Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-07-17 10:12:27
kaju007 - 
Użytkownik
- kaju007
- Użytkownik
- Zarejestrowany: 2010-02-20
Openvpn +cert+pam
Witam
Muszę postawić VPN więc skorzystałem z tego przepisu
[url]http://rpc.one.pl/index.php/lista-artykulow/36-debian/66-openvpn-czyli-twrzenie-tunelu-z-autoryzacja-rsa-skryptem-hasem[/url]
Coś mam nie tak. Wyskakuje okno logowania użytkownika unix potem pyta się o hasło do certyfikatu i jest błąd taki.
Kod:
Sun Jul 17 10:17:18 2011 OpenVPN 2.1_rc19 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Jul 16 2009 Sun Jul 17 10:17:27 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page). Sun Jul 17 10:17:27 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Sun Jul 17 10:17:34 2011 LZO compression initialized Sun Jul 17 10:17:34 2011 Attempting to establish TCP connection with xx.xx.xx.xx:7500 Sun Jul 17 10:17:34 2011 TCP connection established with xx.xx.xx.xx:7500 Sun Jul 17 10:17:34 2011 TCPv4_CLIENT link local: [undef] Sun Jul 17 10:17:34 2011 TCPv4_CLIENT link remote: xx.xx.xx.xx:7500 Sun Jul 17 10:17:34 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Sun Jul 17 10:17:34 2011 TLS Error: TLS object -> incoming plaintext read error Sun Jul 17 10:17:34 2011 TLS Error: TLS handshake failed Sun Jul 17 10:17:34 2011 Fatal TLS error (check_tls_errors_co), restarting Sun Jul 17 10:17:34 2011 SIGUSR1[soft,tls-error] received, process restarting
Pewnie gdzieś namieszałem z certyfikatami.
Tworzyłem je tez według opisu z tej strony
Tak wygląda plik log po uruchomieniu openvpn
Kod:
Sun Jul 17 10:33:56 2011 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008 Sun Jul 17 10:33:56 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Sun Jul 17 10:33:56 2011 WARNING: the current --script-security setting may allow passwords to be passed to scripts via environmental variables Sun Jul 17 10:33:56 2011 PLUGIN_INIT: POST /usr/lib/openvpn/openvpn-auth-pam.so '[/usr/lib/openvpn/openvpn-auth-pam.so] [common-auth]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY Sun Jul 17 10:33:57 2011 Diffie-Hellman initialized with 1024 bit key Sun Jul 17 10:33:57 2011 WARNING: file '/etc/ssl/private/newkey.pem' is group or others accessible Sun Jul 17 10:33:57 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted> Sun Jul 17 10:33:57 2011 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ] Sun Jul 17 10:33:57 2011 ROUTE default_gateway=xxx.xxx.xxx.xxx Sun Jul 17 10:33:57 2011 TUN/TAP device tun0 opened Sun Jul 17 10:33:57 2011 TUN/TAP TX queue length set to 100 Sun Jul 17 10:33:57 2011 /sbin/ifconfig tun0 10.3.0.1 pointopoint 10.3.0.2 mtu 1500 Sun Jul 17 10:33:57 2011 /sbin/route add -net 10.3.0.0 netmask 255.255.255.0 gw 10.3.0.2 Sun Jul 17 10:33:57 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ] Sun Jul 17 10:33:57 2011 GID set to nogroup Sun Jul 17 10:33:57 2011 UID set to nobody Sun Jul 17 10:33:57 2011 Listening for incoming TCP connection on 78.8.35.102:7500 Sun Jul 17 10:33:57 2011 Socket Buffers: R=[87380->131072] S=[16384->131072] Sun Jul 17 10:33:57 2011 TCPv4_SERVER link local (bound): xxx.xxx.xxx.xxx:7500 Sun Jul 17 10:33:57 2011 TCPv4_SERVER link remote: [undef] Sun Jul 17 10:33:57 2011 MULTI: multi_init called, r=256 v=256 Sun Jul 17 10:33:57 2011 IFCONFIG POOL: base=10.3.0.4 size=62 Sun Jul 17 10:33:57 2011 IFCONFIG POOL LIST Sun Jul 17 10:33:57 2011 MULTI: TCP INIT maxclients=4 maxevents=8 Sun Jul 17 10:33:57 2011 Initialization Sequence Completed
Tak tworzyłem certyfikaty moze jakiś błąd popełniłem
Kod:
Tworzenie własnego centrum certyfikacji PKI ./CA.pl -newca writing new private key to './demoCA/private/cakey.pem' Enter PEM pass phrase: podaję hasło1 Verifying - Enter PEM pass phrase: hasło1 Country Name (2 letter code) [AU]:PL State or Province Name (full name) [Some-State]:Dolnoslaskie Locality Name (eg, city) []:Kamienna Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP Organizational Unit Name (eg, section) []:ISP Common Name (eg, YOUR name) []:ISP ROOT CA Email Address []: admin@moja.domena Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: nie podaje hasła An optional company name []:nie podaje hasła Tworzenie certyfikatu serwera np. apacha, openvpn, exim. Wywołujemy komendę: ./CA.pl -newreq-nodes writing new private key to './demoCA/private/cakey.pem' Enter PEM pass phrase: podaje hasło1 Verifying - Enter PEM pass phrase: podaje hasło1 Country Name (2 letter code) [AU]:PL State or Province Name (full name) [Some-State]:Dolnoślaskie Locality Name (eg, city) []:Kamienna Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP Organizational Unit Name (eg, section) []:ISP Common Name (eg, YOUR name) []:ISP ROOT CA Email Address []:admin@moja.domena Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: nie podaje hasła An optional company name []:nie podaje hasła Podpisywanie wyżej wygenerowanego certyfikatu serwera wywołujemy komendę ./CA.pl -sign [b]Po tym przekopiowałem certyfikaty z /usr/lib/ssl/misc do cert /etc/ssl/certs/newcert.pem key /etc/ssl/private/newkey.pem i w /usr/lib/ssl/misc je wykasowałem i zacząłem robic certy dla usera[/b] 3. Generowanie imiennego certyfikatu clienta np. dla openvpn, mail Wywołujemy komendę: ./CA.pl -newreq debian:/usr/lib/ssl/misc# ./CA.pl -newreq Generating a 1024 bit RSA private key ...........++++++ ...........................++++++ writing new private key to 'newkey.pem' Enter PEM pass phrase: podaje hasło1 Verifying - Enter PEM pass phrase: podaje hasło1 ----- Country Name (2 letter code) [AU]:PL State or Province Name (full name) [Some-State]:Dolnoslaskie Locality Name (eg, city) []:Kamienna Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP Organizational Unit Name (eg, section) []:ISP Common Name (eg, YOUR name) []:Jakub --- taka sama nazwa jak w pliku userlist.txt Email Address []: Jakub@moja.domena Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: nie podaje hasła An optional company name []: nie podaje hasła Request is in newreq.pem, private key is in newkey.pem Podpisujemy certyfikat clienta: debian:/usr/lib/ssl/misc# ./CA.pl -sign
Ostatnio edytowany przez kaju007 (2011-07-17 12:07:26)
Offline
#2 2011-07-30 17:49:40
kaju007 - Użytkownik
- kaju007
- Użytkownik
- Zarejestrowany: 2010-02-20
Re: Openvpn +cert+pam
Uruchomiłem tego VPN działał było ok, po paru dniach chcę się znów połączyć i okazuje się że nie działa :) Juz odinstalowałem zrobiłem od nowa konfig itp i ciągle ten błąd przy uruchomieniu
Kod:
Starting virtual private network daemon: serverOptions error: I'm trying to parse "–sndbuf" as an --option parameter but I don't see a leading '--' Use --help for more information. failed!
Ostatnio edytowany przez kaju007 (2011-07-30 17:50:06)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00005 | SET NAMES latin2 |
| 0.00077 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.188.205.95' WHERE u.id=1 |
| 0.00156 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.188.205.95', 1732559217) |
| 0.00061 | SELECT * FROM punbb_online WHERE logged<1732558917 |
| 0.00128 | DELETE FROM punbb_online WHERE ident='18.118.140.78' |
| 0.00113 | DELETE FROM punbb_online WHERE ident='3.12.73.149' |
| 0.00593 | DELETE FROM punbb_online WHERE ident='3.144.114.8' |
| 0.00771 | DELETE FROM punbb_online WHERE ident='3.144.21.206' |
| 0.00132 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19368 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00232 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19368 ORDER BY p.id LIMIT 0,25 |
| 0.00086 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19368 |
| Total query time: 0.02368 s | |