| |
Молния А что в логах сервера и клиента во время невозможности переподключения? Если там нет ничего интересного - увеличьте параметр verb Добавление от 27.06.2007 05:57: islink кодВот сам скрипт auth.vbs: код (во всю высоту: 55 строк) |
суббота, 15 декабря 2007 г.
Автор: Tolki на 01:46 0 коммент.
Опция для пропуска по common name в Openvpn
Переведи всех на сертификаты и используй crl, например. Еще один вариант, есть
опция ccd-exclusive, если файла с именем пользователя нет в ccd-подкаталоге, то
доступ ему запрещается, если есть - то там могут быть дополнительные настройки
(но могут и не быть - пустого файла достаточно чтоб пускало). Hо crl действует
на момент обновления ключей (то есть и в начале сессии и в середине),
ccd-exclusive - только в начале, то есть что делать с теми, кто уже соединился,
надо решать отдельно.
Автор: Tolki на 01:26 0 коммент.
суббота, 8 декабря 2007 г.
Настройка сети в Virtualbox
Настройка сети
Если нам нужно использовать для настройки сети не NAT, а host interface с явным IP адресом, то нужно проделать следующие операции. Договоримся, что все команды будем отдавать из-под пользователя root, а не из под sudo. Так как последняя команда не пройдёт из-под sudo.
Первым делом нам понадобится пакет bridge-utils. Далее создаём файл /etc/sysconfig/network-scripts/ifcfg-br0 следующего содержания:
DEVICE=br0
TYPE=Bridge
BOOTPROTO=dhcp
ONBOOT=yes
Добавляем в файл /etc/sysconfig/network-scripts/ifcfg-eth0 последней строкой BRIDGE=br0 и перезапускаем сеть
/etc/init.d/network restart
После этого отдаём команду
VBoxAddIF vbox0 пользователь(из-под которого будет запускаться VirtualBox) br0
Осталось только выбрать в настройках сети вместо NAT хост-интерфейс и в поле “Имя интерфейса” указать vbox0. Последнюю команду судя по всему придётся пускать каждый раз после перезагрузки системы (не гостевой).
Автор: Tolki на 01:06 1 коммент.
воскресенье, 2 декабря 2007 г.
Скрипты для создания SSL сертификатов Под Openvpn сервер
Для сервера
-------------------------------------------------------------------------------------------------------
#!/bin/sh
#cp /etc/ssl/openssl2.cnf ./openssl.cnf
vim openssl.cnf
touch serial
echo 01 > serial
mkdir crl newcerts private
touch index
echo -n "введите имя хоста(Имя сгенерированного сертификата) "
read HOST
echo -n "введите имя сервера(Имя Linux компьютера) "
read MOST
export MOST="$MOST"
openssl req -new -nodes -config openssl.cnf -x509 -keyout private/ca-key.pem -out ca-cert.pem -days 3650
openssl genrsa -out $HOST.key
openssl req -new -nodes -config openssl.cnf -key $HOST.key -out $HOST.csr
openssl ca -batch -config openssl.cnf -in $HOST.csr -out $HOST.cert
openvpn --genkey --secret ta.key
openssl dhparam -out dh1024.pem 1024
mkdir $HOST
cp $HOST.* $HOST
cp ca-cert.pem $HOST
cp ta.key $HOST
cp dh1024.pem $HOST
rm $HOST.*
--------------------------------------------------
Для клиента
--------------------------------------------------
#!/bin/sh
#cp /etc/ssl/openssl2.cnf ./openssl.cnf
#vim openssl.cnf
echo Сколько сертификатов делать?
read CEND
SU=1
MOST=0
#export MOST="$MOST"
mkdir ./client-sert
while test $MOST -lt $CEND
do
MOST=$SU
export MOST="$MOST"
openssl genrsa -out client_$MOST.key
openssl req -new -nodes -config openssl.cnf -key client_$MOST.key -out client_$MOST.csr
openssl ca -batch -config openssl.cnf -in client_$MOST.csr -out client_$MOST.cert
mkdir ./client-sert/$MOST
mv ./client_$MOST.* ./client-sert/$MOST
cp ./dh1024.pem ./client-sert/$MOST
cp ./ta.key ./client-sert/$MOST
cp ./ca-cert.pem ./client-sert/$MOST
let SU=$MOST+1
done
echo Всё готово
-----------------------------------------------------------------------------------------------------------------------
Необходимо немного отредактировать файл openssl.cnf
В моём пакете используется уже отредактированный и адоптированный файл конфигурации.
Автор: Tolki на 06:31 0 коммент.
Создание Deb пакета
dpkg --build DIRECTORY ovpncreat.deb
Необходим файл ./DEBIAN/control
в нём описываются данные о пакете
После первого слова обозначающего раздел описания ставим двоеточию.
Система сама скажет чего ей не хватает в этом файле.
Автор: Tolki на 06:05 0 коммент.