[Sysadmins] OpenVPN сервер через Alterator

Владимир Саломатин salomatin.ru на mail.ru
Чт Май 6 08:10:48 UTC 2010 

>На сервере: создать ключ, подписать сертификат в УЦ и положить его.
-- 
WBR, Mikhail Efremov

Пожалуйста  еще раз для непонятливых:

Беру Школьный сервер. 

Захожу в Управление ключами SSL 
Создаю новый SSL ключ - openvpn-server
Получаю на свой домашний комп  файл  openvpn-server.csr

Захожу в Удостоверяющий Центр (УЦ) Школьного сервера  
загружаю openvpn-server.csr
нажимаю "Подписать"
получаю  файл  output.pem

Возвращаюсь в Управление ключами SSL
Этот файл (output.pem) выполняю  "Положить сертификат, подписанный УЦ":

получаю запись openvpn-server (истекает 06.05.2011) 

Хорошо

Захожу в OpenVPN-сервер, делаю 
"Положить сертификат УЦ" -  показываю путь до output.pem

Запускаю сервер, все нормально.
nmap -sU -p 1194 XX.XX.XX.XX

PORT     STATE         SERVICE
1194/udp open|filtered unknown

Вроде работает и на сервере появилось:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/[65534]
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0


Теперь с клинтом. Что и куда ложить?

>На клиенте: создать ключ, подписать сертификат тем же УЦ, что и
>сертификат сервера. Положить подписанный сертификат и сертификат этого
>УЦ (в alterator-ca можно его скачать).

Беру Simply
Центр управления системой - OpenVPN - соединение
Управление ключами
Создаю ключ "Общее имя vvv" и показываю каталог /tmp
получаю там файл vvv.csr

Возвращаюсь на Школьный сервер
Захожу в Удостоверяющий Центр (УЦ) Школьного сервера  
загружаю vvv.csr
нажимаю "Подписать"
получаю еще один файл под таким же названием: output.pem 

>Положить подписанный сертификат и сертификат этого
>УЦ (в alterator-ca можно его скачать).

Куда положить?
Пробовал положить клиенту оба одноименных файла output.pem 

Центр управления системой пишет "Включено", но ничего нет.

May  6 14:05:43 simply openvpn[14324]: IMPORTANT: OpenVPN's default port number is now 1194, 
based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 
as the default port.
May  6 14:05:43 simply openvpn[14324]: WARNING: No server certificate verification method has 
been enabled.  See http://openvpn.net/howto.html#mitm for more info.
May  6 14:05:43 simply openvpn[14324]: Re-using SSL/TLS context
May  6 14:05:43 simply openvpn[14324]: LZO compression initialized
May  6 14:05:43 simply openvpn[14324]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 
EL:0 ]
May  6 14:05:43 simply openvpn[14324]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 
EL:0 AF:3/1 ]
May  6 14:05:43 simply openvpn[14324]: Local Options hash (VER=V4): '41690919'
May  6 14:05:43 simply openvpn[14324]: Expected Remote Options hash (VER=V4): '530fdded'
May  6 14:05:43 simply openvpn[14324]: UDPv4 link local: [undef]
May  6 14:05:43 simply openvpn[14324]: UDPv4 link remote: 81.89.95.192:1194
May  6 14:05:43 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194
[2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by 
removing --remote or adding --float)
May  6 14:05:45 simply sshd[15086]: Accepted password for vova from 176.16.5.2 port 41384 ssh2
May  6 14:05:45 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194
[2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by 
removing --remote or adding --float)

Спасибо

Подробная информация о списке рассылки Sysadmins