Konfiguracja openvpn

[eso]

Cześć, o ile instalacja systemu i programów nie jest dla mnie problemem to znajomość sieci już tak.

Do tej pory łączyłem się z komputerem w pracy poprzez openvpn'a skonfigurowanego przez informatyka  firmowego ( system windows -> windows)

Miałem przygotowany katalog który po prostu wrzuciłem do katalogu openvpn'a i wszystko działało.

Chciałbym jednak całkowicie przejść w domu na Fedore mam jednak problem z konfiguracją openvpn'a (firmowy informatyk nie jest mi stanie pomóc)

W jaki sposób zmienić pliki konfiguracyjne z windowsa by zadziałały w Fedorze ?

 

[Arpe]

a co masz w tym przygotowanym katalogu ?

[SeeM]

Konfiguracja OpenVPN dla Linuksa to jeden plik tekstowy. Wygląda mniej więcej tak:

client
dev tun
proto udp
remote jakisserwer.openvpn.pl 1194
nobind
persist-key
persist-tun
mute-replay-warnings
remote-cert-tls server
verb 3
explicit-exit-notify
[różne opcje konfiguracyjne]

route-delay 2

<ca>
-----BEGIN CERTIFICATE-----
[śmieszne znaczki]
-----END CERTIFICATE-----
</ca>

<cert>
[śmieszne znaczki]
</cert>

<key>
[śmieszne znaczki]
</key>

Czy dostałeś taki plik od administratora swojej sieci? Jeżeli nie, to poproś o konfigurację właśnie w takiej formie i będziesz mógł zaimportować taki plik w "ustawienia -> sieć -> vpn -> "guziczek +". Jeżeli masz taki plik, to nie przesyłaj go i nie wklejaj na forum.

Możesz też połączyć się z VPN używając konsolowego klienta:

sudo openvpn twoj_plik_z_konfiguracja.ovpn

i zawsze jakieś tam błędy w przypadku niepowodzenia zwróci.

 

[eso]

Pliki konfiguracyjne na windowsie wyglądają następująco

 

[SeeM]

Spróbuj w terminalu napisać:

sudo openvpn nazwapliku.ovpn

"nazwapliku.ovpn" zastąp nazwą pliku, którego fragment zamieściłeś na zrzucie ekranu. Zobaczymy, co się mu nie spodoba.

[Arpe]

certykaty są osobno więc musisz wcześniej:

cd /sciezka/do/katalogu

[Arpe]

coś mie edycja nie poszła

obawaim się o routingi (ostatnia linia) oraz o wersję Open SSL-a, może się pogryźć serwer z Twoim klientem (obym się mylił)

[eso]

Znalazłem trochę czasu by znów pogrzebać przy openvpn.

Aktualnie plik ovpn mam taki (znalezione w necie z opisem ) szystko wrzuciłem do jednego katalogu domowego i odpalam z sudo

dev tun                                      # rodzaj interfejsu
client                                         # tryb pracy
remote XXX.XXX.XXX.XX      # IP serwera (zamiast xxx podajemy adres IP serwera)
proto tcp                                   # uzywany protokol
port 1194                                 # uzywany port
nobind                                      # nie otwiera portu po stronie klienta
ca ca.crt                                  # plik certyfikatu CA        
cert XXX.crt                            # plik certyfikatu klienta
key XXX.key                            # plik klucza prywatnego klienta
persist-tun                              # podtrzymuje interfejs TUN w stanie UP podczas restartu
persist-key                              # zapamietuje klucz
keepalive 10 120                    # utrzymuje polaczenie
cipher AES-256-CBC              # ustawienie algorytmu szyfrowania
comp-lzo                                 # wlaczenie kompresji
verb 3                                       # poziom logowania
#user nobody                          # uzytkownik na potrzeby OpenVPN (tylko Linux)
#group nogroup                      # grupa na potrzeby OpenVPN (tylko Linux)

#log openvpn.log                   # pliki logow serwera OpenVPN
#status openvpn-status.log

# Konfiguracja tls-auth
ns-cert-type server
key-direction 1
auth-user-pass auth.conf

 

Jeśli mam w konfiguracji comp-lzo to cały proces łączenia wygląda jak w logach w windowsie tylko, że windowsie  po linijce Initialization Sequence Completed  jest linijka  CONNECTED, SUCCESS a tutaj

2023-02-16 19:15:48 Initialization Sequence Completed
2023-02-16 19:15:57 Bad LZO decompression header byte: 42
2023-02-16 19:16:17 Bad LZO decompression header byte: 42

Jeśli zaś usunę comp-lzo to mam

2023-02-16 19:18:07 Connection reset, restarting [0]
2023-02-16 19:18:07 SIGUSR1[soft,connection-reset] received, process restarting
2023-02-16 19:18:07 Restart pause, 10 second(s)

 

[@sunrise]

21 minut temu, eso napisał:

cipher AES-256-CBC        

A w pliku z windowsa masz szyfrowanie 128 bitowe

[eso]

Niestety po zmianie na cipher AES-256-CBC   nadal miałem

2023-02-17 16:57:41 Initialization Sequence Completed
2023-02-17 16:57:51 Bad LZO decompression header byte: 42

Usunąłem comp-lzo to kończyło się na

2023-02-17 17:02:14 Initialization Sequence Completed

Więc dodałem jeszcze linijkę z konfiguracji, z windowsa

route XXX.XXX.X.X XXX.XXX.XXX.X XX.XX.X.X

I udało się

Dziękuję wszystkim za zainteresowanie tematem i pomoc.

[eso]

Na koniec mam jeszcze parę pytań natury kosmetycznej.

Do testów katalog z konfiguracją miałem w dokumentach. Gdzie powinienem go przenieść wg sztuki. Utworzyć w .config katalog openvpn i tam wszystko wrzucić ?

Czy jest możliwość w konfiguracji zapisać hasło

2023-02-17 17:26:19 OpenVPN 2.5.8 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Nov  1 2022
2023-02-17 17:26:19 library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10
2023-02-17 17:26:19 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Enter Private Key Password: (press TAB for no echo)

By nie było potrzeby ciągłego wpisywania (wystarczy że już po sudo trzeba  ) ?

[tomcio]

Godzinę temu, eso napisał:

Czy jest możliwość w konfiguracji zapisać hasło

Jak najbardziej, wystarczy że coś takiego dopiszesz w configu  

auth-user-pass /path/to/pass.txt

 

[eso]

Nie będzie się to gryzło z auth-user-pass auth.conf , mogą być dwa takie wpisy ?

Mam w katalogu plik auth.conf z hasłem (inne niż to podawane później) i jeśli go usunę to wywala od razu na początku

2023-02-17 18:56:33 WARNING: cannot stat file 'auth.conf': No such file or directory (errno=2)
Options error: --auth-user-pass fails with 'auth.conf': No such file or directory (errno=2)
Options error: Please correct these errors.

 

[SeeM]

W dniu 17.02.2023 o 17:15, eso napisał:

Usunąłem comp-lzo to kończyło się na

2023-02-17 17:02:14 Initialization Sequence Completed

Więc dodałem jeszcze linijkę z konfiguracji, z windowsa

route XXX.XXX.X.X XXX.XXX.XXX.X XX.XX.X.X

I udało się

Dziękuję wszystkim za zainteresowanie tematem i pomoc.

comp-lzo okazało się ryzykowne z punktu widzenia bezpieczeństwa połączenia, więc to i lepiej. Zwróć jeszcze uwagę, czy waga połączenia VPN nie przekracza twojej bramy domyślnej. Jeżeli tak jest, to wszystkie połączenia (łączenia z forum fedora.pl) będą przechodziły przez VPN. Jeżeli nie jest to potrzebne, a chcesz tylko dostać się do zasobów firmowych, powinna być mniejsza.

Zwyczajowo waga bramy domyślnej wynosi 100.