找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 32437|回复: 10

[vpn] ros做OPENVPN服务器+winxp+OPENVPN gui客户端+证书

[复制链接]
发表于 2009-10-28 06:22:04 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
本帖最后由 goldensky 于 2009-10-28 07:04 编辑

这两天一直在做ros做openvpn服务器的试验,远端 客户端为winxp+证书+openvpn gui连接ROS
ros服务器端证书已经正确导入,显示为kr 可是客户端连接ros后一直提示无法正常连接到color=Red]gui端显示:
Wed Oct 28 06:12:53 2009 us=55292   netbios_scope = '[UNDEF]'
Wed Oct 28 06:12:53 2009 us=55323   netbios_node_type = 0
Wed Oct 28 06:12:53 2009 us=55352   disable_nbt = DISABLED
Wed Oct 28 06:12:53 2009 us=55395 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Wed Oct 28 06:12:53 2009 us=55629 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Oct 28 06:12:53 2009 us=55670 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Oct 28 06:12:53 2009 us=59639 LZO compression initialized
Wed Oct 28 06:12:53 2009 us=92209 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Oct 28 06:12:53 2009 us=98220 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Oct 28 06:12:53 2009 us=98454 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Oct 28 06:12:53 2009 us=98504 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Oct 28 06:12:53 2009 us=98584 Local Options hash (VER=V4): '69109d17'
Wed Oct 28 06:12:53 2009 us=98644 Expected Remote Options hash (VER=V4): 'c0103fa8'
Wed Oct 28 06:12:53 2009 us=98724 Attempting to establish TCP connection with 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=201629 TCP connection established with 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=201772 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Oct 28 06:12:53 2009 us=201875 TCPv4_CLIENT link local: [undef]
Wed Oct 28 06:12:53 2009 us=201917 TCPv4_CLIENT link remote: 61.177.33.39:443
Wed Oct 28 06:12:53 2009 us=295080 TLS: Initial packet from 61.177.33.39:443, sid=a9749af3 d8b52370
Wed Oct 28 06:12:53 2009 us=811071 VERIFY OK: depth=1, /C=CN/ST=JIANGSU/L=JIANGYIN/O=WXLIFE/OU=CMWAP/CN=GOLDENSKY/emailAddress=ggg@163.com
Wed Oct 28 06:12:53 2009 us=814328 VERIFY OK: depth=0, /C=CN/ST=JIANGSU/O=WXLIFE/OU=CMWAP/CN=JYLIFE/emailAddress=ggg@163.com
Wed Oct 28 06:12:56 2009 us=157275 Connection reset, restarting [0]
Wed Oct 28 06:12:56 2009 us=161459 TCP/UDP: Closing socket
Wed Oct 28 06:12:56 2009 us=161814 SIGUSR1[soft,connection-reset] received, process restarting
Wed Oct 28 06:12:56 2009 us=161944 Restart pause, 5 second(s)

说明ros能够响应客户端的拨入,看了下ros interface上也有ovpn-0,上拨入,就是不能正常建立。。不知道是什么原因。
看了完美老大指点到wiki上找原因,
现在我有疑惑:有证书的话,我就没有必要在ppp里建vpn拨入用户了吧。
第二个疑问wiki说明里都讲到了桥的建立。。我用证书的话。也没有必要建立桥的呀。只要建立对于地址池网段建立nat上网就可以了吧
routeros
发表于 2009-10-28 14:00:16 | 显示全部楼层
个人理解,证书只是加密及附加确认手段,帐号本身才是首要必须的。换句话说,这是一栋需要两把钥匙的大门。
routeros
回复

使用道具 举报

发表于 2009-11-1 14:42:07 | 显示全部楼层
Wed Oct 28 06:12:53 2009 us=59639 LZO compression initialized
看到一行有问题,ROS不支持LZO压缩的。

你用手机拨入吗?ROS不支持PUSH路由,就算连接成功也不能用来上网。
routeros
回复

使用道具 举报

 楼主| 发表于 2009-11-2 04:08:20 | 显示全部楼层
谢谢楼上的答复,我是pc上网。 不是手机 拨号的。
LZO压缩是在客户段的clinet配置里设置的参数里实现的吗。我的客户端中没有设置成lzo呀。
routeros
回复

使用道具 举报

发表于 2009-11-22 13:41:40 | 显示全部楼层
把ovpn客户端的配置贴上来看看。
routeros
回复

使用道具 举报

发表于 2009-11-22 13:42:47 | 显示全部楼层
桥的话你得用dev tap,我不知道原理,只是用这个试验成功了。
routeros
回复

使用道具 举报

发表于 2009-11-22 13:52:02 | 显示全部楼层
附上我的openvpn 客户端配置:
  1. client
  2. dev tap
  3. proto tcp
  4. remote wolf.dnsrd.com 1194
  5. ca ca.crt
  6. keepalive 10 120
  7. cipher AES-256-CBC
  8. auth SHA1
  9. auth-user-pass
  10. verb 5
复制代码
==============================================
Ros ovpn服务端配置:
  1. /interface ovpn-server server
  2. set auth=sha1,md5 certificate=Wolf cipher=blowfish128,aes128,aes192,aes256 \
  3.     default-profile=ovpn_server enabled=yes keepalive-timeout=60 mac-address=\
  4.     FE:36:F9:7F:32:0B max-mtu=1500 mode=ethernet netmask=24 port=1194 \
  5.     require-client-certificate=no
复制代码
==============================================
Ros ovpn profile:
  1. /ppp profile
  2. add bridge=LAN change-tcp-mss=no comment="" dns-server=192.168.27.254 \
  3.     local-address=pool_master name=ovpn_server only-one=no remote-address=\
  4.     pool_master use-compression=yes use-encryption=required \
  5.     use-vj-compression=yes wins-server=192.168.27.250
复制代码
==============================================

我内网LAN dhcp 的地址池也是pool_master,也就是说ovpn拨入后会获得内网地址,这样就不必再做个nat了,重要的是要在profile里加入bridge一项,然后把内网网卡也加入同一个bridge,
上传证书时一定要把.pem,.key,.crt三个文件都放到ros里
  1. [wolf@router_ros_322_wolf] /certificate> print
  2. Flags: K - decrypted-private-key, Q - private-key, R - rsa, D - dsa
  3. 0 KR name="Wolf" subject=C=CN,ST=Liaoning,L=Shenyang,O=Chinad,CN=Wolf Root,
  4.                         emailAddress=wolf27015@gmail.com
  5.       issuer=C=CN,ST=Liaoning,L=Shenyang,O=Chinad,CN=Wolf Root,
  6.              emailAddress=wolf27015@gmail.com
  7.       serial-number="E89AFA4DD038DC59" email=wolf27015@gmail.com
  8.       invalid-before=jul/26/2009 17:10:54 invalid-after=jul/24/2019 17:10:54
  9.       ca=yes
  10. [wolf@router_ros_322_wolf] /certificate>
复制代码

评分

参与人数 1铜板 +12 收起 理由
心想事成 + 12

查看全部评分

routeros
回复

使用道具 举报

 楼主| 发表于 2009-11-24 13:49:54 | 显示全部楼层
本帖最后由 goldensky 于 2009-11-24 13:56 编辑

谢谢 小狼 同志 回去试试。
openvpn 客户端配置:
auth-user-pass 是指啥,好像提示要输入密码。
routeros
回复

使用道具 举报

发表于 2016-8-30 16:02:58 | 显示全部楼层
我做的证书导进去一直显示KT,各位有没有遇到过,或者共享个证书。谢谢
routeros
回复

使用道具 举报

发表于 2019-4-20 19:17:56 | 显示全部楼层
我还遇到个奇怪的问题
routeros
回复

使用道具 举报

发表于 2019-5-5 09:48:56 | 显示全部楼层
客户端之间能互相通讯吗?
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-23 02:52 , Processed in 0.083481 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表