29 Marca 2024 07:46:51
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [Howto] Xpenology na...
· [MOD] Tomato64 (x86-64)
· [MOD] FreshTomato-AR...
· Optware na CIFS
· RT-AX56U - Status kl...
· Asus TUF-AX3000_V2 p...
· [MOD] FreshTomato-MI...
· Multiroom N z wykorz...
· [S] Asus RT-AC68U E1
· [S] ASUS RT-AC68U
· Rozłączanie klient...
· serwer VPN za wan'em
· Przejscie z dyndns f...
· WDR3600 i problem z WAN
· Jaki USB hub do syno...
· [S] Karta sieciowa Q...
· Asus rt-n18u port fo...
· Netflix dzielenie ko...
· Nextcloud konfigurac...
· Netgear WNR3500L
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [869]
· [MOD] Tomato64 (x... [27]
· [Howto] Xpenology... [14]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [216 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
35.173.181.0
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
OpenVPN - problem z połączeniem
deniro83
Hi. Sorki że zakładam nowy Topic, ale rozkładam ręce. Pomoże ktoś co może być nie tak. Tak wygląda moja konfiguracja i logi:

cdn.imageupload.workers.dev/5bw5ZRRk_Zrzut%20ekranu%202021-09-30%20010925.jpg
cdn.imageupload.workers.dev/wytRvxzo_Zrzut%20ekranu%202021-09-30%20010918.jpg

LOG VPN START (SERWER)


Sep 30 00:48:32 unknown daemon.warn openvpn-server1[4434]: --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4434]: OpenVPN 2.5.3 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4434]: library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: PLUGIN_INIT: POST /lib/openvpn_plugin_auth_nvram.so '[/lib/openvpn_plugin_auth_nvram.so] [vpn_server1_users_val]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Diffie-Hellman initialized with 1024 bit key
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: TUN/TAP device tun21 opened
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: TUN/TAP TX queue length set to 1000
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: /usr/sbin/ip link set dev tun21 up mtu 1500
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: /usr/sbin/ip link set dev tun21 up
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: /usr/sbin/ip addr add dev tun21 10.6.0.1/24
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Socket Buffers: R=[122880->122880] S=[122880->122880]
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: UDPv4 link local (bound): [AF_INET][undef]:1194
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: UDPv4 link remote: [AF_UNSPEC]
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: MULTI: multi_init called, r=256 v=256
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: IFCONFIG POOL IPv4: base=10.6.0.2 size=252
Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Initialization Sequence Completed



CLIENT CONFIG



# Config generated by FreshTomato 2021.5 K26ARM USB AIO-64K-NOSMP, requires OpenVPN 2.4.0 or newer

remote 12.345.67.89 1194
proto udp4
dev tun
ncp-ciphers AES-256-CBC
auth none
client
remote-cert-tls server
ca ca.pem
cert client.crt
key client.key
tls-crypt static.key
auth-user-pass auth.txt
keepalive 15 60
resolv-retry infinite
nobind
float
verb 3
status status
; log /var/log/openvpn.log


CLIENT LOG:



2021-09-30 00:52:05 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2021-09-30 00:52:05 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-09-30 00:52:05 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2021-09-30 00:52:05 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-09-30 00:52:05 TCP/UDP: Preserving recently used remote address: [AF_INET]12.345.67.89:1194
2021-09-30 00:52:05 Socket Buffers: R=[65536->65536] S=[65536->65536]
2021-09-30 00:52:05 UDPv4 link local: (not bound)
2021-09-30 00:52:05 UDPv4 link remote: [AF_INET]12.345.67.89:1194
2021-09-30 00:52:05 MANAGEMENT: >STATE:1632955925,WAIT,,,,,,
2021-09-30 00:52:05 MANAGEMENT: >STATE:1632955925,AUTH,,,,,,
2021-09-30 00:52:05 TLS: Initial packet from [AF_INET]12.345.67.89:1194, sid=210cf9ad 78fa21ab
2021-09-30 00:52:06 VERIFY ERROR: depth=1, error=invalid CA certificate: C=GB, ST=Yorks, L=York, O=FreshTomato, OU=IT, CN=server, serial=178158435515892531952637605928814275260154134711
2021-09-30 00:52:06 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2021-09-30 00:52:06 TLS_ERROR: BIO read tls_read_plaintext error
2021-09-30 00:52:06 TLS Error: TLS object -> incoming plaintext read error
2021-09-30 00:52:06 TLS Error: TLS handshake failed
2021-09-30 00:52:06 SIGUSR1[soft,tls-error] received, process restarting
2021-09-30 00:52:06 MANAGEMENT: >STATE:1632955926,RECONNECTING,tls-error,,,,,
2021-09-30 00:52:06 Restart pause, 10 second(s)
2021-09-30 00:52:08 SIGTERM[hard,init_instance] received, process exiting
2021-09-30 00:52:08 MANAGEMENT: >STATE:1632955928,EXITING,init_instance,,,,,


SERWER LOG (po próbie połaczenia) :


Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 TLS: Initial packet from [AF_INET]98.765.432.10:55162, sid=540cdb5e 7f0d91cd
Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 TLS: Initial packet from [AF_INET]98.765.432.10:55163, sid=8f24e2e9 c02b9da5
Sep 30 00:52:46 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:57742 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 30 00:52:46 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:57742 TLS Error: TLS handshake failed
Sep 30 00:52:46 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:57742 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 30 00:52:51 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:56679 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 30 00:52:51 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:56679 TLS Error: TLS handshake failed
Sep 30 00:52:51 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:56679 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 30 00:52:56 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:51591 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 30 00:52:56 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:51591 TLS Error: TLS handshake failed
Sep 30 00:52:56 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:51591 SIGUSR1[soft,tls-error] received, client-instance restarting


Dziękuje za każdą pomoc
 
khain

deniro83 napisał:

2021-09-30 00:52:06 VERIFY ERROR: depth=1, error=invalid CA certificate: C=GB, ST=Yorks, L=York, O=FreshTomato, OU=IT, CN=server, serial=178158435515892531952637605928814275260154134711
Ten log oznacza, że ca.pem nie jest tzw. Certificate Authority. Sprawdź czy tak jest za pomocą polecenia:

openssl x509 -text -in ca.pem
i poszukaj linii:

X509v3 Basic Constraints:
CA:TRUE
Jeśli masz CA:False to musisz wygenerować od nowa parę kluczy jako CA i podpisać .req serwera i klientów właśnie tym CA.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
Hi. Dziękuje za zainteresowanie

root@unknown:/tmp# openssl x509 -text -in ca.pem
Can't open ca.pem for reading, No such file or directory
1074012160:error:02001002:lib(2):func(1):reason(2):NA:0:fopen('ca.pem','r'Wink
1074012160:error:2006D080:lib(32):func(109):reason(128):NA:0:
unable to load certificate
 
khain
ca.pem to jest plik, który leży na jakiejś ścieżce (/opt/openvpn lub /etc/openvpn, itp.), jak widzisz w /tmp go nie ma.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
W /tmp mam:

ca-cert.pem router.openlinksys.info.key
ca-key.pem server-key.pem
etc server-req.pem
ethernet.state share
home splashd
mnt sysinfo-helper
router.openlinksys.info.csr var

gdzie: openssl x509 -text -in ca-cert.pem
(celowo zmieniłem zaratość certyfikatów)



Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            BA:8F:34:82:E2:65:C12:ab:96:9e:BA:8F:34:82:E2:65:Cb:fe:3b:ce:33
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: emailAddress = root@localhost, C = US, ST = Ohio, L = Columbus
        Validity
            Not Before: Sep 30 22:50:17 2021 GMT
            Not After : Jan 31 22:50:17 3021 GMT
        Subject: emailAddress = root@localhost, C = US, ST = Ohio, L = Columbus
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00::BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C:d1
               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                2B:55::BA:8F:34:82:E2:65:C5:D9:69:8E:94:BA:8F:34:82:E2:65:C
            X509v3 Authority Key Identifier:
                keyid:2B:55:9B:74:8D:BA:8F:34:82:E2:BA:8F:34:82:E2:5:D9:69:8E:94
                DirName:/emailAddress=root@localhost/C=US/ST=Ohio/L=Columbus
                serial:38:55:BA:8F:34:82:E2:65:C:64:FA:93:BA:8F:34:8:FE:3B:CE:33

            X509v3 Basic Constraints:
                CA:TRUE
            X509v3 Key Usage:
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
    Signature Algorithm: sha256WithRSAEncryption
         54:f4:f5:5a:7e:48:f0:d3:e8:be:bf:38:55:24:81:80:8f:eb:
         8f:4e:20:e2:BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C:BA
       :8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C
       3:7d:87:8a::2f:40:77:BA:8F:34:82:E2:65:Ced:1:2f:40:77:BA:8F:34:82:E2:65:Ced:1
         13:c9:5b:1e:ac:b5:66:db:95:80:09:01:7b:4e:3a:f6:f5:87:
         ef:c2:9d:c3:bf:46:2:B:BA:8F:34:82:E2:65:C:2f:40:77:BA:8F:34:82:E2:65:Ced:1
       5:Cd:3a:ba:e6:b1:a1:29::2f:40:77:BA:8F:34:82:E2:65:Ced:1
         ed:a3:04:50:40:b9:54:2f:40:77:BA:8F:34:82:E2:65:Ced:17:9f:eb:bf:b1:3c:
         1d:24:3d:bc:2:BA:8F:34:82:E2:65:C:b9:b1:1f:58:f5:2a:cc:c4:6b:08:
         a3:77:2e:2a
-----BEGIN CERTIFICATE-----
MIID+DCCAuCgAwIBAgIUOFXYEquWnrFTOmT6k+WB+/47zjMwDQYJKoZIhvcNAQEL
BQAwTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2NhbGhvc3QxCzAJBgNVBAYTAlVT
MQ0wCwYDVQQIEwRPaGlvMREwDwYDVQQHEwhDb2x1bWJ1czAgFw0yMTA5MzAyMjUw
MTdaGA8zMDIxMDEzMTIyNTAxN1owTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2Nh
bGhvc3QxCzAJBgNVBAYTAlVTMQ0wCwYDVQQIEwRPaGlvMREwDwYDVQQHEwhDb2x1
bWJ1czCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMfgtS3FhIp6+BdJ
083HGOLHW+Qe5+66/+DCCAuCgAwIBAgIUOFXYEquWnrFTOmT6k+WB+/47zjMwDQYJKoZIhvcNAQEL
BQAwTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2NhbGhvc3QxCzAJBgNVBAYTAlVT
MQ0wCwYDVQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMfgtS3FhIp6+BdJ
083HGOLHW+Qe5+66/+DCCAuCgAwIBAgIUOFXYEquWnrFTOmT6k+WB+/47zjMwDQYJKoZIhvcNAQEL
BQAwTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2NhbGhvc3QxCzAJBgNVBAYTAlVT
MQ0wCwYDVQQIEwRPaGlvMREwDwYDVQQHEwhDb2x1bWJ1czAgFw0yMTA5MzAyMjUw
MTdaGA8zMDIxMDEzMTIyNTAxN1owTjEdMBsGCSEROE5gFJKI0HaobafvAY16k
vWfow9ECAwEAAaOByzCByDAdBgNVHQ4EFgQUK1WbdI26jzSC4mXAEoyh5dlpjpQw
gYsGA1UdIwSBgzCBgIAUK1WbdI26jz4IBAQBU9PVa
fkjw0+i++DCCAuCgAwIBAgIUOFXYEquWnrFTOmT6k+WB+/47zjMwDQYJKoZIhvcNAQEL
BQAwTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2NhbGhvc3QxCzAJBgNVBAYTAlVT
MQ0wCwYDVQQIEwRPaGlvMREwDwYDVQQHEwhDb2x1bWJ1czAgFw0yMTA5MzAyMjUw
MTdaGA8zMDIxMDEzMTIyNTAxN1owTjEdMBsGCS25WACQF7Tjr2
9Yfvwp3Dv0YksrMBjz06uuaxoSntowRQQLlUL0B3bu0Xn+u/sTwdJD28L7KYg7mx
H1j1KszEawijdy4q
-----END CERTIFICATE-----
 
khain
Tu masz ca-cert.pem, a w konfigu klienta masz

ca ca.pem

Czy podpisałeś certy .req serwer i klienta tym samym CA?
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83

Cytat

Tu masz ca-cert.pem, a w konfigu klienta masz

czyli to ten certyfikat tylko ścieżka do niego jest zła?

Cytat

Czy podpisałeś certy .req serwer i klienta tym samym CA?

jest gdzieś jakiś opis jak to zrobić?

widziałem Twój wpis z innego wątku na temat .reg, czy to ta instrukcja?

Cytat


Zainstaluj openssl i easy-rsa
Skopiuj ca.crt do /etc/easy-rsa/pki
Skopiuj ca.key do /etc/easy-rsa/pki/private
Sprawdź czy wszystkie ścieżki w pliku /etc/easy-rsa/openssl.cnf się zgadzają.
Utwórz wymagane katalogi
Skopiuj pliki index.txt i serial do /etc/easy-rsa/pki/keys/
Jeśli ich nie masz to wykonaj:
Kod

touch /etc/easy-rsa/pki/keys/index.txt

echo 00 > /etc/easy-rsa/pki/keys/serial


Wykonaj poniższe polecenia jeśli chcesz wygenerować certy dla nowego użytkownika
Kod

cd /etc/easy-rsa/

openssl req -nodes -config openssl.cnf -newkey rsa:2048 -days 3650 -keyout userkey.pem -out usercert.req



openssl ca -config openssl.cnf -out usercert.pem -keyfile ./pki/private/cakey.pem -infiles usercert.req

Jeśli krzyczy błędami to znaczy, że pliki są w nieodpowiednich katalogach albo nie ma tych katalogów.


Scalony z 02 października 2021 16:31:36:
w lokalizacji root@unknown:/tmp/etc/openvpn/server1#
mam:

ca.crt       config.ovpn  server.crt   static.key
ccd          dh.pem       server.key   status


i tutaj:

X509v3 Basic Constraints:
                CA:TRUE

Edytowany przez deniro83 dnia 02-10-2021 16:31
 
khain
Mój wpis, który zacytowałeś dotyczy sytuacji gdy masz już CA i chcesz wygenerować certy do kolejnego klienta openvpn.
Tutaj masz opis jak to zrobić całkowicie od nowa:

/etc/easy-rsa/
touch index.txt
touch index.tat.attr
echo 00 > serial

#wygenerowanie CA
openssl req -new -x509 -days 3650 -extensions v3_ca -keyout cakey.pem -out cacert.pem -config openssl.cnf
mv ./cacert.pem ./pki/
mv ./cakey.pem ./pki/private
chmod 600 ./pki/private/cakey.pem

#wygenerowanie req i key dla serwera
openssl req -nodes -config openssl.cnf -newkey rsa:2048 -days 3650 -keyout serverkey.pem -out servercert.req
#podpisanie certa serwera
openssl ca -config openssl.cnf -out server.pem -keyfile cakey.pem -infiles servercert.req
#wygenerowanie req i key dla klienta
openssl req -nodes -config openssl.cnf -newkey rsa:2048 -days 3650 -keyout userkey.pem -out usercert.req
#podpisanie certa klienta
openssl ca -config openssl.cnf -out usercert.pem -keyfile ./pki/private/cakey.pem -infiles usercert.req
Podczas generowania CA wpisujesz hasło, które potem podajesz podczas podpisywania certa serwer i klienta. Podczas generowanie .req serwera i klienta nie podajesz żadnego hasła.
Jeśli podczas generowania dostajesz coś w stylu:

cakey.pem File or directory not found
to znaczy, że musisz podać prawidłową ścieżkę do klucza CA.
Najlepiej przed rozpoczęciem generowania wyedytować plik openssl.cnf i podać dane:

countryName_default = PL
stateOrProvinceName_default = mazowieckie
localityName_default  = Warszawa
0.organizationName_default = dom
i zostawić puste
organizationalUnitName_default =
Dzięki temu nie trzeba podawać za każdym razem tych danych, a część z nich musi być taka sama dla certów.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
no właśnie w etc nie mam easy-rsa

mam tam:

TZ                      hotplug2.rules          passwd
cert.pem                ip6tables               profile
dnscrypt-resolvers.csv  iproute2                protocols
dnsmasq.conf            iptables                resolv.conf
dropbear                key.pem                 resolv.dnsmasq
e2fsck.conf             l7-protocols            server.pem
ethertypes              ld.so.conf              services
fstab                   machine-id              shadow
gcom                    mke2fs.conf             ssl
group                   motd                    trust-anchors.conf
gshadow                 mtab                    usb_modeswitch.conf
hosts                   ntp.conf                usb_modeswitch.d
hosts.dnsmasq           openvpn


w openvpn jest "server1" o którego zawartości już wspomniałem
 
khain
To musisz wygenerować na osobnej maszynie na Virtual boxie lub zbootować kompa na jakiejś dystrybucji linuksa na usb.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
No ok. O to mi chodziło, tylko potem wklejam to już w GUI Tomato, czy w te wskazaną lokalizację?
 
khain
Wklejasz zawartość certów i kluczy w odpowiednie pola w GUI Tomato
ALBO
kopiujesz pliki na router np. do /opt/openvpn i podajesz ścieżkę do opowiednich certów w Custom Configuration (w GUI Tomato), np.
ca /opt/openvpn/ca.pem
Przy pierwszym rozwiązaniu może zabraknąć miejsca w nvram routera.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 33

· Użytkowników online: 0

· Łącznie użytkowników: 24,117
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala

Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node

tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala

Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez

tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany

Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone

tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala Smile

tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes

Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz

tamtosiamto
19-03-2024 14:17
@Adooni 'Guest network on AiMesh - Router only'

70,437,837 unikalnych wizyt