Два OpenVPN сервера на одной машине.

0

1

Шалом, православные. Есть Centos 7 на которой запущен сервер OpenVPN, всё работает, всё отлично. Но тут к VPN понадобилось подключить одну удалённую железку. Под руками окромя 3G-модема и Mikrotik'а больше ничего нет и не предвидится. Как оказалось, Mikrotik не умеет в TLS и, соответственно, к существующему серверу OpenVPN не подключится (не менять же конфиги у всех клиентов). Появилась мысль об запуске копии сервера с конфигом без TLS. Собсна, вопрос в следующем. Как для второго конфига сгенерить ключи, чтоб не затёрлись ca.key, ca.crt, dh.pem от первого сервера?

Ссылка

←	http-replicator снова

Момент запуска особого сервиса

→

Как для второго конфига сгенерить ключи, чтоб не затёрлись ca.key, ca.crt, dh.pem от первого сервера?

Зависит от того как ты их генерил первый раз

Как оказалось, Mikrotik не умеет в TLS

Я очень надеюсь что ты всё же разбираешься в вопросе и просто случайно написал TLS вместо TCP

Pinkbyte ★★★★★
(18.01.20 00:01:18 MSK)

Ответ на: комментарий от Pinkbyte 18.01.20 00:01:18 MSK

Да нет, не ошибся. Имел в виду, что в OpenVPN в Mikrotik не поддерживается аутентификация TLS. До сих пор.

Currently unsupported OpenVPN features:

UDP mode
LZO compression
TLS authentication
authentication without username/password

Ключи генерировались следующим образом

./vars
./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-dh
openvpn --genkey --secret pki/ta.key
./easyrsa build-server-full SRV01
./easyrsa build-client-full user01
./easyrsa build-client-full user02
./easyrsa build-client-full user03
./easyrsa gen-req SRV01 nopass
./easyrsa sign-req server SRV01
./easyrsa gen-req user01 nopass
./easyrsa sign-req client user01
./easyrsa gen-req user02 nopass
./easyrsa sign-req client user02
./easyrsa gen-req user03 nopass
./easyrsa sign-req client user03

robert_d
(18.01.20 00:52:24 MSK) автор топика

Ответ на: комментарий от robert_d 18.01.20 00:52:24 MSK

Точно, это ошибся я - как раз UDP не поддерживается, в отличие от.

По поводу сертификатов - что тебе мешает скопировать директорию со скриптами easyrsa и нагенерить там заново весь набор для второго сервера? Easyrsa использует только системный openssl и все настройки хранит в своей директории

Pinkbyte ★★★★★
(18.01.20 13:01:36 MSK)
Последнее исправление: Pinkbyte 18.01.20 13:02:20 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 18.01.20 13:01:36 MSK

Эм-м-м... Наверное, ничего не мешает. Надо будет попробовать.

robert_d
(18.01.20 13:08:02 MSK) автор топика

Ссылка

Зачем для второго конфига генерировать ключи, почему бы не использовать существующие ? Просто скопируйте текущий конфиг, закомментируйте tls-auth, укажите другой порт и всё.

Вообще же для генерации ключей скриптами easy-rsa обычно создают отдельный каталог, копируют туда скрипты и там всё генерят. Следовательно, нужен новый набор ключей - создаём новый каталог и повторяем всё с ним, пересечений с первым не будет.

spirit ★★★★★
(18.01.20 13:29:19 MSK)