• Advertisement
vps, vds, регистрация доменов

Погоите с VPN[Решено]

Вопросы, обсуждение каналов связи в Endian

Модератор: Модераторы форума

Погоите с VPN[Решено]

Сообщение dduh » 11 ноя 2013, 21:44

Пытаюсь настроить VPN с сертификатами. Делаю по статьям
http://help.endian.com/entries/21295816-How-to-configure-Endian-UTM-Appliance-to-use-OpenVPN-certificate-authentication
http://help.endian.com/entries/21292467
Создал сертификат шлюза, и сертификаты клиентов.
Экспортировал сертификат шлюза на шлюз, соответственно. Сертификаты клиентов на клиенты. Один клиент, анологичный Endian, другие компы с линуксом.
Везде одна и таже ошибка с TLS. Не могу сейчас лог предствить.
Соединение по паролю есть, а с сертификатом нет.
Что ему (шлюзу) не хвататет?
Последний раз редактировалось dduh 18 ноя 2013, 16:50, всего редактировалось 2 раз(а).
dduh
 
Сообщений: 24
Зарегистрирован: 21 июл 2013, 14:00

Re: Погоите с VPN, началась истерика ....

Сообщение Sindrom » 12 ноя 2013, 21:04

Без логов совсем не айс..а версия эндиана какая? А что значит клиент аналогичный endian? Сертификаты какого типа скачиваете?
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: Погоите с VPN, началась истерика ....

Сообщение dduh » 12 ноя 2013, 21:43

book-s nm-openvpn[6692]: SIGUSR1[soft,connection-reset] received, process restarting
Nov 12 22:31:37 book-s nm-openvpn[6692]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Nov 12 22:31:37 book-s nm-openvpn[6692]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Nov 12 22:31:37 book-s nm-openvpn[6692]: Re-using SSL/TLS context
Nov 12 22:31:37 book-s nm-openvpn[6692]: LZO compression initialized
Nov 12 22:31:37 book-s nm-openvpn[6692]: Attempting to establish TCP connection with [AF_INET]XX.XX.XX.XX:1194 [nonblock]
Nov 12 22:31:38 book-s nm-openvpn[6692]: TCP connection established with [AF_INET]XX.XX.XX.XX:1194
Nov 12 22:31:38 book-s nm-openvpn[6692]: TCPv4_CLIENT link local: [undef]
Nov 12 22:31:38 book-s nm-openvpn[6692]: TCPv4_CLIENT link remote: [AF_INET]XX.XX.XX.XX:1194
Nov 12 22:31:38 book-s NetworkManager[3130]: <warn> VPN connection 'Arkt' (IP Config Get) timeout exceeded.


Это лог с бука. Похоже что-то совсем сломалось.

Вообще я не понял главного.
Я создал свои сертификаты, как в вышеуказанных статьях.
1. Сертификат сервера VPN
2. Сертификаты клиентов VPN
3. Экспорт на сервер сертификата сервера - Успешно!
Какие сертификаты надо устанавливать в конфигурации клиента (на другом Endiane) , созданного мной сертификат клиента, или сертификат сервера, который он (сервер) предлагает скачать со странички настройки VPN?
Я пробовал устанавливать и те и другие у клиента, но ни чего не получилось. Пробовал экспортировать и в .pem и в .p12. Где-то я что-то главное упускаю, но где?

4. Если использовать сертификат установленный "по умолчанию" при установке Endian-а. Т.е. скачать файл.pem. Установить его у клиента второго endian-а, то VPN заработает с таким сертификатом?

Да, версия Endian-ов 2.5.2.
dduh
 
Сообщений: 24
Зарегистрирован: 21 июл 2013, 14:00

Re: Погоите с VPN, началась истерика ....

Сообщение Sindrom » 12 ноя 2013, 21:58

Вы двухфакторную аутентификацю тоже используете? Т.е. одновременно логин/пароль + сертификат? А с эндиана нет возможности логи посмотреть?
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: Погоите с VPN, началась истерика ....

Сообщение dduh » 12 ноя 2013, 22:10

Да, на сервере установлено сертификат+клиент. Подключаюсь с бука анологично. Логи только завтра, не могу достучаться до шлюза, он удалённо.
dduh
 
Сообщений: 24
Зарегистрирован: 21 июл 2013, 14:00

Re: Погоите с VPN, началась истерика ....

Сообщение dduh » 13 ноя 2013, 11:01

Не получается с сертификатами.
Логи с двух Endian-ов

Вот лог сервера:
-TLS Error: TLS handshake failed
-Re-using SSL/TLS context
-LZO compression initialized
-TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
-TLS Error: TLS object -> incoming plaintext read error
-TLS Error: TLS handshake failed

Лог с клиента:
- UDPv4 link remote: XX.XX.XX.XX:1194
- WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
- TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
- TLS Error: TLS handshake failed
- SIGUSR1[soft,tls-error] received, process restarting
- the current --script-security setting may allow this configuration to call user-defined scripts
- --script-security method="system" is deprecated due to the fact that passed parameters will be subject to shell expansion
- WARNING: file "/var/efw/openvpnclients/имя соединения/certs.p12" is group or others accessible <= возможно эта строка должна быть первой!!!
dduh
 
Сообщений: 24
Зарегистрирован: 21 июл 2013, 14:00

Re: Погоите с VPN, началась истерика ....

Сообщение Sindrom » 13 ноя 2013, 12:19

file "/var/efw/openvpnclients/имя соединения/certs.p12" is group or others accessible

Этот файл должен быть тоступен только вашему пользователю, поставьте права 600 на него.
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: Погоите с VPN, началась истерика ....

Сообщение Sindrom » 13 ноя 2013, 12:20

Его через интерфейс заливали на эндиан?
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: Погоите с VPN[Решено, почти....]

Сообщение dduh » 16 ноя 2013, 18:56

Я так и не понял причину, но вроде работает. Что сделал:
- создал новые сертификаты на сервер и клиенты
- создал ключ tls.key
- экспортировал ключи через веб-интерфейс
- tls.key закачал вручную (пришлось поставить wget)
- подкорректировал конфиги (брал инфу отсюдаhttp://dml.compkaluga.ru/forum/index.php?showtopic=70162)
- при настройке клиента, в веб интерфейсе есть окно для ключа tls.key, но у меня этот ключ в конфиг клиента не записался, правил ручками (так что этот момент проверяем!)
- у клиента экспортировал сертификат клиента.

С бука через network-manager-vpn соединился (режим сертификат+пароль+tls)
С другого endian-а соединился в этом же режиме.

В понедельник посмотрю уже на месте как пробрасываются сами сети в офисе и в филиале.

p.s. Я так и не от кого не услышал. У кого работает ВПН с сертификатами без бубна? Поделитесь информацией пж.!
dduh
 
Сообщений: 24
Зарегистрирован: 21 июл 2013, 14:00


Вернуться в VPN, VLAN, Каналы связи

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron
Каталог@Mail.ru - каталог ресурсов интернет