Dzień dobry
Mam 2 pytania dotyczące tworzenia certyfikatów dla klientów a konkretnie jak dorobić dodatkowe certyfikaty do juz istniejącej puli klientów
Ceryfikaty tworze pod systemem windows wszytko ładnie działa ale nie mogę utworzyć następnych a nie chce zaczynać od nowa i podmieniać juz 20 istniejących .
2.Drugie pytanie to jak przypisać stałe adresy ip juz działającym klientom .
Jako server działa ruter z tomato a klucze są zapisane na dysku podpiętym do rutera
Witam,
Do wygenerowania kolejnego certyfikatu dla klienta jest wymagane posiadanie plików ca.crt, ca.key oraz serial.txt, które znajdują się w katalogu /easy-rsa/keys - są one potrzebne do wygenerowania kolejnych certyfikatów.
co do pytania nr 2 to najlepiej skonfigurować połączenie "z palca" dodając
pierwsza linia to jest przypisanie statycznego IP dla klienta openVPN, druga to "wypchnięcie" sieci routera klienta, a trzecia to uwidocznienie sieci innego klienta oczywiście przy założeniu, że klienty openVPN to routery. Jeżeli to nie routery to te dwie ostatnie linie nie są potrzebne.
C:\Program Files\OpenVPN\easy-rsa>build-key.bat SO07
C:\Program Files\OpenVPN\easy-rsa
req [options] outfile
where options are
-inform arg input format - DER or PEM
-outform arg output format - DER or PEM
-in arg input file
-out arg output file
-text text form of request
-pubkey output public key
-noout do not output REQ
-verify verify signature on REQ
-modulus RSA modulus
-nodes don't encrypt the output key
-engine e use engine e, possibly a hardware device
-subject output the request's subject
-passin private key password source
-key file use the private key contained in file
-keyform arg key file format
-keyout arg file to send the key to
-rand file;file;...
load the file (or the files in the directory) into
the random number generator
-newkey rsa:bits generate a new RSA key of 'bits' in size
-newkey dsa:file generate a new DSA key, parameters taken from CA in 'file'
-newkey ec:file generate a new EC key, parameters taken from CA in 'file'
-[digest] Digest to sign with (md5, sha1, md2, mdc2, md4)
-config file request template file.
-subj arg set or modify request subject
-multivalue-rdn enable support for multivalued RDNs
-new new request.
-batch do not ask anything during request generation
-x509 output a x509 structure instead of a cert. req.
-days number of days a certificate generated by -x509 is valid for.
-set_serial serial number to use for a certificate generated by -x509.
-newhdr output "NEW" in the header lines
-asn1-kludge Output the 'request' in a format that is wrong but some CA's
have been reported as requiring
-extensions .. specify certificate extension section (override value in config
file)
-reqexts .. specify request extension section (override value in config file
)
-utf8 input characters are UTF8 (default ASCII)
-nameopt arg - various certificate name options
-reqopt arg - various request text options
unknown option -config
usage: ca args
-verbose - Talk alot while doing things
-config file - A config file
-name arg - The particular CA definition to use
-gencrl - Generate a new CRL
-crldays days - Days is when the next CRL is due
-crlhours hours - Hours is when the next CRL is due
-startdate YYMMDDHHMMSSZ - certificate validity notBefore
-enddate YYMMDDHHMMSSZ - certificate validity notAfter (overrides -days)
-days arg - number of days to certify the certificate for
-md arg - md to use, one of md2, md5, sha or sha1
-policy arg - The CA 'policy' to support
-keyfile arg - private key file
-keyform arg - private key file format (PEM or ENGINE)
-key arg - key to decode the private key if it is encrypted
-cert file - The CA certificate
-selfsign - sign a certificate with the key associated with it
-in file - The input PEM encoded certificate request(s)
-out file - Where to put the output file(s)
-outdir dir - Where to put output certificates
-infiles .... - The last argument, requests to process
-spkac file - File contains DN and signed public key and challenge
-ss_cert file - File contains a self signed cert to sign
-preserveDN - Don't re-order the DN
-noemailDN - Don't add the EMAIL field into certificate' subject
-batch - Don't ask questions
-msie_hack - msie modifications to handle all those universal strings
-revoke file - Revoke a certificate (given in file)
-subj arg - Use arg instead of request's subject
-utf8 - input characters are UTF8 (default ASCII)
-multivalue-rdn - enable support for multivalued RDNs
-extensions .. - Extension section (override value in config file)
-extfile file - Configuration file with X509v3 extentions to add
-crlexts .. - CRL extension section (override value in config file)
-engine e - use engine e, possibly a hardware device.
-status serial - Shows certificate status given the serial number
-updatedb - Updates db for expired certificates
Nie można odnaleźć C:\*.old.
Robisz coś zdecydowanie nie tak. U mnie skrypt generujący certyfikaty wygląda następująco:
Cytat
call vars
mkdir %KEY_DIR%
rem call clean-all
rem call build-ca
rem call build-key-server server
call build-key client01
Wykomentowałem Ci linie, które powodują generację certyfikatów od nowa oraz generują certyfikat serwera. Tak jak Ci pisał gorus1 musisz mieć pliki ca.crt, ca.key oraz serial.txt.
A przyznawanie statycznych adresów IP poszczególnym klientom zrób tak:
Do pliku konfiguracyjnego serwera dodaj:
client-config-dir ccd
ccd-exlusive
Następnie stwórz katalog openvpn/ccd a w nim umieść plik client01 zawierający jedną linię:
ifconfig-push 10.8.123.6 10.8.123.5
Z adresacją musisz uważać, bo OpenVPN dla Windows przyjmuje tylko środkowe adresy z całej czwórki (czyli następny klient będzie miał parę .10 i .9)
Ponieważ dodałeś do konfiguracji serwera ccd-exclusive, to nie połączy Ci się nikt z tunelem, kto nie ma pliku w katalogu ccd.
Dzięki wielkie jezeli chodzi o tworzenie certyfikatów .Faktycznie brakowało mi index.txt w katalogu easy-rsa.
Mam jeszcze pytanie co do adresacji .Konkretnie jeżeli nie dodam wpisu ccd-exclusive klienci nie wpisani nadal będą otrzymywali adresy nawet nie posaiadący pliku np client1 ???.
Teraz jeżeli serwerem jest ruter a klucze są zapisane na dysku i podane są ścieżki do nich to gdzie co mam wpisać
1. client-config-dir ccd
2.katalog openvpn/ccd jezeli na dysku to czy mam dodać scieżkę do listy :
ca /tmp/mnt/sda5/kluczevpn/ca.crt
cert /tmp/mnt/sda5/kluczevpn/server.crt
key /tmp/mnt/sda5/kluczevpn/server.key
dh /tmp/mnt/sda5/kluczevpn/dh2048.pem
3 . plik client1 - bez rozszerzenia ?????
maciekkoper napisał(a):
Mam jeszcze pytanie co do adresacji .Konkretnie jeżeli nie dodam wpisu ccd-exclusive klienci nie wpisani nadal będą otrzymywali adresy nawet nie posaiadący pliku np client1 ???.
Tak
Cytat
maciekkoper napisał(a):
Teraz jeżeli serwerem jest ruter a klucze są zapisane na dysku i podane są ścieżki do nich to gdzie co mam wpisać
1. client-config-dir ccd
W VPN Tunneling -> OpenVPN server -> Server1-> Advanced -> Custom Configuration
Cytat
maciekkoper napisał(a):
2.katalog openvpn/ccd jezeli na dysku to czy mam dodać scieżkę do listy :
Nie bardzo rozumiem - wpisz pełną ścieżkę w Custom Configuration w postaci (jak się domyślam z Twojej konfiguracji)
Cytat
client-config-dir /tmp/mnt/sda5/ccd
Cytat
maciekkoper napisał(a):
ca /tmp/mnt/sda5/kluczevpn/ca.crt
cert /tmp/mnt/sda5/kluczevpn/server.crt
key /tmp/mnt/sda5/kluczevpn/server.key
dh /tmp/mnt/sda5/kluczevpn/dh2048.pem
Adresy w takiej formie wpisujesz w odpowiedznie pola VPN Tunneling -> OpenVPN server -> Server1 -> Advanced -> Keys (po zaznaczeniu Authorization Mode -> TLS, albo po zaznaczeniu Authorization Mode -> Custom w polu Custom Configuration).
Tak. Pamiętaj tylko, żeby "client1" był podany jako "Common Name " przy tworzeniu certyfikatu dla klienta.
Jeszcze jedna ważna uwaga (choć na pytanie jak to zrobić, będzie umiał odpowiedzieć zapewnie Shibby) - musisz mieć zamontowany dysk przed startem tuneli, bo inaczej Ci certyfikatów nie znajdzie
· Łącznie użytkowników: 24,117 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone
tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala
tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes
Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz
' target='_blank'>Link
