1 Odpowiedź przez geciu

(4 odpowiedzi, napisanych Oprogramowanie / Software)

Dziękuję Cezary.

Problem rozwiązany. Opisuję zagadnienie szczegółowo bo może jeszcze komuś się to przyda.

Okazało się, ze podczas przygotowywania mojego tunelu korzystając z Twojej instrukcji zastosowałem dodatkowo ostatni opcjonalny podpunkt:

Anulowanie certyfikatu klienta.

Jest tam opisana procedura generowania pliku o nazwie crl.pem, który zawiera listę uniewaznionych certyfikatow.

Treść tego pliku jest zakodowana, ale można ją podejrzeć za pomocą polecenia:

openssl crl -in crl.pem -noout -text

U mnie wydanie tego polecenia pokazuje:

Certificate Revocation List (CRL):
        Version
        Signature Algorithm: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        Issuer: CN = serwer
        Last Update: May 26 22:34:10 2020 GMT
        Next Update: Nov 25 22:34:10 2020 GMT
       

Revoked Certificates:
    Serial Number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        Revocation Date:
    Signature Algorithm: xxxxxxxxxxxxxxxxxxxxxxxxxx

Okazalo sie, że waznosc pliku crl.pem domysnie ustawiana jest na 6 miesiecy.

Po wydaniu polecenia:
/etc/easy-rsa # easyrsa gen-crl

pojawil się komunikat:

An updated CRL has been created.
CRL file: /etc/easy-rsa/pki/crl.pem

i zostal stworzony nowy plik crl.pem

po podejrzeniu treści:

# openssl crl -in crl.pem -noout -text

Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        Issuer: CN = serwer
        Last Update: Nov 28 20:30:15 2020 GMT
        Next Update: May 27 20:30:15 2021 GMT

widać, że plik został znów wydany na pół roku.

Teraz pozostało przekopiować go do katalogu:
/etc/openvpn

i restart routera.

Pozdrawiam.

Idź do forum: Oprogramowanie / Software

2 Temat przez geciu

(4 odpowiedzi, napisanych Oprogramowanie / Software)

Witam.

Zrobiłem sobie łączność VPN według instrukcji:

"OpenWrt - konfiguracja serwera OpenVPN w trybie TUN"
https://eko.one.pl/?p=openwrt-openvpntun

i około 6 miesięcy łączność działała.

Obecnie przestała działać i w logu po stronie serwera VPN jest następująca informacja:

Fri Nov 27 17:22:27 2020 94.254.160.103:2642 TLS: Initial packet from [AF_INET]94.254.160.103:2642, sid=xxxxxxxx xxxxxxxx
Fri Nov 27 17:22:28 2020 94.254.160.103:2642 VERIFY ERROR: depth=0, error=CRL has expired: CN=klient
Fri Nov 27 17:22:28 2020 94.254.160.103:2642 OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
Fri Nov 27 17:22:28 2020 94.254.160.103:2642 TLS_ERROR: BIO read tls_read_plaintext error
Fri Nov 27 17:22:28 2020 94.254.160.103:2642 TLS Error: TLS object -> incoming plaintext read error
Fri Nov 27 17:22:28 2020 94.254.160.103:2642 TLS Error: TLS handshake failed
Fri Nov 27 17:22:28 2020 94.254.160.103:2642 SIGUSR1[soft,tls-error] received, client-instance restarting

A po stronie klienta:

Sat Nov 28 13:33:24 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:1194
Sat Nov 28 13:33:24 2020 Socket Buffers: R=[163840->163840] S=[163840->163840]
Sat Nov 28 13:33:24 2020 UDP link local (bound): [AF_INET][undef]:1194
Sat Nov 28 13:33:24 2020 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Sat Nov 28 13:33:25 2020 TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:1194, sid=xxxxxxxx
Sat Nov 28 13:33:26 2020 VERIFY OK: depth=1, CN=serwer
Sat Nov 28 13:33:26 2020 VERIFY KU OK
Sat Nov 28 13:33:26 2020 Validating certificate extended key usage
Sat Nov 28 13:33:26 2020 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sat Nov 28 13:33:26 2020 VERIFY EKU OK
Sat Nov 28 13:33:26 2020 VERIFY OK: depth=0, CN=serwer
Sat Nov 28 13:34:25 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Nov 28 13:34:25 2020 TLS Error: TLS handshake failed
Sat Nov 28 13:34:25 2020 SIGUSR1[soft,tls-error] received, process restarting
Sat Nov 28 13:34:25 2020 Restart pause, 300 second(s)


O ile dobrze rozumiem, skończyła się ważność certyfikatów.

W jaki sposób ten problem naprawić?

Gdzie ustawia się termin ważności certyfikatów lub długość ważności certyfikatów?

Czy wystarczy zaktualizować ważność certyfikatów po stronie serwera, czy  to zrobić po stronie klienta?

Czy wystarczy wygenerować ponownie plik crl.pem i/lub dh.pem?

Pozdrawiam.

Idź do forum: Oprogramowanie / Software

3 Odpowiedź przez geciu

(3 odpowiedzi, napisanych Oprogramowanie / Software)

Rzeczywiście brakowało mi po prostu forwarding-u pakietów z lan do vpn.

Dodałem do pliku firewall (na serwerze VPN i klientach) następujące linie:

config forwarding
    option src 'lan'
    option dest 'vpn'

bo w drugą stronę (z vpn do lan) już miałem.

Dziękuję użytkownikom mar_w oraz khain za pomoc i cenne porady.

Pozdrawiam

Temat do zamknięcia.

Idź do forum: Oprogramowanie / Software

4 Temat przez geciu

(3 odpowiedzi, napisanych Oprogramowanie / Software)

Witam wszystkich. Jest to mój debiut na tym forum,
choć treści na nim czytam od kilku lat.

Ze smutkiem stwierdzam, że pomimo siedzenia
nad pewnym problemem od początku maja - nie poradziłem sobie.

Sprawa dotyczy OpenVPN-a.

Mam 4 routery z:
OpenWrt 19.07-SNAPSHOT, r11014-c2efc973d5                                 |

Jeden ma dostęp do sieci internet ze stałym adresem IP.
Trzy mają dostęp za pomocą modemu GSM.

Stworzyłem według instrukcji p. Cezarego serwer OpenVPN w trybie TUN.

VPN pozwala mi na łączenie się z dowolnego z routerów w sieci z pozostałymi.

Adresy routerów:        adres tunelu:
serwer1 LAN 192.168.81.1/24    10.8.0.1
klient2 LAN 192.168.82.1/24    10.8.0.2
klient3 LAN 192.168.83.1/24    10.8.0.3
klient4 LAN 192.168.84.1/24    10.8.0.4

Tunel działa. Z dowolnego routera mogę pingowac dowolny router i maszyny
podłączone do niego (routery po adresach LANu i tunelu, maszyny po adresie LANu).

A chciałbym aby pingowanie działało też z PC-ta podłączonego do dowolnego routera.

Mój problem:
Z dowolnej maszyny podłączonej do dowolnego routera nie mogę pingowac
(wiec i podłączać np. zdalnego pulpitu) adresu tunelu i adresu LAN
innego niż na "moim" (czyli tym, do którego jestem aktualnie podłączony).

Co i jak zrobić aby działał routing pomiędzy sieciami również dla zwykłych PC-tów?


tablica routingu na serwerze:
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         xxx.xxx.xxx.1   0.0.0.0         UG    0      0        0 eth0.2
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.81.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.82.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.83.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.84.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0
xxx.xxx.xxx.0   0.0.0.0         255.255.248.0   U     0      0        0 eth0.2

tablica routingu na kliencie:
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.64.64.64     0.0.0.0         UG    0      0        0 3g-wan
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 3g-wan
192.168.81.0    10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.82.0    10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.83.0    10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.84.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan

zawartość mojego pliku openvpn na serwerze:

config openvpn 'home'
    option enabled '1'
    option dev 'tun0'
    option port '1194'
    option proto 'udp'
    option log '/tmp/openvpn.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/serwer.crt'
    option key '/etc/openvpn/serwer.key'
    option server '10.8.0.0 255.255.255.0'
    option topology 'subnet'
    option dh '/etc/openvpn/dh.pem'
    option client_config_dir '/etc/openvpn/ccd'
    list push 'route 192.168.81.0 255.255.255.0'
    list push 'route 192.168.82.0 255.255.255.0'
    list push 'route 192.168.84.0 255.255.255.0'
    list push 'route 192.168.83.0 255.255.255.0'
    list route '192.168.82.0 255.255.255.0'
    list route '192.168.84.0 255.255.255.0'
    list route '192.168.83.0 255.255.255.0'
    option client_to_client '1'

i na kliencie:

config openvpn 'klient4'
    option enabled '1'
    option dev 'tun0'
    option proto 'udp'
    option log '/tmp/openvpn.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/klient4.crt'
    option key '/etc/openvpn/klient4.key'
    option client '1'
    option remote_cert_tls 'server'
    option remote 'moj_IP 1194'

Idź do forum: Oprogramowanie / Software