-openssl-2/ tedy "openssl x509 -in cert.pem -text > certifikat" pod linuxem tak dostanu stejny vypis jako vy, dostanu to i do mk, ale neudelam zase certifikat pro klienta ... snad nemotam jablka s hruskama

(vypis jsem zkratil - vas -client_test.crt)
Certificate:
Data:
Version: 3 (0x2)
x
x
-----BEGIN CERTIFICATE-----
MIIDfjCCAuegAwIBAgIBAjANBgkqhkiG9w0BAQQFADCBgjELMAkGA1UEBhMCVVMx
-----END CERTIFICATE-----

kazdopadne by mi velice pomohl nejaky postup jak to vytvorit. Treba nekde delam uplne logickou chybu ale uz ji nejak po te dobe nevidim a stale ji opakuji .
EDIT:


Takze uz jsem se dostal dal, musi byt poctive vyplnena pole pri zadavani certifikatu, ale pri delani druheho certifikatu dojde k chybe ...

Kód: Vybrat vše

countryName           :PRINTABLE:'CZ'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'SanFrancisco'
organizationName      :PRINTABLE:'FortFunston'
organizationalUnitName:PRINTABLE:'CZ'
commonName            :PRINTABLE:'CZ'
emailAddress          :IA5STRING:'mail@host.domain'
Certificate is to be certified until Nov 23 21:08:18 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2

Jdu se poradit s googlem

[ok2slc]

Je potřeba si dát pozor na commonName aby se neopakovala. Musí být pro každý certifikát jedinečná.

[marekpetr]

Dekuji za pomoc, problem byl v commonName jiz vse bezi jak ma

[ok2slc]

Z toho si nic nedělejte, já jsem na této chybě taky strávil den než jsem na to přišel.
Ještě jedna dobrá rada, pokud používáte "require-client-certificate=yes" tak si zkontrolujte zda máte opravdu klientský certifikát vygenerovaný jako klientský a na serveru tak i klientovi nastaven platný čas a ne "zero time after reboot", protože pokud ano, tak platnost klientského certifikátu ještě nezačala... . A asi zřejmě jen pomocí doby platnosti lze na MK "zneplatňovat" klientské certifikáty.

[H_Rocky]

Mel by jsem prosbu. Uspesne se mi povedlo podle vyse zminenych How-To rozbehat OpenVPN pod Mikrotikem. Ovsem, mam problem, po pripojeni nevidim vsechny PC v siti (nepingnu si na ne).
Client: WinXP
OpenVPN server: Mikrotik
IP VPN: 10.10.20.150
Local Lan: 192.168.1.0/24
Wan: 1.2.3.4

[ok2slc]

Podle popisu si myslim, ze problem bude v tom, ze ovpn server (mikrotik) predava klientovi (winxp) masku pro dane adresy tunelu, tj. ip 10.10.20.149 client, 10.10.20.150 server. Masku mas v globalnim nastaveni pro ovpn, napr. /24. No a klient ma do routovaci tabulky predan ze serveru ze rozsah ip 10.10.20.0/24 je za gw 10.10.20.150 na rozhrani 10.10.20.149. Takze ji musis doplnit rucne do routovaci tabulky ze 192.168.1.0/24 je za gw 10.10.20.150 nebo ten ovpn tunel udelat v rozsahu local lan a na interface te lan povolit proxy-arp.

[H_Rocky]

Kdyz jsem dal ovpn-pool do stejne site jako je lokalni sit, tak to jede. Kdyz jsem pridal routu, tak bohuzel.

[ok2slc]

A tu routu jsi pridaval kam ? Do mk nebo klienta ? Protoze me to normalne funguje, akorat je vopruz ty routy na klientovi zadavat rucne.

Edit: Ne, nemusi se to zadavat rucne, lze doplnit do parametru u klienta : "route network/IP [netmask] [gateway] [metric]"

[H_Rocky]

Kdyz jsem ji zadal na MK, tak mi to nejede. Kdyz to pridam do konfigurace klientovi, tak to jde, ale bohuzel ne na vsechny ip adresy v siti. Tento prikaz mam v konfiguraci u klienta:
route-up "route add 192.168.1.0 mask 255.255.255.0 10.10.20.149"

[ok2slc]

V klientovi, tj. v XPckach musis rucne pridat "route add 192.168.1.0 mask 255.255.255.0 10.10.20.150" za předpokladu, že mas ip klienta 10.10.20.149 a ip serveru 10.10.20.150.

Edit: Nebo do davky u XP klienta dopln (bez uvozovek): "route 192.168.1.0 255.255.255.0 10.10.20.150".