免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: wenzk

[vpn] [原创]用OpenVPN构建安全VPN [OpenVPN + CA] [复制链接]

论坛徽章:
0
发表于 2005-03-04 09:22 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

我的server是192.168.1.72
好了。。。/etc/openvpn/server.conf
;local 192.168.1.72
port 1194
;proto tcp
proto udp
dev tap
;dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
;crl-verify vpncrl.pem
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append openvpn.log
verb 4
cat /etc/openvpn/client.conf
client
dev tap
;dev tun
;dev-node MyTap
;proto tcp
proto udp
remote 192.168.1.72 1194
;remote my-server-2 1194
;remote-random
;resolv-retry infinite
nobind
;user nobody
;group nobody
#route 200.200.199.0 255.255.0.0
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert elm.crt
key elm.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
#log /var/log/openvpn.log
verb 4

论坛徽章:
0
发表于 2005-03-10 11:41 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

用#做的注释是蓝色的,可是用;做的注释跟代码是一样的呀。

论坛徽章:
0
发表于 2005-03-10 11:48 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

[quote]原帖由 "feng0909"]用#做的注释是蓝色的,可是用;做的注释跟代码是一样的呀。[/quote 发表:


这是vim的设置问题

在openvpn的配置里头习惯把解释部分用#注释
命令,暂时不用的用;注释

论坛徽章:
2
数据库技术版块每日发帖之星
日期:2015-11-07 06:20:00数据库技术版块每日发帖之星
日期:2015-12-15 06:20:00
发表于 2005-03-10 13:59 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

楼主你好............本人完全按照你的方法配置的OPENVPN,配置软件如下:
服务器为RH9.0:有公网IP,配置文件如下:
[root@localhost openvpn]# cat server.conf
port 1194
;proto tcp
proto udp
dev tap
;dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
crl-verify vpncrl.pem
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append openvpn.log
verb 3
服务器端日志:

Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Re-using SSL/TLS context
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 LZO compression initialized
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 E
T:0 EL:0 ]
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET
:32 EL:0 AF:3/1 ]
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Local Options hash (VER=V4): '360696c5'
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Expected Remote Options hash (VER=V4): '13a273ba'
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 TLS: Initial packet from 218.27.63.205:1169, sid=cfa7
38fb 79a0836f
Thu Mar 10 13:47:04 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:04 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:04 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:05 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:05 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:05 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:05 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)

客户端配置文件:

client
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

;proto tcp
proto udp

remote 210.83.50.247 1194
;remote my-server-2 1194

;remote-random

resolv-retry infinite

nobind

route 192.168.0.0 255.255.252.0

persist-key
persist-tun

;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

ca ca.crt
cert elm.crt
key elm.key

ns-cert-type server

tls-auth ta.key 1

comp-lzo
log openvpn.log
# Set log file verbosity.
verb 4
客户端日志文件:

Thu Mar 10 13:44:48 2005 us=536362 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 10 13:44:48 2005 us=538386 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar 10 13:44:48 2005 us=538460 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar 10 13:44:48 2005 us=538477 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar 10 13:44:48 2005 us=538510 Local Options hash (VER=V4): '13a273ba'
Thu Mar 10 13:44:48 2005 us=538533 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar 10 13:44:48 2005 us=538586 Socket Buffers: R=[8192->;8192] S=[8192->;8192]
Thu Mar 10 13:44:48 2005 us=538614 UDPv4 link local: [undef]
Thu Mar 10 13:44:48 2005 us=538630 UDPv4 link remote: 210.83.50.247:1194
Thu Mar 10 13:44:48 2005 us=600776 TLS: Initial packet from 210.83.50.247:1194, sid=90fa608e bed6c988
Thu Mar 10 13:44:48 2005 us=811971 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/OU=OpenVPN_Service/CN=OpenVPN_Root_CA/emailAddress=elm@elm.freetcp.com
Thu Mar 10 13:44:48 2005 us=812163 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 10 13:44:48 2005 us=812186 TLS Error: TLS object ->; incoming plaintext read error
Thu Mar 10 13:44:48 2005 us=812197 TLS Error: TLS handshake failed
Thu Mar 10 13:44:48 2005 us=812366 TCP/UDP: Closing socket
Thu Mar 10 13:44:48 2005 us=812464 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 10 13:44:48 2005 us=812482 Restart pause, 2 second(s)
Thu Mar 10 13:44:50 2005 us=811752 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Mar 10 13:44:50 2005 us=811808 Re-using SSL/TLS context
Thu Mar 10 13:44:50 2005 us=811851 LZO compression initialized
Thu Mar 10 13:44:50 2005 us=811951 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 10 13:44:50 2005 us=812083 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar 10 13:44:50 2005 us=812133 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar 10 13:44:50 2005 us=812148 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar 10 13:44:50 2005 us=812176 Local Options hash (VER=V4): '13a273ba'
Thu Mar 10 13:44:50 2005 us=812198 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar 10 13:44:50 2005 us=812239 Socket Buffers: R=[8192->;8192] S=[8192->;8192]
Thu Mar 10 13:44:50 2005 us=812261 UDPv4 link local: [undef]
Thu Mar 10 13:44:50 2005 us=812275 UDPv4 link remote: 210.83.50.247:1194
Thu Mar 10 13:44:50 2005 us=843070 TLS: Initial packet from 210.83.50.247:1194, sid=bcffe364 4db57cd7
Thu Mar 10 13:44:51 2005 us=50302 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/OU=OpenVPN_Service/CN=OpenVPN_Root_CA/emailAddress=elm@elm.freetcp.com
Thu Mar 10 13:44:51 2005 us=50485 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 10 13:44:51 2005 us=50507 TLS Error: TLS object ->; incoming plaintext read error
Thu Mar 10 13:44:51 2005 us=50518 TLS Error: TLS handshake failed
Thu Mar 10 13:44:51 2005 us=50702 TCP/UDP: Closing socket
Thu Mar 10 13:44:51 2005 us=50801 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 10 13:44:51 2005 us=50820 Restart pause, 2 second(s)
Thu Mar 10 13:44:53 2005 us=50170 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Mar 10 13:44:53 2005 us=50226 Re-using SSL/TLS context
Thu Mar 10 13:44:53 2005 us=50265 LZO compression initialized
Thu Mar 10 13:44:53 2005 us=50358 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 10 13:44:53 2005 us=50488 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar 10 13:44:53 2005 us=50534 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar 10 13:44:53 2005 us=50549 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar 10 13:44:53 2005 us=50577 Local Options hash (VER=V4): '13a273ba'
Thu Mar 10 13:44:53 2005 us=50600 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar 10 13:44:53 2005 us=50633 Socket Buffers: R=[8192->;8192] S=[8192->;8192]
Thu Mar 10 13:44:53 2005 us=50653 UDPv4 link local: [undef]
Thu Mar 10 13:44:53 2005 us=50666 UDPv4 link remote: 210.83.50.247:1194
Thu Mar 10 13:44:53 2005 us=81506 TLS: Initial packet from 210.83.50.247:1194, sid=9f128875 ed38d642
Thu Mar 10 13:44:53 2005 us=306013 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/OU=OpenVPN_Service/CN=OpenVPN_Root_CA/emailAddress=elm@elm.freetcp.com
Thu Mar 10 13:44:53 2005 us=306184 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 10 13:44:53 2005 us=306205 TLS Error: TLS object ->; incoming plaintext read error
Thu Mar 10 13:44:53 2005 us=306217 TLS Error: TLS handshake failed
Thu Mar 10 13:44:53 2005 us=306389 TCP/UDP: Closing socket
Thu Mar 10 13:44:53 2005 us=306539 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 10 13:44:53 2005 us=306562 Restart pause, 2 second(s)

证书CA完全按照http://www.linuxaid.com.cn/forum/showdoc.jsp?l=1&i=85071所做,唯一不同的是我用的是RH9.0,而lzo用的是:lzo-1.08-3.1.fc2.dag.i386.rpm,可是出现奇怪问题。

在LAN内有两台XP其中一台能正常连接到服务器,一切工作正常,另一台则连接不成功,出现上面的错误日志。两台客户端的配置文件和CA完全一样.

请斑竹帮忙看看问题出在哪里。

谢谢~~~~~~~~~~~~~~~~

论坛徽章:
0
发表于 2005-03-10 18:12 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

请问两台机器是否使用相同的keys?

正常来说是不太可能这样的

论坛徽章:
2
数据库技术版块每日发帖之星
日期:2015-11-07 06:20:00数据库技术版块每日发帖之星
日期:2015-12-15 06:20:00
发表于 2005-03-10 19:09 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

刚开始使用相同的KEYS,后来换做不同的KEYS了也不行........


奇怪的是.....这台机器能上LAN内的一台OPENVPNSERVER(CA.CRT等文件都换为LAN内VPNSERVER的),一点问题也没有,可就是不能上外网的那个。...

郁闷中.......


怎么才能吊销一个KEYS呢?

论坛徽章:
0
发表于 2005-03-10 19:51 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

ca.crt在双方的机器上应该是一样的

在keys目录下有01.pem 02.pem ......等等文件,如果哪个证书需要吊销
直接./revoke-crt xx.pem即可,xx是被吊销正的的serial number
然后使用make-crl生成吊销证书的列表

论坛徽章:
2
数据库技术版块每日发帖之星
日期:2015-11-07 06:20:00数据库技术版块每日发帖之星
日期:2015-12-15 06:20:00
发表于 2005-03-11 00:13 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

感谢楼主的支持。。。。。。。。。。

我的问题基本上解决了。。。今天晚上换了个服务器,还是出现问题。

后来有重新安装了以下2000系统。。。。问题仍旧出现,无奈之下换个个硬盘,重新安装2000,结果好用了。。。。。这是又把,原来的硬盘接回来,就是刚才死活连接不上的那个2000系统,结果竟然也可以连上了。。。。我晕死了。。。。。。呵呵~~~~~~~~~~说的都没人相信。可事实就是这样的。

在次请教你个问题:

1、能不能在将客户端去往服务器端的广播包屏蔽掉。
2、能不能对客户端静态的分配IP地址。
3、一个KEYS原则上是不上只能,有一个客户端连接,能不能有多个连接。


谢谢~~~~~~~~~~同志们。

论坛徽章:
0
发表于 2005-03-11 00:23 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

1 不知道怎么搞
2 相对固定的,下次重新连接IP也固定了,修改配置文件,客户可以指定IP地址的
3 把duplicate-cn打开就可以了

论坛徽章:
2
数据库技术版块每日发帖之星
日期:2015-11-07 06:20:00数据库技术版块每日发帖之星
日期:2015-12-15 06:20:00
发表于 2005-03-12 00:11 |显示全部楼层

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

原帖由 "wenzk" 发表:
ca.crt在双方的机器上应该是一样的

在keys目录下有01.pem 02.pem ......等等文件,如果哪个证书需要吊销
直接./revoke-crt xx.pem即可,xx是被吊销正的的serial number
然后使用make-crl生成吊销证书的列表
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP