ros做OPENVPN服务器+winxp+OPENVPN gui客户端+证书

goldensky · 发表于 2009-10-28 06:22:04

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 goldensky 于 2009-10-28 07:04 编辑

这两天一直在做ros做openvpn服务器的试验，远端客户端为winxp+证书+openvpn gui连接ROS
ros服务器端证书已经正确导入，显示为kr 可是客户端连接ros后一直提示无法正常连接到color=Red]gui端显示：
Wed Oct 28 06:12:53 2009 us=55292 netbios_scope = '[UNDEF]'
Wed Oct 28 06:12:53 2009 us=55323 netbios_node_type = 0
Wed Oct 28 06:12:53 2009 us=55352 disable_nbt = DISABLED
Wed Oct 28 06:12:53 2009 us=55395 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Wed Oct 28 06:12:53 2009 us=55629 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Oct 28 06:12:53 2009 us=55670 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Oct 28 06:12:53 2009 us=59639 LZO compression initialized
Wed Oct 28 06:12:53 2009 us=92209 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Oct 28 06:12:53 2009 us=98220 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Oct 28 06:12:53 2009 us=98454 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Oct 28 06:12:53 2009 us=98504 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Oct 28 06:12:53 2009 us=98584 Local Options hash (VER=V4): '69109d17'
Wed Oct 28 06:12:53 2009 us=98644 Expected Remote Options hash (VER=V4): 'c0103fa8'
Wed Oct 28 06:12:53 2009 us=98724 Attempting to establish TCP connection with 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=201629 TCP connection established with 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=201772 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Oct 28 06:12:53 2009 us=201875 TCPv4_CLIENT link local: [undef]
Wed Oct 28 06:12:53 2009 us=201917 TCPv4_CLIENT link remote: 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=295080 TLS: Initial packet from 61.177.33.39:443, sid=a9749af3 d8b52370
Wed Oct 28 06:12:53 2009 us=811071 VERIFY OK: depth=1, /C=CN/ST=JIANGSU/L=JIANGYIN/O=WXLIFE/OU=CMWAP/CN=GOLDENSKY/emailAddress=ggg@163.com
Wed Oct 28 06:12:53 2009 us=814328 VERIFY OK: depth=0, /C=CN/ST=JIANGSU/O=WXLIFE/OU=CMWAP/CN=JYLIFE/emailAddress=ggg@163.com
Wed Oct 28 06:12:56 2009 us=157275 Connection reset, restarting [0]
Wed Oct 28 06:12:56 2009 us=161459 TCP/UDP: Closing socket
Wed Oct 28 06:12:56 2009 us=161814 SIGUSR1[soft,connection-reset] received, process restarting
Wed Oct 28 06:12:56 2009 us=161944 Restart pause, 5 second(s)
说明ros能够响应客户端的拨入，看了下ros interface上也有ovpn-0，上拨入，就是不能正常建立。。不知道是什么原因。
看了完美老大指点到wiki上找原因，
现在我有疑惑：有证书的话，我就没有必要在ppp里建vpn拨入用户了吧。
第二个疑问wiki说明里都讲到了桥的建立。。我用证书的话。也没有必要建立桥的呀。只要建立对于地址池网段建立nat上网就可以了吧

seignior · 发表于 2009-10-28 14:00:16

个人理解，证书只是加密及附加确认手段，帐号本身才是首要必须的。换句话说，这是一栋需要两把钥匙的大门。

tlze · 发表于 2009-11-1 14:42:07

Wed Oct 28 06:12:53 2009 us=59639 LZO compression initialized
看到一行有问题，ROS不支持LZO压缩的。

你用手机拨入吗？ROS不支持PUSH路由，就算连接成功也不能用来上网。

goldensky · 发表于 2009-11-2 04:08:20

谢谢楼上的答复，我是pc上网。不是手机拨号的。
LZO压缩是在客户段的clinet配置里设置的参数里实现的吗。我的客户端中没有设置成lzo呀。

小狼 · 发表于 2009-11-22 13:41:40

把ovpn客户端的配置贴上来看看。

小狼 · 发表于 2009-11-22 13:42:47

桥的话你得用dev tap，我不知道原理，只是用这个试验成功了。

小狼 · 发表于 2009-11-22 13:52:02

附上我的openvpn 客户端配置：

client
dev tap
proto tcp
remote wolf.dnsrd.com 1194
ca ca.crt
keepalive 10 120
cipher AES-256-CBC
auth SHA1
auth-user-pass
verb 5

复制代码

==============================================
Ros ovpn服务端配置：

/interface ovpn-server server
set auth=sha1,md5 certificate=Wolf cipher=blowfish128,aes128,aes192,aes256 \
default-profile=ovpn_server enabled=yes keepalive-timeout=60 mac-address=\
FE:36:F9:7F:32:0B max-mtu=1500 mode=ethernet netmask=24 port=1194 \
require-client-certificate=no

复制代码

==============================================
Ros ovpn profile：

/ppp profile
add bridge=LAN change-tcp-mss=no comment="" dns-server=192.168.27.254 \
local-address=pool_master name=ovpn_server only-one=no remote-address=\
pool_master use-compression=yes use-encryption=required \
use-vj-compression=yes wins-server=192.168.27.250

复制代码

==============================================

我内网LAN dhcp 的地址池也是pool_master，也就是说ovpn拨入后会获得内网地址，这样就不必再做个nat了，重要的是要在profile里加入bridge一项，然后把内网网卡也加入同一个bridge，
上传证书时一定要把.pem，.key，.crt三个文件都放到ros里

[wolf@router_ros_322_wolf] /certificate> print
Flags: K - decrypted-private-key, Q - private-key, R - rsa, D - dsa
0 KR name="Wolf" subject=C=CN,ST=Liaoning,L=Shenyang,O=Chinad,CN=Wolf Root,
emailAddress=wolf27015@gmail.com
issuer=C=CN,ST=Liaoning,L=Shenyang,O=Chinad,CN=Wolf Root,
emailAddress=wolf27015@gmail.com
serial-number="E89AFA4DD038DC59" email=wolf27015@gmail.com
invalid-before=jul/26/2009 17:10:54 invalid-after=jul/24/2019 17:10:54
ca=yes
[wolf@router_ros_322_wolf] /certificate>

复制代码

goldensky · 发表于 2009-11-24 13:49:54

本帖最后由 goldensky 于 2009-11-24 13:56 编辑

谢谢小狼同志回去试试。
openvpn 客户端配置：
auth-user-pass 是指啥，好像提示要输入密码。

raikkonen · 发表于 2016-8-30 16:02:58

我做的证书导进去一直显示KT，各位有没有遇到过，或者共享个证书。谢谢

zzhhzt1 · 发表于 2019-4-20 19:17:56

我还遇到个奇怪的问题

luby_tigo · 发表于 2019-5-5 09:48:56

客户端之间能互相通讯吗？

[vpn] ros做OPENVPN服务器+winxp+OPENVPN gui客户端+证书

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

评分

账号		自动登录	找回密码
密码			注册