' target='_blank'>Link
22 Listopada 2024 16:52:38
Nawigacja
· Strona Główna
· Forum
· Tomato by Shibby
· FreshTomato

Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· Szukam zaproszeni... [19]
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.117.166.193
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
OpenVPN - problem z połączeniem
deniro83
Top  #1 Drukuj post
Dodano 30-09-2021 01:16
Hi. Sorki że zakładam nowy Topic, ale rozkładam ręce. Pomoże ktoś co może być nie tak. Tak wygląda moja konfiguracja i logi:

cdn.imageupload.workers.dev/5bw5ZRRk_Zrzut%20ekranu%202021-09-30%20010925.jpg
cdn.imageupload.workers.dev/wytRvxzo_Zrzut%20ekranu%202021-09-30%20010918.jpg

LOG VPN START (SERWER)
Kod Pobierz kod źródłowy  



Sep 30 00:48:32 unknown daemon.warn openvpn-server1[4434]: --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4434]: OpenVPN 2.5.3 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4434]: library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: PLUGIN_INIT: POST /lib/openvpn_plugin_auth_nvram.so '[/lib/openvpn_plugin_auth_nvram.so] [vpn_server1_users_val]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY 

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Diffie-Hellman initialized with 1024 bit key

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: TUN/TAP device tun21 opened

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: TUN/TAP TX queue length set to 1000

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: /usr/sbin/ip link set dev tun21 up mtu 1500

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: /usr/sbin/ip link set dev tun21 up

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: /usr/sbin/ip addr add dev tun21 10.6.0.1/24

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Socket Buffers: R=[122880->122880] S=[122880->122880]

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: UDPv4 link local (bound): [AF_INET][undef]:1194

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: UDPv4 link remote: [AF_UNSPEC]

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: MULTI: multi_init called, r=256 v=256

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: IFCONFIG POOL IPv4: base=10.6.0.2 size=252

Sep 30 00:48:32 unknown daemon.notice openvpn-server1[4435]: Initialization Sequence Completed



CLIENT CONFIG

Kod Pobierz kod źródłowy  



# Config generated by FreshTomato 2021.5 K26ARM USB AIO-64K-NOSMP, requires OpenVPN 2.4.0 or newer



remote 12.345.67.89 1194

proto udp4

dev tun

ncp-ciphers AES-256-CBC

auth none

client

remote-cert-tls server

ca ca.pem

cert client.crt

key client.key

tls-crypt static.key

auth-user-pass auth.txt

keepalive 15 60

resolv-retry infinite

nobind

float

verb 3

status status

; log /var/log/openvpn.log


CLIENT LOG:

Kod Pobierz kod źródłowy  



2021-09-30 00:52:05 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

2021-09-30 00:52:05 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

2021-09-30 00:52:05 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

2021-09-30 00:52:05 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

2021-09-30 00:52:05 TCP/UDP: Preserving recently used remote address: [AF_INET]12.345.67.89:1194

2021-09-30 00:52:05 Socket Buffers: R=[65536->65536] S=[65536->65536]

2021-09-30 00:52:05 UDPv4 link local: (not bound)

2021-09-30 00:52:05 UDPv4 link remote: [AF_INET]12.345.67.89:1194

2021-09-30 00:52:05 MANAGEMENT: >STATE:1632955925,WAIT,,,,,,

2021-09-30 00:52:05 MANAGEMENT: >STATE:1632955925,AUTH,,,,,,

2021-09-30 00:52:05 TLS: Initial packet from [AF_INET]12.345.67.89:1194, sid=210cf9ad 78fa21ab

2021-09-30 00:52:06 VERIFY ERROR: depth=1, error=invalid CA certificate: C=GB, ST=Yorks, L=York, O=FreshTomato, OU=IT, CN=server, serial=178158435515892531952637605928814275260154134711

2021-09-30 00:52:06 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

2021-09-30 00:52:06 TLS_ERROR: BIO read tls_read_plaintext error

2021-09-30 00:52:06 TLS Error: TLS object -> incoming plaintext read error

2021-09-30 00:52:06 TLS Error: TLS handshake failed

2021-09-30 00:52:06 SIGUSR1[soft,tls-error] received, process restarting

2021-09-30 00:52:06 MANAGEMENT: >STATE:1632955926,RECONNECTING,tls-error,,,,,

2021-09-30 00:52:06 Restart pause, 10 second(s)

2021-09-30 00:52:08 SIGTERM[hard,init_instance] received, process exiting

2021-09-30 00:52:08 MANAGEMENT: >STATE:1632955928,EXITING,init_instance,,,,,


SERWER LOG (po próbie połaczenia) :
Kod Pobierz kod źródłowy  



Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Sep 30 00:52:02 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55162 TLS: Initial packet from [AF_INET]98.765.432.10:55162, sid=540cdb5e 7f0d91cd

Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Sep 30 00:52:07 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:55163 TLS: Initial packet from [AF_INET]98.765.432.10:55163, sid=8f24e2e9 c02b9da5

Sep 30 00:52:46 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:57742 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Sep 30 00:52:46 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:57742 TLS Error: TLS handshake failed

Sep 30 00:52:46 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:57742 SIGUSR1[soft,tls-error] received, client-instance restarting

Sep 30 00:52:51 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:56679 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Sep 30 00:52:51 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:56679 TLS Error: TLS handshake failed

Sep 30 00:52:51 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:56679 SIGUSR1[soft,tls-error] received, client-instance restarting

Sep 30 00:52:56 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:51591 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Sep 30 00:52:56 unknown daemon.err openvpn-server1[4435]: 98.765.432.10:51591 TLS Error: TLS handshake failed

Sep 30 00:52:56 unknown daemon.notice openvpn-server1[4435]: 98.765.432.10:51591 SIGUSR1[soft,tls-error] received, client-instance restarting


Dziękuje za każdą pomoc
 
khain
Top  #2 Drukuj post
Dodano 30-09-2021 08:38

deniro83 napisał:

2021-09-30 00:52:06 VERIFY ERROR: depth=1, error=invalid CA certificate: C=GB, ST=Yorks, L=York, O=FreshTomato, OU=IT, CN=server, serial=178158435515892531952637605928814275260154134711
Ten log oznacza, że ca.pem nie jest tzw. Certificate Authority. Sprawdź czy tak jest za pomocą polecenia:
Kod Pobierz kod źródłowy  

openssl x509 -text -in ca.pem
i poszukaj linii:
Kod Pobierz kod źródłowy  

X509v3 Basic Constraints:

CA:TRUE
Jeśli masz CA:False to musisz wygenerować od nowa parę kluczy jako CA i podpisać .req serwera i klientów właśnie tym CA.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
Top  #3 Drukuj post
Dodano 01-10-2021 00:57
Hi. Dziękuje za zainteresowanie

root@unknown:/tmp# openssl x509 -text -in ca.pem
Can't open ca.pem for reading, No such file or directory
1074012160:error:02001002:lib(2):func(1):reason(2):NA:0:fopen('ca.pem','r'Wink
1074012160:error:2006D080:lib(32):func(109):reason(128):NA:0:
unable to load certificate
 
khain
Top  #4 Drukuj post
Dodano 01-10-2021 08:57
ca.pem to jest plik, który leży na jakiejś ścieżce (/opt/openvpn lub /etc/openvpn, itp.), jak widzisz w /tmp go nie ma.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
Top  #5 Drukuj post
Dodano 01-10-2021 23:58
W /tmp mam:

ca-cert.pem router.openlinksys.info.key
ca-key.pem server-key.pem
etc server-req.pem
ethernet.state share
home splashd
mnt sysinfo-helper
router.openlinksys.info.csr var

gdzie: openssl x509 -text -in ca-cert.pem
(celowo zmieniłem zaratość certyfikatów)

Kod Pobierz kod źródłowy  



Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            BA:8F:34:82:E2:65:C12:ab:96:9e:BA:8F:34:82:E2:65:Cb:fe:3b:ce:33

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: emailAddress = root@localhost, C = US, ST = Ohio, L = Columbus

        Validity

            Not Before: Sep 30 22:50:17 2021 GMT

            Not After : Jan 31 22:50:17 3021 GMT

        Subject: emailAddress = root@localhost, C = US, ST = Ohio, L = Columbus

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                RSA Public-Key: (2048 bit)

                Modulus:

                    00::BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C:d1

               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

               :BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Subject Key Identifier:

                2B:55::BA:8F:34:82:E2:65:C5:D9:69:8E:94:BA:8F:34:82:E2:65:C

            X509v3 Authority Key Identifier:

                keyid:2B:55:9B:74:8D:BA:8F:34:82:E2:BA:8F:34:82:E2:5:D9:69:8E:94

                DirName:/emailAddress=root@localhost/C=US/ST=Ohio/L=Columbus

                serial:38:55:BA:8F:34:82:E2:65:C:64:FA:93:BA:8F:34:8:FE:3B:CE:33



            X509v3 Basic Constraints:

                CA:TRUE

            X509v3 Key Usage:

                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment

    Signature Algorithm: sha256WithRSAEncryption

         54:f4:f5:5a:7e:48:f0:d3:e8:be:bf:38:55:24:81:80:8f:eb:

         8f:4e:20:e2:BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C:BA

       :8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C:BA:8F:34:82:E2:65:C

       3:7d:87:8a::2f:40:77:BA:8F:34:82:E2:65:Ced:1:2f:40:77:BA:8F:34:82:E2:65:Ced:1

         13:c9:5b:1e:ac:b5:66:db:95:80:09:01:7b:4e:3a:f6:f5:87:

         ef:c2:9d:c3:bf:46:2:B:BA:8F:34:82:E2:65:C:2f:40:77:BA:8F:34:82:E2:65:Ced:1

       5:Cd:3a:ba:e6:b1:a1:29::2f:40:77:BA:8F:34:82:E2:65:Ced:1

         ed:a3:04:50:40:b9:54:2f:40:77:BA:8F:34:82:E2:65:Ced:17:9f:eb:bf:b1:3c:

         1d:24:3d:bc:2:BA:8F:34:82:E2:65:C:b9:b1:1f:58:f5:2a:cc:c4:6b:08:

         a3:77:2e:2a

-----BEGIN CERTIFICATE-----

MIID+DCCAuCgAwIBAgIUOFXYEquWnrFTOmT6k+WB+/47zjMwDQYJKoZIhvcNAQEL

BQAwTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2NhbGhvc3QxCzAJBgNVBAYTAlVT

MQ0wCwYDVQQIEwRPaGlvMREwDwYDVQQHEwhDb2x1bWJ1czAgFw0yMTA5MzAyMjUw

MTdaGA8zMDIxMDEzMTIyNTAxN1owTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2Nh

bGhvc3QxCzAJBgNVBAYTAlVTMQ0wCwYDVQQIEwRPaGlvMREwDwYDVQQHEwhDb2x1

bWJ1czCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMfgtS3FhIp6+BdJ

083HGOLHW+Qe5+66/+DCCAuCgAwIBAgIUOFXYEquWnrFTOmT6k+WB+/47zjMwDQYJKoZIhvcNAQEL

BQAwTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2NhbGhvc3QxCzAJBgNVBAYTAlVT

MQ0wCwYDVQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMfgtS3FhIp6+BdJ

083HGOLHW+Qe5+66/+DCCAuCgAwIBAgIUOFXYEquWnrFTOmT6k+WB+/47zjMwDQYJKoZIhvcNAQEL

BQAwTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2NhbGhvc3QxCzAJBgNVBAYTAlVT

MQ0wCwYDVQQIEwRPaGlvMREwDwYDVQQHEwhDb2x1bWJ1czAgFw0yMTA5MzAyMjUw

MTdaGA8zMDIxMDEzMTIyNTAxN1owTjEdMBsGCSEROE5gFJKI0HaobafvAY16k

vWfow9ECAwEAAaOByzCByDAdBgNVHQ4EFgQUK1WbdI26jzSC4mXAEoyh5dlpjpQw

gYsGA1UdIwSBgzCBgIAUK1WbdI26jz4IBAQBU9PVa

fkjw0+i++DCCAuCgAwIBAgIUOFXYEquWnrFTOmT6k+WB+/47zjMwDQYJKoZIhvcNAQEL

BQAwTjEdMBsGCSqGSIb3DQEJARYOcm9vdEBsb2NhbGhvc3QxCzAJBgNVBAYTAlVT

MQ0wCwYDVQQIEwRPaGlvMREwDwYDVQQHEwhDb2x1bWJ1czAgFw0yMTA5MzAyMjUw

MTdaGA8zMDIxMDEzMTIyNTAxN1owTjEdMBsGCS25WACQF7Tjr2

9Yfvwp3Dv0YksrMBjz06uuaxoSntowRQQLlUL0B3bu0Xn+u/sTwdJD28L7KYg7mx

H1j1KszEawijdy4q

-----END CERTIFICATE-----
 
khain
Top  #6 Drukuj post
Dodano 02-10-2021 10:36
Tu masz ca-cert.pem, a w konfigu klienta masz
Kod Pobierz kod źródłowy  

ca ca.pem

Czy podpisałeś certy .req serwer i klienta tym samym CA?
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
Top  #7 Drukuj post
Dodano 02-10-2021 16:24

Cytat

Tu masz ca-cert.pem, a w konfigu klienta masz

czyli to ten certyfikat tylko ścieżka do niego jest zła?

Cytat

Czy podpisałeś certy .req serwer i klienta tym samym CA?

jest gdzieś jakiś opis jak to zrobić?

widziałem Twój wpis z innego wątku na temat .reg, czy to ta instrukcja?

Cytat


Zainstaluj openssl i easy-rsa
Skopiuj ca.crt do /etc/easy-rsa/pki
Skopiuj ca.key do /etc/easy-rsa/pki/private
Sprawdź czy wszystkie ścieżki w pliku /etc/easy-rsa/openssl.cnf się zgadzają.
Utwórz wymagane katalogi
Skopiuj pliki index.txt i serial do /etc/easy-rsa/pki/keys/
Jeśli ich nie masz to wykonaj:
Kod

touch /etc/easy-rsa/pki/keys/index.txt

echo 00 > /etc/easy-rsa/pki/keys/serial


Wykonaj poniższe polecenia jeśli chcesz wygenerować certy dla nowego użytkownika
Kod

cd /etc/easy-rsa/

openssl req -nodes -config openssl.cnf -newkey rsa:2048 -days 3650 -keyout userkey.pem -out usercert.req



openssl ca -config openssl.cnf -out usercert.pem -keyfile ./pki/private/cakey.pem -infiles usercert.req

Jeśli krzyczy błędami to znaczy, że pliki są w nieodpowiednich katalogach albo nie ma tych katalogów.


Scalony z 02 października 2021 16:31:36:
w lokalizacji root@unknown:/tmp/etc/openvpn/server1#
mam:
Kod Pobierz kod źródłowy  

ca.crt       config.ovpn  server.crt   static.key

ccd          dh.pem       server.key   status


i tutaj:
Kod Pobierz kod źródłowy  

X509v3 Basic Constraints:

                CA:TRUE
Edytowany przez deniro83 dnia 02-10-2021 16:31
 
khain
Top  #8 Drukuj post
Dodano 02-10-2021 19:57
Mój wpis, który zacytowałeś dotyczy sytuacji gdy masz już CA i chcesz wygenerować certy do kolejnego klienta openvpn.
Tutaj masz opis jak to zrobić całkowicie od nowa:
Kod Pobierz kod źródłowy  

/etc/easy-rsa/

touch index.txt

touch index.tat.attr

echo 00 > serial



#wygenerowanie CA

openssl req -new -x509 -days 3650 -extensions v3_ca -keyout cakey.pem -out cacert.pem -config openssl.cnf

mv ./cacert.pem ./pki/

mv ./cakey.pem ./pki/private

chmod 600 ./pki/private/cakey.pem



#wygenerowanie req i key dla serwera

openssl req -nodes -config openssl.cnf -newkey rsa:2048 -days 3650 -keyout serverkey.pem -out servercert.req

#podpisanie certa serwera

openssl ca -config openssl.cnf -out server.pem -keyfile cakey.pem -infiles servercert.req

#wygenerowanie req i key dla klienta

openssl req -nodes -config openssl.cnf -newkey rsa:2048 -days 3650 -keyout userkey.pem -out usercert.req

#podpisanie certa klienta

openssl ca -config openssl.cnf -out usercert.pem -keyfile ./pki/private/cakey.pem -infiles usercert.req
Podczas generowania CA wpisujesz hasło, które potem podajesz podczas podpisywania certa serwer i klienta. Podczas generowanie .req serwera i klienta nie podajesz żadnego hasła.
Jeśli podczas generowania dostajesz coś w stylu:
Kod Pobierz kod źródłowy  

cakey.pem File or directory not found
to znaczy, że musisz podać prawidłową ścieżkę do klucza CA.
Najlepiej przed rozpoczęciem generowania wyedytować plik openssl.cnf i podać dane:
Kod Pobierz kod źródłowy  

countryName_default = PL

stateOrProvinceName_default = mazowieckie

localityName_default  = Warszawa

0.organizationName_default = dom

i zostawić puste

organizationalUnitName_default =
Dzięki temu nie trzeba podawać za każdym razem tych danych, a część z nich musi być taka sama dla certów.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
Top  #9 Drukuj post
Dodano 04-10-2021 00:41
no właśnie w etc nie mam easy-rsa

mam tam:
Kod Pobierz kod źródłowy  

TZ                      hotplug2.rules          passwd

cert.pem                ip6tables               profile

dnscrypt-resolvers.csv  iproute2                protocols

dnsmasq.conf            iptables                resolv.conf

dropbear                key.pem                 resolv.dnsmasq

e2fsck.conf             l7-protocols            server.pem

ethertypes              ld.so.conf              services

fstab                   machine-id              shadow

gcom                    mke2fs.conf             ssl

group                   motd                    trust-anchors.conf

gshadow                 mtab                    usb_modeswitch.conf

hosts                   ntp.conf                usb_modeswitch.d

hosts.dnsmasq           openvpn


w openvpn jest "server1" o którego zawartości już wspomniałem
 
khain
Top  #10 Drukuj post
Dodano 04-10-2021 16:58
To musisz wygenerować na osobnej maszynie na Virtual boxie lub zbootować kompa na jakiejś dystrybucji linuksa na usb.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
deniro83
Top  #11 Drukuj post
Dodano 04-10-2021 19:06
No ok. O to mi chodziło, tylko potem wklejam to już w GUI Tomato, czy w te wskazaną lokalizację?
 
khain
Top  #12 Drukuj post
Dodano 04-10-2021 19:16
Wklejasz zawartość certów i kluczy w odpowiednie pola w GUI Tomato
ALBO
kopiujesz pliki na router np. do /opt/openvpn i podajesz ścieżkę do opowiednich certów w Custom Configuration (w GUI Tomato), np.
ca /opt/openvpn/ca.pem
Przy pierwszym rozwiązaniu może zabraknąć miejsca w nvram routera.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 88

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
95,269,375 unikalnych wizyt
Copyright © OpenLinksys 2006-2021


Powered by PHPFusion Copyright © 2024 PHP Fusion Inc
Released as free software without warranties under GNU Affero GPL v3.