Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия Следующая версия Следующая версия справа и слева | ||
|
wiki:openvpn [2017/03/16 06:42] [Создание ключей и сертификатов] |
wiki:openvpn [2020/12/01 22:18] [ИЛИ единый файл конфигурации клиента client.ovpn с сертификатами и ключами для импорта] |
||
|---|---|---|---|
| Строка 111: | Строка 111: | ||
| Создаем ключ сервера | Создаем ключ сервера | ||
| - | <note>FIXME **A challenge password []:** Заполняется произвольным значением, насколько я понял это нужно только для создания ключа и больше нам не потребуется. Кто знает точно поправьте статью.</note> | + | <note>FIXME **A challenge password []:** Если вы решили ввести challenge password, то необходимо убедиться, что сохранили этот пароль в безопасном месте. Если вам понадобится когда-нибудь переустановить этот сертификат, то потребуется ввести этот пароль снова.</note> |
| <code> | <code> | ||
| Строка 159: | Строка 159: | ||
| # Указыем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже) | # Указыем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже) | ||
| - | client-config-dir ccd | + | client-config-dir /etc/openvpn/ccd |
| # Запоминать динамически выданные адреса для VPN-клиентов и при последующих подключениях назначать те же значения. | # Запоминать динамически выданные адреса для VPN-клиентов и при последующих подключениях назначать те же значения. | ||
| - | ifconfig-pool-persist ipp.txt | + | ifconfig-pool-persist /etc/openvpn/ipp.txt |
| # Указываем сети, в которые нужно идти через туннель (сеть-клиента). | # Указываем сети, в которые нужно идти через туннель (сеть-клиента). | ||
| Строка 172: | Строка 172: | ||
| tls-timeout 120 | tls-timeout 120 | ||
| auth SHA1 | auth SHA1 | ||
| - | cipher BF-CBC | + | cipher AES-256-CBC |
| # Если нужно, чтобы клиенты видели друг друга раскомментируйте | # Если нужно, чтобы клиенты видели друг друга раскомментируйте | ||
| Строка 179: | Строка 179: | ||
| keepalive 10 120 | keepalive 10 120 | ||
| - | # Сжатие трафика | + | # Сжатие трафика. Для отключения используйте на сервере и клиенте comp-lzo no |
| comp-lzo | comp-lzo | ||
| Строка 273: | Строка 273: | ||
| <note important>Теперь нужно не забыть скопировать ключи (**ca.crt, client.crt, client.key, ta.key**) на клиента OpenVPN в **/etc/openvpn/keys/**</note> | <note important>Теперь нужно не забыть скопировать ключи (**ca.crt, client.crt, client.key, ta.key**) на клиента OpenVPN в **/etc/openvpn/keys/**</note> | ||
| + | |||
| + | <note important>Если планируется на клиенте импортировать файл настроек **.ovpn** вместе с сертификатами и ключами, например, для Android, важно в конфигурации клиента исключить строку **tls-auth**, вместо нее добавить **key-direction 1**. В противном случае будет ошибка вида //tls error: incoming packet authentication failed from [af_inet]//. | ||
| + | </note> | ||
| ==== Создание файла конфигурации клиента ==== | ==== Создание файла конфигурации клиента ==== | ||
| **/etc/openvpn/client.conf** | **/etc/openvpn/client.conf** | ||
| Строка 292: | Строка 295: | ||
| tls-auth /etc/openvpn/keys/ta.key 1 | tls-auth /etc/openvpn/keys/ta.key 1 | ||
| auth SHA1 | auth SHA1 | ||
| - | cipher BF-CBC | + | cipher AES-256-CBC |
| remote-cert-tls server | remote-cert-tls server | ||
| comp-lzo | comp-lzo | ||
| Строка 303: | Строка 306: | ||
| mute 20 | mute 20 | ||
| </code> | </code> | ||
| + | |||
| + | ==== ИЛИ единый файл конфигурации клиента client.ovpn с сертификатами и ключами для импорта ==== | ||
| + | |||
| + | <code> | ||
| + | client | ||
| + | dev tun | ||
| + | proto udp | ||
| + | |||
| + | # Внеший IP, на или за которым находится ваш сервер OpenVPN и порт (на сервере или роутере, за которым стоит сервер) | ||
| + | remote 111.222.333.444 1194 | ||
| + | |||
| + | # необходимо для DynDNS | ||
| + | resolv-retry infinite | ||
| + | |||
| + | tls-client | ||
| + | |||
| + | # Строка tls-auth /etc/openvpn/keys/ta.key 1, как выше говорилось, заменяется на | ||
| + | key-direction 1 | ||
| + | |||
| + | auth SHA1 | ||
| + | cipher AES-256-CBC | ||
| + | remote-cert-tls server | ||
| + | comp-lzo | ||
| + | persist-key | ||
| + | persist-tun | ||
| + | |||
| + | verb 3 | ||
| + | mute 20 | ||
| + | |||
| + | # Далее идут сертификаты и ключи которые берутся из соответствующих файлов сгенерированных выше | ||
| + | |||
| + | # Из ca.crt | ||
| + | <ca> | ||
| + | -----BEGIN CERTIFICATE----- | ||
| + | ... | ||
| + | -----END CERTIFICATE----- | ||
| + | </ca> | ||
| + | |||
| + | # Из client.crt | ||
| + | <cert> | ||
| + | -----BEGIN CERTIFICATE----- | ||
| + | ... | ||
| + | -----END CERTIFICATE----- | ||
| + | </cert> | ||
| + | |||
| + | # Из client.key | ||
| + | <key> | ||
| + | -----BEGIN PRIVATE KEY----- | ||
| + | ... | ||
| + | -----END PRIVATE KEY----- | ||
| + | </key> | ||
| + | |||
| + | # Из ta.key | ||
| + | <tls-auth> | ||
| + | -----BEGIN OpenVPN Static key V1----- | ||
| + | ... | ||
| + | -----END OpenVPN Static key V1----- | ||
| + | </tls-auth> | ||
| + | </code> | ||
| + | |||
| Можно запускать наш клиент OpenVPN | Можно запускать наш клиент OpenVPN | ||
| Строка 349: | Строка 412: | ||
| . ./vars | . ./vars | ||
| ./revoke-full client2 | ./revoke-full client2 | ||
| + | </code> | ||
| + | |||
| + | Если все прошло штатно вы должны увидеть следующий вывод, сообщающий о том, что сертификат отозван: | ||
| + | <code> | ||
| + | error 23 at 0 depth lookup:certificate revoked | ||
| </code> | </code> | ||
| Строка 388: | Строка 456: | ||
| [[http://firstwiki.ru/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_OpenVPN]] | [[http://firstwiki.ru/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_OpenVPN]] | ||
| + | |||
| + | [[https://serverfault.com/questions/266232/what-is-a-challenge-password]] | ||
| {{tag>openvpn vpn}} | {{tag>openvpn vpn}} | ||
| + | |||
| + | |||
