Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-07-17 10:12:27

  kaju007 - Użytkownik

kaju007
Użytkownik
Zarejestrowany: 2010-02-20

Openvpn +cert+pam

Witam

Muszę postawić VPN więc skorzystałem z tego przepisu
[url]http://rpc.one.pl/index.php/lista-artykulow/36-debian/66-openvpn-czyli-twrzenie-tunelu-z-autoryzacja-rsa-skryptem-hasem[/url]

Coś mam nie tak. Wyskakuje okno logowania użytkownika unix potem pyta się o hasło do certyfikatu i jest błąd taki.

Kod:

Sun Jul 17 10:17:18 2011 OpenVPN 2.1_rc19 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Jul 16 2009
Sun Jul 17 10:17:27 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Sun Jul 17 10:17:27 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sun Jul 17 10:17:34 2011 LZO compression initialized
Sun Jul 17 10:17:34 2011 Attempting to establish TCP connection with xx.xx.xx.xx:7500
Sun Jul 17 10:17:34 2011 TCP connection established with xx.xx.xx.xx:7500
Sun Jul 17 10:17:34 2011 TCPv4_CLIENT link local: [undef]
Sun Jul 17 10:17:34 2011 TCPv4_CLIENT link remote: xx.xx.xx.xx:7500
Sun Jul 17 10:17:34 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Jul 17 10:17:34 2011 TLS Error: TLS object -> incoming plaintext read error
Sun Jul 17 10:17:34 2011 TLS Error: TLS handshake failed
Sun Jul 17 10:17:34 2011 Fatal TLS error (check_tls_errors_co), restarting
Sun Jul 17 10:17:34 2011 SIGUSR1[soft,tls-error] received, process restarting

Pewnie gdzieś namieszałem z certyfikatami.
Tworzyłem je tez według opisu z tej strony

Tak wygląda plik log po uruchomieniu openvpn

Kod:

Sun Jul 17 10:33:56 2011 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Sun Jul 17 10:33:56 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sun Jul 17 10:33:56 2011 WARNING: the current --script-security setting may allow passwords to be passed to scripts via environmental variables
Sun Jul 17 10:33:56 2011 PLUGIN_INIT: POST /usr/lib/openvpn/openvpn-auth-pam.so '[/usr/lib/openvpn/openvpn-auth-pam.so] [common-auth]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY 
Sun Jul 17 10:33:57 2011 Diffie-Hellman initialized with 1024 bit key
Sun Jul 17 10:33:57 2011 WARNING: file '/etc/ssl/private/newkey.pem' is group or others accessible
Sun Jul 17 10:33:57 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Sun Jul 17 10:33:57 2011 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Jul 17 10:33:57 2011 ROUTE default_gateway=xxx.xxx.xxx.xxx
Sun Jul 17 10:33:57 2011 TUN/TAP device tun0 opened
Sun Jul 17 10:33:57 2011 TUN/TAP TX queue length set to 100
Sun Jul 17 10:33:57 2011 /sbin/ifconfig tun0 10.3.0.1 pointopoint 10.3.0.2 mtu 1500
Sun Jul 17 10:33:57 2011 /sbin/route add -net 10.3.0.0 netmask 255.255.255.0 gw 10.3.0.2
Sun Jul 17 10:33:57 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Jul 17 10:33:57 2011 GID set to nogroup
Sun Jul 17 10:33:57 2011 UID set to nobody
Sun Jul 17 10:33:57 2011 Listening for incoming TCP connection on 78.8.35.102:7500
Sun Jul 17 10:33:57 2011 Socket Buffers: R=[87380->131072] S=[16384->131072]
Sun Jul 17 10:33:57 2011 TCPv4_SERVER link local (bound): xxx.xxx.xxx.xxx:7500
Sun Jul 17 10:33:57 2011 TCPv4_SERVER link remote: [undef]
Sun Jul 17 10:33:57 2011 MULTI: multi_init called, r=256 v=256
Sun Jul 17 10:33:57 2011 IFCONFIG POOL: base=10.3.0.4 size=62
Sun Jul 17 10:33:57 2011 IFCONFIG POOL LIST
Sun Jul 17 10:33:57 2011 MULTI: TCP INIT maxclients=4 maxevents=8
Sun Jul 17 10:33:57 2011 Initialization Sequence Completed

Tak tworzyłem certyfikaty moze jakiś błąd popełniłem

Kod:

Tworzenie własnego centrum certyfikacji PKI

./CA.pl -newca
writing new private key to './demoCA/private/cakey.pem'
Enter PEM pass phrase: podaję hasło1
Verifying - Enter PEM pass phrase: hasło1
Country Name (2 letter code) [AU]:PL
State or Province Name (full name) [Some-State]:Dolnoslaskie
Locality Name (eg, city) []:Kamienna
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP
Organizational Unit Name (eg, section) []:ISP
Common Name (eg, YOUR name) []:ISP ROOT CA
Email Address []: admin@moja.domena

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: nie podaje hasła
An optional company name []:nie podaje hasła
Tworzenie certyfikatu serwera np. apacha, openvpn, exim.
Wywołujemy komendę:
./CA.pl -newreq-nodes

writing new private key to './demoCA/private/cakey.pem'
Enter PEM pass phrase: podaje hasło1
Verifying - Enter PEM pass phrase: podaje hasło1

Country Name (2 letter code) [AU]:PL
State or Province Name (full name) [Some-State]:Dolnoślaskie
Locality Name (eg, city) []:Kamienna
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP
Organizational Unit Name (eg, section) []:ISP
Common Name (eg, YOUR name) []:ISP ROOT CA
Email Address []:admin@moja.domena

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: nie podaje hasła
An optional company name []:nie podaje hasła


Podpisywanie  wyżej wygenerowanego certyfikatu serwera

wywołujemy komendę
./CA.pl -sign

[b]Po tym przekopiowałem certyfikaty z /usr/lib/ssl/misc do 
cert /etc/ssl/certs/newcert.pem   
key /etc/ssl/private/newkey.pem 
i w /usr/lib/ssl/misc je wykasowałem i zacząłem robic certy dla usera[/b]
3. Generowanie imiennego certyfikatu clienta np. dla openvpn, mail




Wywołujemy komendę:
./CA.pl -newreq



debian:/usr/lib/ssl/misc# ./CA.pl -newreq
Generating a 1024 bit RSA private key
...........++++++
...........................++++++
writing new private key to 'newkey.pem'
Enter PEM pass phrase: podaje hasło1
Verifying - Enter PEM pass phrase: podaje hasło1
-----

Country Name (2 letter code) [AU]:PL
State or Province Name (full name) [Some-State]:Dolnoslaskie
Locality Name (eg, city) []:Kamienna
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP
Organizational Unit Name (eg, section) []:ISP
Common Name (eg, YOUR name) []:Jakub  --- taka sama nazwa jak w pliku userlist.txt
Email Address []: Jakub@moja.domena

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: nie podaje hasła
An optional company name []: nie podaje hasła
Request is in newreq.pem, private key is in newkey.pem

Podpisujemy certyfikat clienta:

debian:/usr/lib/ssl/misc# ./CA.pl -sign

Ostatnio edytowany przez kaju007 (2011-07-17 12:07:26)

Offline

 

#2  2011-07-30 17:49:40

  kaju007 - Użytkownik

kaju007
Użytkownik
Zarejestrowany: 2010-02-20

Re: Openvpn +cert+pam

Uruchomiłem tego VPN działał było ok, po paru dniach chcę się znów połączyć i okazuje się że nie działa :) Juz odinstalowałem zrobiłem od nowa konfig itp i ciągle ten błąd przy uruchomieniu

Kod:

Starting virtual private network daemon: serverOptions error: I'm trying to parse "–sndbuf" as an --option parameter but I don't see a leading '--'
Use --help for more information.
 failed!

Ostatnio edytowany przez kaju007 (2011-07-30 17:50:06)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.011 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00013 SET CHARSET latin2
0.00008 SET NAMES latin2
0.00130 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.119.192.2' WHERE u.id=1
0.00096 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.119.192.2', 1732559044)
0.00069 SELECT * FROM punbb_online WHERE logged<1732558744
0.00076 SELECT topic_id FROM punbb_posts WHERE id=178500
0.00130 SELECT id FROM punbb_posts WHERE topic_id=19368 ORDER BY posted
0.00123 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19368 AND t.moved_to IS NULL
0.00009 SELECT search_for, replace_with FROM punbb_censoring
0.00120 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19368 ORDER BY p.id LIMIT 0,25
0.00124 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19368
Total query time: 0.00898 s