[Comm] OpenVPN

[Michael A. Kangin]

On 09/02/2012 02:55 PM, Vladimir Karpinsky wrote:

>>> >> dh /var/lib/ssl/certs/dh1024.pem
>> > как минимум этого вот нет на клиенте
> Положил, результата нет
А сам-то ключ положили? он идентичный серверному?


> Подскажите, пожалуйста, где бы это было бы хорошо разжёвано, --- я до конца
> не понимаю логики работы, и сомневаюсь, что правильно понимаю какие
> сертификаты куда надо класть. То что я нашёл делается через easy-rsa. У нас
> этого нет, и подробной документации с альт-спецификой найти тоже не могу.

openvpn может работать или со статичным ключом, одинаковым для клиента и 
сервера, или с CA-инфраструктурой, когда есть один сертификат CA, 
которому все доверяют, и по сертификато-ключу на каждый клиент и сервер.

Если вам нужно соединить только один клиент и один сервер, проще 
воспользоваться статичным ключом.
Примеры конфигов для этого типа лежат в
/usr/share/doc/openvpn-docs-*/sample-config-files/static-*.conf
(должен быть установлен пакет openvpn-docs)

Иначе же разворачивайте CA-инфраструктуру, если вы не пользуетесь уже 
какой-то готовой. Это вот easy-rsa я никогда почему-то не мог осилить, 
оказалось проще ручками по многочисленным статьям
(например, http://www.opennet.ru/base/sec/openssl.txt.html)
Делаете себе самоподписанный x509 сертификат для CA, делаете сертификаты 
для серверов и клиентов, указываете это всё в конфигах.
Примеры конфигов для этого типа:
/usr/share/doc/openvpn-docs-*/sample-config-files/server.conf
и /usr/share/doc/openvpn-docs-*/sample-config-files/client.conf

Там дофига комментариев, но почитать их душеполезно.


-- 
wbr, Michael A. Kangin