ros做OPENVPN服务器+winxp+OPENVPN gui客户端+证书
本帖最后由 goldensky 于 2009-10-28 07:04 编辑这两天一直在做ros做openvpn服务器的试验,远端 客户端为winxp+证书+openvpn gui连接ros
ros服务器端证书已经正确导入,显示为kr 可是客户端连接ros后一直提示无法正常连接到color=Red]gui端显示:
Wed Oct 28 06:12:53 2009 us=55292 netbios_scope = ''
Wed Oct 28 06:12:53 2009 us=55323 netbios_node_type = 0
Wed Oct 28 06:12:53 2009 us=55352 disable_nbt = DISABLED
Wed Oct 28 06:12:53 2009 us=55395 OpenVPN 2.0.9 Win32-MinGW built on Oct1 2006
Wed Oct 28 06:12:53 2009 us=55629 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Oct 28 06:12:53 2009 us=55670 WARNING: No server certificate verification method has been enabled.See http://openvpn.net/howto.html#mitm for more info.
Wed Oct 28 06:12:53 2009 us=59639 LZO compression initialized
Wed Oct 28 06:12:53 2009 us=92209 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Oct 28 06:12:53 2009 us=98220 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Oct 28 06:12:53 2009 us=98454 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Oct 28 06:12:53 2009 us=98504 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Oct 28 06:12:53 2009 us=98584 Local Options hash (VER=V4): '69109d17'
Wed Oct 28 06:12:53 2009 us=98644 Expected Remote Options hash (VER=V4): 'c0103fa8'
Wed Oct 28 06:12:53 2009 us=98724 Attempting to establish TCP connection with 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=201629 TCP connection established with 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=201772 Socket Buffers: R= S=
Wed Oct 28 06:12:53 2009 us=201875 TCPv4_CLIENT link local:
Wed Oct 28 06:12:53 2009 us=201917 TCPv4_CLIENT link remote: 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=295080 TLS: Initial packet from 61.177.33.39:443, sid=a9749af3 d8b52370
Wed Oct 28 06:12:53 2009 us=811071 VERIFY OK: depth=1, /C=CN/ST=JIANGSU/L=JIANGYIN/O=WXLIFE/OU=CMWAP/CN=GOLDENSKY/emailAddress=ggg@163.com
Wed Oct 28 06:12:53 2009 us=814328 VERIFY OK: depth=0, /C=CN/ST=JIANGSU/O=WXLIFE/OU=CMWAP/CN=JYLIFE/emailAddress=ggg@163.com
Wed Oct 28 06:12:56 2009 us=157275 Connection reset, restarting
Wed Oct 28 06:12:56 2009 us=161459 TCP/UDP: Closing socket
Wed Oct 28 06:12:56 2009 us=161814 SIGUSR1 received, process restarting
Wed Oct 28 06:12:56 2009 us=161944 Restart pause, 5 second(s)
说明ros能够响应客户端的拨入,看了下ros interface上也有ovpn-0,上拨入,就是不能正常建立。。不知道是什么原因。
看了完美老大指点到wiki上找原因,
现在我有疑惑:有证书的话,我就没有必要在ppp里建vpn拨入用户了吧。
第二个疑问wiki说明里都讲到了桥的建立。。我用证书的话。也没有必要建立桥的呀。只要建立对于地址池网段建立nat上网就可以了吧 个人理解,证书只是加密及附加确认手段,帐号本身才是首要必须的。换句话说,这是一栋需要两把钥匙的大门。 Wed Oct 28 06:12:53 2009 us=59639 LZO compression initialized
看到一行有问题,ROS不支持LZO压缩的。
你用手机拨入吗?ROS不支持PUSH路由,就算连接成功也不能用来上网。 谢谢楼上的答复,我是pc上网。 不是手机 拨号的。
LZO压缩是在客户段的clinet配置里设置的参数里实现的吗。我的客户端中没有设置成lzo呀。 把ovpn客户端的配置贴上来看看。 桥的话你得用dev tap,我不知道原理,只是用这个试验成功了。 附上我的openvpn 客户端配置:client
dev tap
proto tcp
remote wolf.dnsrd.com 1194
ca ca.crt
keepalive 10 120
cipher AES-256-CBC
auth SHA1
auth-user-pass
verb 5
==============================================
Ros ovpn服务端配置:/interface ovpn-server server
set auth=sha1,md5 certificate=Wolf cipher=blowfish128,aes128,aes192,aes256 \
default-profile=ovpn_server enabled=yes keepalive-timeout=60 mac-address=\
FE:36:F9:7F:32:0B max-mtu=1500 mode=ethernet netmask=24 port=1194 \
require-client-certificate=no
==============================================
Ros ovpn profile:/ppp profile
add bridge=LAN change-tcp-mss=no comment="" dns-server=192.168.27.254 \
local-address=pool_master name=ovpn_server only-one=no remote-address=\
pool_master use-compression=yes use-encryption=required \
use-vj-compression=yes wins-server=192.168.27.250
==============================================
我内网LAN dhcp 的地址池也是pool_master,也就是说ovpn拨入后会获得内网地址,这样就不必再做个nat了,重要的是要在profile里加入bridge一项,然后把内网网卡也加入同一个bridge,
上传证书时一定要把.pem,.key,.crt三个文件都放到ros里 /certificate> print
Flags: K - decrypted-private-key, Q - private-key, R - rsa, D - dsa
0 KR name="Wolf" subject=C=CN,ST=Liaoning,L=Shenyang,O=Chinad,CN=Wolf Root,
emailAddress=wolf27015@gmail.com
issuer=C=CN,ST=Liaoning,L=Shenyang,O=Chinad,CN=Wolf Root,
emailAddress=wolf27015@gmail.com
serial-number="E89AFA4DD038DC59" email=wolf27015@gmail.com
invalid-before=jul/26/2009 17:10:54 invalid-after=jul/24/2019 17:10:54
ca=yes
/certificate>
本帖最后由 goldensky 于 2009-11-24 13:56 编辑
谢谢 小狼 同志 回去试试。
openvpn 客户端配置:
auth-user-pass 是指啥,好像提示要输入密码。 我做的证书导进去一直显示KT,各位有没有遇到过,或者共享个证书。谢谢 我还遇到个奇怪的问题 客户端之间能互相通讯吗?
页:
[1]