24 Listopada 2024 02:40:39
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.119.122.69
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
OpenVPN pytanie o certyfikaty
maciekkoper
Dzień dobry
Mam 2 pytania dotyczące tworzenia certyfikatów dla klientów a konkretnie jak dorobić dodatkowe certyfikaty do juz istniejącej puli klientów
Ceryfikaty tworze pod systemem windows wszytko ładnie działa ale nie mogę utworzyć następnych a nie chce zaczynać od nowa i podmieniać juz 20 istniejących .

2.Drugie pytanie to jak przypisać stałe adresy ip juz działającym klientom .
Jako server działa ruter z tomato a klucze są zapisane na dysku podpiętym do rutera

Za pomoc serdecznie dziękuję
 
gorus1
Witam,
Do wygenerowania kolejnego certyfikatu dla klienta jest wymagane posiadanie plików ca.crt, ca.key oraz serial.txt, które znajdują się w katalogu /easy-rsa/keys - są one potrzebne do wygenerowania kolejnych certyfikatów.
co do pytania nr 2 to najlepiej skonfigurować połączenie "z palca" dodając

ifconfig-push 10.8.0.2 255.255.255.0
iroute 192.168.1.0 255.255.255.0
push "route 192.168.11.0 255.255.255.0 10.8.0.1"


pierwsza linia to jest przypisanie statycznego IP dla klienta openVPN, druga to "wypchnięcie" sieci routera klienta, a trzecia to uwidocznienie sieci innego klienta oczywiście przy założeniu, że klienty openVPN to routery. Jeżeli to nie routery to te dwie ostatnie linie nie są potrzebne.
 
maciekkoper
Po wpisaniu polecenia do generowania certyfikatu jest to co poniżej .Wszytkie pliki znajduja się w katalogu keys


C:\Program Files\OpenVPN\easy-rsa>build-key.bat SO07
C:\Program Files\OpenVPN\easy-rsa
req [options] outfile
where options  are
 -inform arg    input format - DER or PEM
 -outform arg   output format - DER or PEM
 -in arg        input file
 -out arg       output file
 -text          text form of request
 -pubkey        output public key
 -noout         do not output REQ
 -verify        verify signature on REQ
 -modulus       RSA modulus
 -nodes         don't encrypt the output key
 -engine e      use engine e, possibly a hardware device
 -subject       output the request's subject
 -passin        private key password source
 -key file      use the private key contained in file
 -keyform arg   key file format
 -keyout arg    file to send the key to
 -rand file;file;...
                load the file (or the files in the directory) into
                the random number generator
 -newkey rsa:bits generate a new RSA key of 'bits' in size
 -newkey dsa:file generate a new DSA key, parameters taken from CA in 'file'
 -newkey ec:file generate a new EC key, parameters taken from CA in 'file'
 -[digest]      Digest to sign with (md5, sha1, md2, mdc2, md4)
 -config file   request template file.
 -subj arg      set or modify request subject
 -multivalue-rdn enable support for multivalued RDNs
 -new           new request.
 -batch         do not ask anything during request generation
 -x509          output a x509 structure instead of a cert. req.
 -days          number of days a certificate generated by -x509 is valid for.
 -set_serial    serial number to use for a certificate generated by -x509.
 -newhdr        output "NEW" in the header lines
 -asn1-kludge   Output the 'request' in a format that is wrong but some CA's
                have been reported as requiring
 -extensions .. specify certificate extension section (override value in config
file)
 -reqexts ..    specify request extension section (override value in config file
)
 -utf8          input characters are UTF8 (default ASCII)
 -nameopt arg    - various certificate name options
 -reqopt arg    - various request text options

unknown option -config
usage: ca args

 -verbose        - Talk alot while doing things
 -config file    - A config file
 -name arg       - The particular CA definition to use
 -gencrl         - Generate a new CRL
 -crldays days   - Days is when the next CRL is due
 -crlhours hours - Hours is when the next CRL is due
 -startdate YYMMDDHHMMSSZ  - certificate validity notBefore
 -enddate YYMMDDHHMMSSZ    - certificate validity notAfter (overrides -days)
 -days arg       - number of days to certify the certificate for
 -md arg         - md to use, one of md2, md5, sha or sha1
 -policy arg     - The CA 'policy' to support
 -keyfile arg    - private key file
 -keyform arg    - private key file format (PEM or ENGINE)
 -key arg        - key to decode the private key if it is encrypted
 -cert file      - The CA certificate
 -selfsign       - sign a certificate with the key associated with it
 -in file        - The input PEM encoded certificate request(s)
 -out file       - Where to put the output file(s)
 -outdir dir     - Where to put output certificates
 -infiles ....   - The last argument, requests to process
 -spkac file     - File contains DN and signed public key and challenge
 -ss_cert file   - File contains a self signed cert to sign
 -preserveDN     - Don't re-order the DN
 -noemailDN      - Don't add the EMAIL field into certificate' subject
 -batch          - Don't ask questions
 -msie_hack      - msie modifications to handle all those universal strings
 -revoke file    - Revoke a certificate (given in file)
 -subj arg       - Use arg instead of request's subject
 -utf8           - input characters are UTF8 (default ASCII)
 -multivalue-rdn - enable support for multivalued RDNs
 -extensions ..  - Extension section (override value in config file)
 -extfile file   - Configuration file with X509v3 extentions to add
 -crlexts ..     - CRL extension section (override value in config file)
 -engine e       - use engine e, possibly a hardware device.
 -status serial  - Shows certificate status given the serial number
 -updatedb       - Updates db for expired certificates
Nie można odnaleźć C:\*.old.

C:\Program Files\OpenVPN\easy-rsa>
 
PiotrC
Robisz coś zdecydowanie nie tak. U mnie skrypt generujący certyfikaty wygląda następująco:

Cytat

call vars
mkdir %KEY_DIR%
rem call clean-all
rem call build-ca
rem call build-key-server server
call build-key client01
Wykomentowałem Ci linie, które powodują generację certyfikatów od nowa oraz generują certyfikat serwera. Tak jak Ci pisał gorus1 musisz mieć pliki ca.crt, ca.key oraz serial.txt.
A przyznawanie statycznych adresów IP poszczególnym klientom zrób tak:
Do pliku konfiguracyjnego serwera dodaj:
  • client-config-dir ccd
  • ccd-exlusive
Następnie stwórz katalog openvpn/ccd a w nim umieść plik client01 zawierający jedną linię:
  • ifconfig-push 10.8.123.6 10.8.123.5
Z adresacją musisz uważać, bo OpenVPN dla Windows przyjmuje tylko środkowe adresy z całej czwórki (czyli następny klient będzie miał parę .10 i .9)
Ponieważ dodałeś do konfiguracji serwera ccd-exclusive, to nie połączy Ci się nikt z tunelem, kto nie ma pliku w katalogu ccd.
Asus RT-AC68U
 
maciekkoper
Dzięki wielkie jezeli chodzi o tworzenie certyfikatów .Faktycznie brakowało mi index.txt w katalogu easy-rsa.
Mam jeszcze pytanie co do adresacji .Konkretnie jeżeli nie dodam wpisu ccd-exclusive klienci nie wpisani nadal będą otrzymywali adresy nawet nie posaiadący pliku np client1 ???.
Teraz jeżeli serwerem jest ruter a klucze są zapisane na dysku i podane są ścieżki do nich to gdzie co mam wpisać
1. client-config-dir ccd
2.katalog openvpn/ccd jezeli na dysku to czy mam dodać scieżkę do listy :
ca /tmp/mnt/sda5/kluczevpn/ca.crt
cert /tmp/mnt/sda5/kluczevpn/server.crt
key /tmp/mnt/sda5/kluczevpn/server.key
dh /tmp/mnt/sda5/kluczevpn/dh2048.pem
3 . plik client1 - bez rozszerzenia ?????
 
PiotrC

Cytat

maciekkoper napisał(a):
Mam jeszcze pytanie co do adresacji .Konkretnie jeżeli nie dodam wpisu ccd-exclusive klienci nie wpisani nadal będą otrzymywali adresy nawet nie posaiadący pliku np client1 ???.
Tak

Cytat

maciekkoper napisał(a):
Teraz jeżeli serwerem jest ruter a klucze są zapisane na dysku i podane są ścieżki do nich to gdzie co mam wpisać
1. client-config-dir ccd
W VPN Tunneling -> OpenVPN server -> Server1-> Advanced -> Custom Configuration

Cytat

maciekkoper napisał(a):
2.katalog openvpn/ccd jezeli na dysku to czy mam dodać scieżkę do listy :
Nie bardzo rozumiem - wpisz pełną ścieżkę w Custom Configuration w postaci (jak się domyślam z Twojej konfiguracji)

Cytat

client-config-dir /tmp/mnt/sda5/ccd


Cytat

maciekkoper napisał(a):
ca /tmp/mnt/sda5/kluczevpn/ca.crt
cert /tmp/mnt/sda5/kluczevpn/server.crt
key /tmp/mnt/sda5/kluczevpn/server.key
dh /tmp/mnt/sda5/kluczevpn/dh2048.pem
Adresy w takiej formie wpisujesz w odpowiedznie pola VPN Tunneling -> OpenVPN server -> Server1 -> Advanced -> Keys (po zaznaczeniu Authorization Mode -> TLS, albo po zaznaczeniu Authorization Mode -> Custom w polu Custom Configuration).

Cytat

maciekkoper napisał(a):
3 . plik client1 - bez rozszerzenia ?????
Tak. Pamiętaj tylko, żeby "client1" był podany jako "Common Name " przy tworzeniu certyfikatu dla klienta.

Jeszcze jedna ważna uwaga (choć na pytanie jak to zrobić, będzie umiał odpowiedzieć zapewnie Shibby) - musisz mieć zamontowany dysk przed startem tuneli, bo inaczej Ci certyfikatów nie znajdzie
Asus RT-AC68U
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 93

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,503,510 unikalnych wizyt