Что выбрать под OpenVPN

Вопросы, которые нам задают перед заказом.

Модераторы: Art.i, vasya

Сообщение ls » Ср июл 21, 2010 4:01 pm

Он просит заполнить данные о сертификате, контактную информацию, можно просто enter понажимать тогда будут значения по умолчанию, в скобках [] которые.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Сообщение Лена » Ср июл 21, 2010 4:40 pm

haikolen писал(а):Country Name (2 letter code) [US]:./build-key-server server
Скрипт вам задал вопрос - попросил ввести двухбуквенный код страны и указал в квадратных скобках умолчание (что будет принято если сразу нажать Enter). Скорее всего таких вопросов будет несколько.
Лена
Cool UNIX administrator
 
Сообщений: 810
Зарегистрирован: Вс дек 09, 2007 1:36 pm
Откуда: Киев

Сообщение haikolen » Чт июл 22, 2010 10:40 am

Спасибо. Все прописал так:
Код: выделить все
Country Name (2 letter code) [US]:US
State or Province Name (full name) [CA]:CA
Locality Name (eg, city) [SanFrancisco]:SanFrancisco
Organization Name (eg, company) [Fort-Funston]:VPN Service
Organizational Unit Name (eg, section) []:Service US
Common Name (eg, your name or your server's hostname) [Fort-Funston CA]:OpenVPN CA
Email Address [me@myhost.mydomain]:***@ya.ru
user12:/etc/openvpn# ./build-key-server server1
Generating a 1024 bit RSA private key
............................++++++
..........++++++
writing new private key to 'server1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:US
State or Province Name (full name) [CA]:CA
Locality Name (eg, city) [SanFrancisco]:SanFrancisco
Organization Name (eg, company) [Fort-Funston]:VPN Service
Organizational Unit Name (eg, section) []:Service US
Common Name (eg, your name or your server's hostname) [server1]:server1
Email Address [me@myhost.mydomain]:***@ya.ru


Тут просят ввести какой-то пароль. Какой пароль вводить и для чего он ?
Код: выделить все
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: *********


Продолжение (тут как я понимаю создается сертификат для клиента, но почему он 3650 days и 1024 bit. Можно изменить как-то эти значения или это делается дальше в настройках ?):
Код: выделить все
An optional company name []:VPN Service
Using configuration from /etc/openvpn/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'SanFrancisco'
organizationName      :PRINTABLE:'VPN Service'
organizationalUnitName:PRINTABLE:'Service US'
commonName            :PRINTABLE:'server1'
emailAddress          :IA5STRING:'***@ya.ru'
Certificate is to be certified until Jul 19 04:30:22 2020 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]yes
Write out database with 1 new entries
Data Base Updated
user12:/etc/openvpn# ./build-dh
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
.+.........................+...............+............
.......................+......+.........+.......+...
.......................+......+.........+.......+...
.................++*++*++*
user12:/etc/openvpn# ./build-key client12
Generating a 1024 bit RSA private key
....++++++
..++++++
writing new private key to 'client12.key'
-----


Тут снова вписывать Country Name и прочее. Уже третий раз.
Так и должно быть или я что-то не так сделал ?
Код: выделить все
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:US
State or Province Name (full name) [CA]:CA
Locality Name (eg, city) [SanFrancisco]:SanFrancisco
Organization Name (eg, company) [Fort-Funston]:VPN Service
Organizational Unit Name (eg, section) []:Service US
Common Name (eg, your name or your server's hostname) [client12]:client12
Email Address [me@myhost.mydomain]:***@ya.ru


Тут опять какой-то пароль. А этот зачем ?
Или где стоят знаки [] можно ничего не вводить ? Но безопасно ли это ??
Код: выделить все
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:*******
An optional company name []:VPN Service
Using configuration from /etc/openvpn/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'SanFrancisco'
organizationName      :PRINTABLE:'VPN Service'
organizationalUnitName:PRINTABLE:'Service US'
commonName            :PRINTABLE:'client12'
emailAddress          :IA5STRING:'***@ya.ru'
Certificate is to be certified until Jul 19 04:41:02 2020 GMT (3650 days)
Sign the certificate? [y/n]:yes
1 out of 1 certificate requests certified, commit? [y/n]yes
Write out database with 1 new entries
Data Base Updated



Дошел до Настройка файлов конфигурации OpenVPN и тут опять тупик:

Код: выделить все
user12:/etc/openvpn# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn cd /etc/openvpn
cp: omitting directory `/etc/openvpn'
cp: cannot stat `cd': No such file or directory
user12:/etc/openvpn# gunzip server.conf.gz
user12:/etc/openvpn# ca /etc/openvpn/keys/ca.crt
-bash: ca: command not found
user12:/etc/openvpn# cert /etc/openvpn/keys/server.crt
-bash: cert: command not found
user12:/etc/openvpn# key /etc/openvpn/keys/server.key
-bash: key: command not found
user12:/etc/openvpn# dh /etc/openvpn/keys/dh1024.pem
-bash: dh: command not found
user12:/etc/openvpn# ca /etc/openvpn/keys/ca.crt
-bash: ca: command not found
user12:/etc/openvpn#


Если можно поподробнее.
Спасибо вам за вашу помощь.
Сильно меня не ругайте, возможно я где-то и задаю глупые вопросы.
Хочется во всем этом разобраться.
haikolen
 
Сообщений: 11
Зарегистрирован: Сб июн 19, 2010 7:46 pm

Сообщение ls » Чт июл 22, 2010 11:56 am

На все вопросы при создании сертификата можно нажать ввод. Никакие пароли вводить не надо, авторизация осуществляется по файлу сертификата. Команды вводите по одной, а не все подряд, у вас склеился текст.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Сообщение swg » Чт июл 22, 2010 12:39 pm

Настройка файлов конфигурации. Файлов. А вы куда пишете... Зачем в shell ? Полно статей на эту тему.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Сообщение haikolen » Пт июл 23, 2010 7:13 am

Руководствуюсь этим мануалом: http://forum.firstvds.ru/viewtopic.php?t=6545

Я так понимаю после создания всех ключей нужно настроить файл конфигурации сервера server.conf. Для его создания прописываем следующие команды:
Код: выделить все
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn
cd /etc/openvpn
gunzip server.conf.gz

После этого в каталоге /etc/openvpn появился файл конфигурации server.conf.
Дальше нужно внести в него следующие изменения (как написано в выше приведенном мануале):
Код: выделить все
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem

Это я сделал вручную подредактировав сам файл.
Но разве только эти значения нужно редактировать ?
Полазив по просторам инета нашел еще одну статью (остальные лишь копипаст этой), где написано следующее:
Код: выделить все
daemon
proto udp
local 82.146.57.24 # сюда ставим IP адрес нашего VDS-сервера.
dev tap
port 5278 # по этому порту будут происходить клиентские коннекты.
tls-server
tls-auth /etc/openvpn/ta.key 0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
mode server
server 10.7.0.0 255.255.255.0 # маска подсети, в которой будут виртуализироваться клиенты и сервер.
push "dhcp-option DNS 82.146.51.164" # здесь пишем IP одного из ns-сервером, указанных нам при регистрации VDS.
duplicate-cn
cipher DES-EDE3-CBC
#cipher none
user root
group root
persist-tun
persist-key
comp-lzo
keepalive 10 120
verb 3
client-to-client

Тут возникают сомнения. Что именно нужно прописывать для меня.

В планах поднять защищенное соединение для 15-20 клиентов.
Сертификаты будут выдаваться каждому отдельно (при этом ведь команда duplicate-cn должна быть отключена ? но как ?). Шифрование и вообще защита должна быть на должном уровне (стоит ли оставлять сжатие трафика comp-lzo ? чем оно хуже или лучше ? user и group в моем случае должны быть root или nobody ?).

Спасибо всем за ответы.
haikolen
 
Сообщений: 11
Зарегистрирован: Сб июн 19, 2010 7:46 pm

Сообщение haikolen » Вс июл 25, 2010 6:55 am

кто может помоч напишите пожалуйста :cry:
haikolen
 
Сообщений: 11
Зарегистрирован: Сб июн 19, 2010 7:46 pm

Сообщение ls » Вс июл 25, 2010 10:56 am

Чем вас не устраивает мануал по приведенной вами ссылке на форуме? По нему поставлен не один сервер. Что именно не работает? Если не можете поставить сами - пишите тикет в поддержку - наши администраторы установят на платной основе.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Сообщение haikolen » Вс июл 25, 2010 11:57 am

ls писал(а):Чем вас не устраивает мануал по приведенной вами ссылке на форуме? По нему поставлен не один сервер. Что именно не работает? Если не можете поставить сами - пишите тикет в поддержку - наши администраторы установят на платной основе.


Мануал меня вполне устраивает! Есть всего лишь некоторые вопросы.
Я конечно понимаю что можно все сделать за определенную плату. В деньгах проблем нет, просто хочется все это научится самому.
Все что мне непонятно я написал выше . Плизз помогите мне разобраться.
Если я что-то не так пишу или не там спрашиваю вы уж меня извините.
haikolen
 
Сообщений: 11
Зарегистрирован: Сб июн 19, 2010 7:46 pm

Сообщение haikolen » Вс июл 25, 2010 2:45 pm

Все сделал до конца как написано в мануале, но при запуске сервера выдает:
user12:/etc/openvpn# /etc/init.d/openvpn start
Starting virtual private network daemon: server failed!

вроде все что написано сделал.
в конфиге подправил только эти значения:
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem


:cry: :cry: :cry:
haikolen
 
Сообщений: 11
Зарегистрирован: Сб июн 19, 2010 7:46 pm

Сообщение vadim s. sabinich » Ср авг 04, 2010 2:50 am

данная ошибка означает, что вы не корректно отредактировали/не отредактировали файл server.conf
vadim s. sabinich
Support team
 
Сообщений: 1167
Зарегистрирован: Ср фев 06, 2008 3:42 pm
Откуда: FirstVDS

Сообщение maxus » Пт авг 13, 2010 9:27 am

Лучше вам в поддержку обратиться или нанять администратора - будет быстрее :)
maxus
 
Сообщений: 96
Зарегистрирован: Ср дек 16, 2009 9:54 pm

Пред.

Вернуться в Предпродажные вопросы

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1