LINUX.ORG.RU
ФорумAdmin

openVPN непобедимый.

 


0

1

Добрый день. Большое Спасибо за уделённое время.

Я взялся за vpn впервые. Делаю сервер для авторизации по логину паролю без сертификатов по статьям через скрипт. Но мне кажется что сервер даже не видет моих попыток подключиться.

Конфиг сервера

port 1194
#proto udp
proto tcp
dev tun

daemon
mode server
#tls-server
comp-lzo

ca keys/ca.crt
cert keys/issued/vpn-server.crt
key keys/private/vpn-server.key
dh keys/dh.pem

#tls-auth keys/ta.key 0
server 10.8.0.0 255.255.255.0
#Запись ИП клиентов
ifconfig-pool-persist ipp.txt
#Пинги клиента 10сек 120 сек откл.
keepalive 10 120
max-clients 32
#Что бы клиенты видели друг друга
client-to-client

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
#Уровень логирования 0-9  стандарт 4.
verb 9
#Не более 20 послед сообщений в журнал.
mute 20

#Авторизация скриптом
auth-user-pass-verify /etc/openvpn/verify.sh via-file
# Без проверки серт клиента
verify-client-cert none
# Проверка по введённому username
username-as-common-name
tmp-dir /tmp
# Разрешить выполнять внешние скрипты
script-security 2
netstat -lntp
0.0.0.0:1194            0.0.0.0:*               LISTEN      1212/openvpn 

Скрипт авторизации «verify.sh» взял отсюда - https://skeletor.org.ua/?p=1571

Пробую телнетом с соседней машины тюкнють в этот порт - посмотреть реакцию - видит : telnet 192.168.98.215 1194 - В логе сервера вижу то пишет про мой IP. (длинный и не нужный тут ввывод лога). А если пробую с убунты PPTP или с винды, то в логе сервера тишина. Он как будто и не видит, что к нему обращались.

Выяснили:

PPTP к такой конфигурации не подключится. win openvpn просит сертификат. Лог: Options error: You must define CA file (--ca) or CA path (--capath)

Задача, подключаться по логину паролю. Подключить и ubuntu и win клиентов, и удалённые роутеры (раздать филиалам ресурсы).

Благодарен любым вашим мыслям и направлениям ).



Последнее исправление: ishk0 (всего исправлений: 5)

А точно через скрипт надо? Я, кажется к LDAP прикрутил и забыл. Работает сцуко :)

DALDON ★★★★★
()

есть же все уже готовое:

https://github.com/angristan/openvpn-install

А если пробую с убунты PPTP или с винды, то в логе сервера тишина. О

Ты собираешься подключится к openvpn через стандартные клиенты винды ? не получится - поставь softethervpn - там подключаться можно чем угодно

Jopich1
()
Последнее исправление: Jopich1 (всего исправлений: 3)
Ответ на: комментарий от Anoxemian

Anoxemian
Каша в голове

подтверждаю ) «Я взялся за vpn впервые.»

Jopich1
Ты собираешься подключится к openvpn через стандартные клиенты винды ?

Нет. В винде использую Openvpn с минимальным конфигом

auth-user-pass
dev tun
proto tcp
# Внешний IP сервера OpenVPN
remote 192.168.98.215
# Port сервера
port 1194
client
resolv-retry infinite


comp-lzo
persist-key
persist-tun

verb 3 

DALDON
LDAP

Это интересная мысль. Клиент будет стучаться к vpn серверу с лог\пассом от LDAP, а vpn будет сам смотреть в базу сверятся с пользователями. А как LDAP`у разрешить отдавать пользователей vpn серверу?

ishk0
() автор топика
Ответ на: комментарий от Anoxemian

Ой, Вы правы. Убунту не цеплялась, т.к. PPTP, win не цепляется так как хочет ca файл.

Options error: You must define CA file (--ca) or CA path (--capath)
Use --help for more information.

Но моя цель сделать вход только по хосту юзер\пасс. Хочу что бы удаленные роутеры тоже имели возможность подключаться как впн клиенты.

ishk0
() автор топика
Ответ на: комментарий от DALDON

Вы не могли бы мне скинуть конфиг пользователя? Он какой утилитой цепляется к впн`у? (хм ... и сервера, если Вас не затруднит ))

ishk0
() автор топика

А если пробую с убунты PPTP

PPTP это один VPN
а OPENVPN - совершенно другой.

Пока вы эту разницу не осознаете, дальше говорить не имеет смысла.

zgen ★★★★★
()
Ответ на: комментарий от ishk0
proto tcp
port 443
port-share xx.xx.xx.yy zzz
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
server xx.xx.xx.xx 255.255.255.0
client-cert-not-required
username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.cfg
persist-key
persist-tun
max-clients 10
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
keepalive 10 60
user nobody
group nogroup
script-security 2
client-config-dir /etc/openvpn/ccd
client-connect /etc/openvpn/on_connect.sh
client-disconnect /etc/openvpn/on_disconnect.sh
push "route xx.xx.xx.xx 255.255.255.255"

Сервер. Клиентский конфиг дома. Если не забуду - кину.

DALDON ★★★★★
()
Ответ на: комментарий от ishk0

Цепляется openvpn клиентом, который висит в автозагрузке. Я сделал бяку, и прописал логин+пароль в клиенте. Не очень секурно, зато оно теперь само цепляется, пере цепляется и т.д.

DALDON ★★★★★
()
Ответ на: комментарий от zgen

zgen
PPTP это один VPN
а OPENVPN - совершенно другой.

Anoxemian
openvpn это протокол, он несовместим с pptp от слова совсем.

Да, думаю это самая полезная фраза. Почитал про них.

Вывод openvpn может подключаться по user\pass но ca.crt всё равно на клиенте требуется.

Роутеры разрулил (установкой плагина openvpn), клиентов тоже. Спасибо за пинок в верном направлении! :)

ishk0
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.