1 Temat przez eerozeteen (edytowany przez eerozeteen 2015-04-10 10:02:00)

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Temat: OpenVPN - problemy

Hej,

Ponieważ potrzebuje stworzyć VPN na potrzeby malej firmy, zabralem sie do roboty i chcialem uzyć certyfikatów do autoryzacji.

Zrobiłem wszystko co jest opisane na wiki openwrt odnośnie openvpn i certyfikatów, ale mam jeszcze kilka pytan, ktore mnie nurtuja.

1) Jeżeli wczoraj wygenerowałem zestaw dla serwera i jednego klienta, mogę z powodzeniem degenerować jeszcze certyfikaty? Jaki pliki sa mi do tego potrzebne?
2) Jakie pliki z katalogu keys powinienem zachować do przyszłej generacji certyfikatów, a ktorych ze wzgledu bezpieczenstwa powineniem sie pozbyc z serwera z VPNem (przeniesienie w bezpieczne miesjce)

root@OpenWrt:/etc/easy-rsa/keys# ls
01.pem              index.txt           my-client.csr       serial
02.pem              index.txt.attr      my-client.key       serial.old
ca.crt              index.txt.attr.old  my-server.crt
ca.key              index.txt.old       my-server.csr
dh2048.pem          my-client.crt       my-server.key

3) Czy wszystkie kroki generacji musza odbywac sie na maszynie z vpnenem czy moge to zrobic na innym komputerze i pozniej tylko rozdystrybuowac pliki na serwer/router i stacje klienckie ? czy podczas generacji pliki sa powiazywane z urzadzeniem na ktorym odbywa sie generacja?

Narazie mam tyle pytan, ale mysle ze z czasem jak bede szedl dalej w konfiguracje vpn to nowe beda sie pojawiac (i juz nei zwiazane z certyfiaktami smile ).

2 Odpowiedź przez eerozeteen

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Odp: OpenVPN - problemy

Odpowiadajac sobie na pytania, zaleznosc plikow fajnie jest pokazana w tabeli na koncu sekcji w w how to openvpn https://openvpn.net/index.php/open-sour … o.html#pki

Wygenerowałem tez sobie na domowym kompie (ktory nie bedzie uczesniczyc w połączeniach VPN) certyfikaty, wiec problem z 3 pytania rowniez rozwiazany.

Teraz tylko jak probowalem sie laczyc przez aero, zeby sprawdzic czy dziala vpn, to mialem komunikaty odnosnie "unroutable packets" i cza bylo isc spac wiec zapomnialem zajrzec do logu serwera zeby zobaczyc w czym moze byc problem.

Dziwne bo na wczesniej wygenerowanych "testowych" certyfikatach (generowanych na routerze) połączenie sie zestawiło (tylko nie po aero tylko normalnie po sieci) - moze byc jakis problem w certyfikatach? czy to wina aero ?

3 Odpowiedź przez eerozeteen

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Odp: OpenVPN - problemy

Po świętach znalazłem czas żeby z powrotem siąść i zająć się tematem i już nie wiem co robić i myśleć na ten temat...

zrobiłem wszytko po kolei z wiki openwrt odnosnie openvpn - http://wiki.openwrt.org/doc/howto/vpn.openvpn

konfigi firewalla i openvpn:

root@OpenWrt:~# cat /etc/config/openvpn 

config openvpn 'myvpn'
    option enabled '1'
    option dev 'tun'
    option proto 'udp'
    option log '/tmp/openvpn.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/vpnserver.crt'
    option key '/etc/openvpn/vpnserver.key'
    option server '10.8.0.0 255.255.255.0'
    option port '1194'
    option keepalive '10 120'
    option dh '/etc/openvpn/dh2048.pem'
    option push 'route 192.168.1.0 255.255.255.0'
root@OpenWrt:~# cat /etc/config/firewall 

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fe80::/10'
    option src_port '547'
    option dest_ip 'fe80::/10'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config rule
    option name 'Allow-OpenVPN-Inbound'
    option target 'ACCEPT'
    option src '*'
    option proto 'udp'
    option dest_port '1194'

config zone
    option name 'vpn'
    option masq '1'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn0'

config forwarding
    option src 'vpn'
    option dest 'lan'

Pliki od certyfikatów:

root@OpenWrt:~# ls -al /etc/openvpn/
drwxr-xr-x    2 root     root          4096 Apr  8 21:03 .
drwxr-xr-x    1 root     root          4096 Sep 24  2014 ..
-rw-r--r--    1 root     root          1814 Apr  9 17:40 ca.crt
-rw-r--r--    1 root     root           424 Apr  9 17:40 dh2048.pem
-rw-r--r--    1 root     root          5648 Apr  9 17:40 vpnserver.crt
-rw-r--r--    1 root     root          1066 Apr  8 21:03 vpnserver.csr
-rw-------    1 root     root          1704 Apr  9 17:40 vpnserver.key

Ogólnie ma to wyglądać tak ze jest router z openvpn bedzie za routerem netii, podlaczony kabelkiem przez port wan i do niego beda wszytkie podlaczone urzadzenia, a urzadzenie netii bedzie tylko dzialac jako dostepowiec internetu.

Proboje teraz w domu na podobnej konfiguracji (UPC + router z openvpn) i cos jest nie tak.... Probojac zestawic polaczenie, mam cos takeigo w logach vpn clienta:

Thu Apr 09 21:41:21 2015 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Apr 09 21:41:21 2015 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Apr 09 21:41:21 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 09 21:41:21 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Thu Apr 09 21:41:21 2015 Local Options hash (VER=V4): '3514370b'
Thu Apr 09 21:41:21 2015 Expected Remote Options hash (VER=V4): '239669a8'
Thu Apr 09 21:41:21 2015 UDPv4 link local (bound): [undef]:1194
Thu Apr 09 21:41:21 2015 UDPv4 link remote: 192.168.1.199:1194
Thu Apr 09 21:41:21 2015 TLS: Initial packet from 192.168.1.199:1194, sid=49c78c66 e8e51cf7
Thu Apr 09 21:41:27 2015 VERIFY ERROR: depth=1, error=certificate signature failure: /C=PL/ST=Lubelskie/L=Lublin/O=Biuro/OU=Biuro/CN=VPN-CA/name=CA-VPN/emailAddress=mail@gmail.com
Thu Apr 09 21:41:27 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 09 21:41:27 2015 TLS Error: TLS object -> incoming plaintext read error
Thu Apr 09 21:41:27 2015 TLS Error: TLS handshake failed
Thu Apr 09 21:41:27 2015 TCP/UDP: Closing socket
Thu Apr 09 21:41:27 2015 SIGUSR1[soft,tls-error] received, process restarting
Thu Apr 09 21:41:27 2015 Restart pause, 2 second(s)
Thu Apr 09 21:41:29 2015 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Apr 09 21:41:29 2015 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 09 21:41:29 2015 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Thu Apr 09 21:41:29 2015 Local Options hash (VER=V4): '3514370b'
Thu Apr 09 21:41:29 2015 Expected Remote Options hash (VER=V4): '239669a8'
Thu Apr 09 21:41:29 2015 UDPv4 link local (bound): [undef]:1194
Thu Apr 09 21:41:29 2015 UDPv4 link remote: 192.168.1.199:1194
Thu Apr 09 21:41:29 2015 TLS Error: Unroutable control packet received from 192.168.1.199:1194 (si=3 op=P_CONTROL_V1)
Thu Apr 09 21:41:29 2015 TLS: Initial packet from 192.168.1.199:1194, sid=beb95521 61a39730
Thu Apr 09 21:41:31 2015 TLS Error: Unroutable control packet received from 192.168.1.199:1194 (si=3 op=P_CONTROL_V1)
Thu Apr 09 21:41:32 2015 TLS Error: Unroutable control packet received from 192.168.1.199:1194 (si=3 op=P_CONTROL_V1)
Thu Apr 09 21:41:32 2015 TLS Error: Unroutable control packet received from 192.168.1.199:1194 (si=3 op=P_CONTROL_V1)
Thu Apr 09 21:41:33 2015 TLS Error: Unroutable control packet received from 192.168.1.199:1194 (si=3 op=P_CONTROL_V1)
Thu Apr 09 21:41:33 2015 TCP/UDP: Closing socket
Thu Apr 09 21:41:33 2015 SIGTERM[hard,] received, process exiting


Ogolnie probowalem laczyc sie na 4 sposoby: (oczywiście odpowiedni port otwarty na routerze upc)

Z zewnatrz - aero do adresie zewnetrznym
Z "wewnatrz" (siec routera upc) po adresie zewnetrznym
Z "wewnatrz" (siec routera upc) do adresu wan vpn
Z " wewnatrz" (siec routera vpn) do adresu lokalnego routera

Kazda proba skutkowala czyms takim.

Dodam ze certyfikaty generowalem na laptopie i pliki przerzucalem do routera, bo juz 3 razy generowalem certyfikaty na routerze i budowanie dh trwajace ok 1h, skutecznie odrzuca do powtarzania tych czynnosci.

Gdzie moze byc problem? czy cos nie tak robie przy generacji certyfikatów i one wszytko psuja?

Dodam jeszcze (bo widizalem wpis Cezarego, odnosnie VPN i tam adnotacka o adresacji sieci i mozliwymi problemami z nimi), ze adresacja w routerze UPC to 10.10.1.0/24 a routera z vpn to 192.168.1.0/24.

Co robie nie tak?

4 Odpowiedź przez eerozeteen

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Odp: OpenVPN - problemy

Widzę ze prowadze niezly monolog, niczym blog wink Kolejne proby i spostrzerzenia, jednak koncowego efektu jaki chcialbym osiagnac nie ma...

Wszystko działa dobrze gdy robie wszytsko wg tutka Cezarego: http://eko.one.pl/?p=openwrt-openvpn

Jednak nie chcialbym ufać tylko hmac/sercet.key (mimo jego ciekawych "wlasciwosci" - bez niego nawet nie mozna wyskanowac otwartego portu - ciekaw jestem jak to jest jak port jest forwardingowany z "wczesniejszego" routera).

Probowalem dodawaj kilka opcji do konfiguracji zeby dodac do konfiga Cezarego certyfikaty, ale zaden sposob jaki probowalem, nie udał się tzn polaczenia nie udalo sie zestawic...

Dlatego prosze o info kogos, komu udalo sie zrobic dzialajacy vpn z certyfikacja na openwrt i rad bym byl o jakiegos tutka w naszym lub obcym jezyki, ktorego moglbym uzyc i sprawdzic, bo juz mi rece odpadaja co zle robie...

Narazie zostane przy samym secret.key, ale bede probowac dalej jak dorzucic certyfikaty, chodz robi sie to troche meczace wink