[Comm] Openvpn

Vladimir Karpinsky vkarpinsky на mail.ru
Сб Фев 2 17:04:08 MSK 2013 

02.02.2013 16:37, Nikolay A. Fetisov пишет:
> В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет:
>> 31.01.2013 0:04, Nikolay A. Fetisov пишет:
>>
>>> Offtopic: chroot и работу от псевдо-пользователя _действительно_ надо
>>> было отключать в /etc/sysconfig/openvpn ?
>>
>> А оно отключено? ...
>
> В /etc/sysconfig/openvpn из пакета присутствуют строки
> CHROOT=yes
> OPENVPNUSER=openvpn
> OPENVPNGROUP=openvpn
>
> При их наличии init-скрипт запускает OpenVPN с ключами командной строки
> "--user openvpn --group openvpn --persist-tun --persist-key
> --chroot /var/lib/openvpn"
>
> У Вас этого не наблюдается - соответственно, в /etc/sysconfig/openvpn
> они отключены.
> А есть ли соответствующие параметры в файле конфигурации - надо смотреть
> отдельно.

Строк нет, вероятно, уход в чрут полезен, да и вставить 3 строки недолго, 
пользователь и группа имеются. Чем может грозить сам переход?

>> Есть ли преимущества у какого-нибудь способа запуска?
>
> Не скажу - я не пользуюсь ни конфигураций через etcnet, ни альтератором
> в целом.

> Так что, выбирать Вам.

Пока убрал etcnet, т.к. рабочий (по сертификатам) init-скрипт, дальше подумаю.

>> ...
>> Пытаюсь для начала свести конфигурации к единообразности по сертификатам.
>> ...
>
> На самом деле, зависит от того, как (чем) создаются сертификаты.
> В целом:
> - должен быть центр сертификации (Certification Authority) - его
>    сертификат (или цепочка для SubCA) указывается в параметре ca;
> - для сервера должен быть ключ и серверный сертификат, подписанный CA -
>    в key и cert в файле конфигурации сервера соответственно;
> - для клиента должен быть ключ и клиентский сертификат, подписанный CA -
>    в key и cert в файле конфигурации клиента соответственно;
> - сертификаты CA, сервера и клиента должны быть действующими.
>
> Т.е., сертификат CA на сервере должен быть тот же, что и на клиентах,
> сертификат сервера должен быть подписан этим CA, и сертификаты клиентов
> также должны быть подписаны тем же самым CA.
>
> Опционально, на сервере в каталоге, указанном в ccd, _может_ быть файл
> с именем, совпадающим с CN сертификата клиента - тогда клиенту будет
> дополнительно при подключении передана конфигурация из такого файла.
>
Это всё есть и работает. На клиентах прописан ca, тот который прописан в 
/etc/openvpn, тот, что в etcnet --- другой, из-за этого, скорее всего, 
клиенты подцепиться не могли, когда он запускался при загрузке, и писали 
ошибку сертификата. Я в какой-то момент, когда запускал, совсем в 
сертификатах запутался и вероятно создал CA не один раз --- один попал в 
конфиг альтератора, а второй, когда создавал /etc/openvpn. Вопрос в том, 
почему файлы так значительно отличаются по структуре. Почему у них 
оказались разные расширения, есть ли в этом какой-то физический смысл?

> Вариант, когда в двух разных конфигурациях key и cert одинаковые, а
> ca разный - какой-то очень подозрительный. Т.е., такое может и работать
> (например, сертификат CA помещён внутрь cert, и отдельно указанный ca не
> используется; или cert самоподписанный, и им же подписаны сертификаты
> клиентов), но выглядит оно как-то странно.

Плохо то, что сделал давно, заниматься этим приходится урывками, да и 
сервер лишний раз перегружать не хочу. В результате работает, но как...

-- 
	С уважением,
		Владимир.

Подробная информация о списке рассылки community