Малина с OpenVPN

Всё про WTware на компьютере Raspberry Pi 2 Model B, и Pi 3 Model B и Pi 3B+
http://winterminal.com/ru/
Ответить
mihalych
Сообщения: 18
Зарегистрирован: Ср мар 29, 2017 9:59 pm

Малина с OpenVPN

Сообщение mihalych »

Всем здравия.
Кто-нибудь прикручивал к малине (wtware) openvpn? Стоит удаленный сервак с белым адресом, внутри сети станции на малине - и все зашибись работает. Сделал ключи клиентские, закинул в configs, отредактировал openvpn.cfg, не пашет. Рядом машина с HDD коннектится через ovpn к серверу. В чем подвох может быть?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Малина с OpenVPN

Сообщение aka »

mihalych
Сообщения: 18
Зарегистрирован: Ср мар 29, 2017 9:59 pm

Re: Малина с OpenVPN

Сообщение mihalych »

Я его не вижу даже в конфигураторе, не достукивается видимо. А в локалке, в понедельник только логи снять выйдет (я малину домо утащил) )))))).
Вообще есть шанс малину по ovpn подключить? И вопрос еще - в винде я могу увидеть, что соединение установлено и адрес выдан. А в wtware как-то посмотреть можно?
mihalych
Сообщения: 18
Зарегистрирован: Ср мар 29, 2017 9:59 pm

Re: Малина с OpenVPN

Сообщение mihalych »

Слушай а в конфигураторе надо указывать интерфейс виртуального адаптера? Или в качестве сервера загрузки ovpn?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Малина с OpenVPN

Сообщение aka »

mihalych писал(а):Я его не вижу даже в конфигураторе, не достукивается видимо. А в локалке, в понедельник только логи снять выйдет (я малину домо утащил) )))))).
Лог надо снимать там, где одлжно работать, но не работает. После ошибки. И там в статье не только про конфигуратор.
mihalych писал(а):Вообще есть шанс малину по ovpn подключить?
Есть.
mihalych писал(а):И вопрос еще - в винде я могу увидеть, что соединение установлено и адрес выдан. А в wtware как-то посмотреть можно?
Можно. В логах.
mihalych писал(а):Слушай а в конфигураторе надо указывать интерфейс виртуального адаптера? Или в качестве сервера загрузки ovpn?
Надо решать проблемы по одной.
mihalych
Сообщения: 18
Зарегистрирован: Ср мар 29, 2017 9:59 pm

Re: Малина с OpenVPN

Сообщение mihalych »

Тогда я чего-то не догоняю - на серваке физ. адаптер с локальным статическим адресом, в пределах локальной сети все малины видны, все станции работают (без впн). На серваке поднят ovpn - в конфигураторе, каких-то настроечных данных для ovpn я не нашел, поэтому про интерфейсы и спросил. Есть одна малина, которую хочу подрубить удаленно через ovpn, делал как в статье http://wtware.ru/docs5/openvpn.html - ни фига.
Использую подключение для настройки (указываю адрес VPN сервера, не тот который "белый" :-) ) и не коннектится. Просто висит. Рядом машина с выньдой, с нее по адресу впн сервера захожу на сервак...Что не так понять не могу.
Снял лог с ovpn может подскажешь что...
128.74.143.243 - это динамика у меня дома если что. Адрес впн вроде выдан, но подключения нет.
***************************************************************************************************
Sat Jun 24 11:13:51 2017 B8.27.EB.FF.59.80/128.74.143.243:57173 76 variation(s) on previous 20 message(s) suppressed by --mute
Sat Jun 24 11:13:51 2017 B8.27.EB.FF.59.80/128.74.143.243:57173 [B8.27.EB.FF.59.80] Inactivity timeout (--ping-restart), restarting
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 VERIFY OK: depth=1, C=RU, ST=Vologda, L=Vologda, O=test_org, OU=test, CN=test, name=test, emailAddress=root@localhost
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 VERIFY OK: depth=0, C=RU, ST=Vologda, L=Vologda, O=test_org, OU=test, CN=B8.27.EB.FF.59.80, name=B8.27.EB.FF.59.80, emailAddress=root@localhost
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1574', remote='link-mtu 1542'
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 Data Channel Encrypt: Cipher 'DES-CBC' initialized with 64 bit key
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 Data Channel Decrypt: Cipher 'DES-CBC' initialized with 64 bit key
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 1024 bit RSA
Sat Jun 24 11:14:50 2017 128.74.143.243:60737 [B8.27.EB.FF.59.80] Peer Connection Initiated with [AF_INET]128.74.143.243:60737
Sat Jun 24 11:14:50 2017 B8.27.EB.FF.59.80/128.74.143.243:60737 MULTI_sva: pool returned IPv4=192.168.15.10, IPv6=(Not enabled)
Sat Jun 24 11:14:54 2017 B8.27.EB.FF.59.80/128.74.143.243:60737 send_push_reply(): safe_cap=940
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Малина с OpenVPN

Сообщение aka »

Я. Хочу. Лог. С. Втвари.

Если не получается снять лог с втвари - опиши подробно, что именно делаешь и в каком месте не получается.

Никакую другую информацию я не буду читать, пока не увижу лог с втвари.
mihalych
Сообщения: 18
Зарегистрирован: Ср мар 29, 2017 9:59 pm

Re: Малина с OpenVPN

Сообщение mihalych »

Я.Тоже.Хочу.Его.Увидеть.
Но как я и писал выше - данного терминала в конфигураторе нет. Откуда мне именно его лог взять?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Малина с OpenVPN

Сообщение aka »

mihalych писал(а):Откуда мне именно его лог взять?
Дождаться, когда чёрный экран сменится сообщением об ошибке (минуты три должно быть), затем выполнить "Получение лога, когда нет сети, непосредственно на терминале" из https://wtware.ru//logs.html
Viacheslav
Сообщения: 2
Зарегистрирован: Чт мар 02, 2017 7:55 am

Re: Малина с OpenVPN

Сообщение Viacheslav »

Полгода назад тоже пришлось помучится с wtware и openvpn. В итоге победили. Если еще актуально, могу подробнее описать.
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Малина с OpenVPN

Сообщение aka »

Актуально. Опиши. Я знаю только одну пробему, специфичную для малины: сертификат должен быть выдан РАНЬШЕ, чем выпущена работающая на малине версия втвари. Потому что на малине часов нет, и дата при загрузке ставится в день сборки работающей версии втвари.
emicon
Сообщения: 3
Зарегистрирован: Пт апр 10, 2020 3:15 pm

Re: Малина с OpenVPN

Сообщение emicon »

aka писал(а): Ср июл 19, 2017 7:51 am Актуально. Опиши. Я знаю только одну пробему, специфичную для малины: сертификат должен быть выдан РАНЬШЕ, чем выпущена работающая на малине версия втвари. Потому что на малине часов нет, и дата при загрузке ставится в день сборки работающей версии втвари.
Aka, приветствую! Аналогичная проблемы с коннектом по ovpn к Микротику. OVPN сервер настроен, есть 3 устройства на которых конфиг работает замечательно (винда/Mac/Iphone). Ключи вшиты в конфиг (для айфона конвертированы в AES256). Необходимо подцепить в туннель 5 малин (3b+) c Wtware.
Конфиг Wtware + лог (https://emiconac.ru/tech/log.pdf) на фото в PDF (смотреть с конца) :
daemon
client
dev tun
proto tcp
remote xxx.xxx.xxx.xxx 1194
nobind
persist-key
persist-tun
auth-user-pass
remote-cert-tls server
cipher AES-256-CBC
route 192.168.88.1 255.255.255.0
verb 3

<ca>
</ca>
<cert>
</cert>
<key>
</key>
=========================
Так же пробовал отключать авторизацию по клиентским сертификатам на сервере (в конфиге только <ca></ca>), но коннекта так же нет.

Куда подскажите глядеть?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Малина с OpenVPN

Сообщение aka »

http://wtware.ru/docs5/openvpn.html

Особенно внимательно читать про "проверен на Linux".

И напиши verb 6.

Непонятно, почему она ругается на "--auth none". И почему она падает ровно через 30 секунд.
emicon
Сообщения: 3
Зарегистрирован: Пт апр 10, 2020 3:15 pm

Re: Малина с OpenVPN

Сообщение emicon »

aka писал(а): Пт апр 10, 2020 5:18 pm http://wtware.ru/docs5/openvpn.html

Особенно внимательно читать про "проверен на Linux".

И напиши verb 6.

Непонятно, почему она ругается на "--auth none". И почему она падает ровно через 30 секунд.
В общем стартонул я OVPN на Малине с WTware. Как ты и говорил, сертификаты должны быть выпущены до даты сборки установленной версии (поменял дату на Микротике и выпустил серт-ы в прошлом). Благодарю за ценную информацию!
Еще не маловажным вопросом оказалась парольная фраза для приватного ключа пользователя. Клиенты OVPN с графическим интерфейсом (Винда/Мак...) запрашивают ее при подключении, однако WTware так не поступает (запрашивается только логин и пароль юзера). В качестве лома, удалил парольную фразу из ключа средствами OpenSSL, однако вопрос по прежнему актуален ибо с "ломом" безопасность ниже. Почитав информацию по данной теме, видел что народ советует пользоваться параметром askpass, однако есть прописать его в конфиг, чуда не происходит и парольная фраза не запрашивается (не работает и прописывание пути до файла). Как я понял, тут какие-то нюансы с тем, как работает демон ovpn на, но мне как чайнику в линуксе и ему подобных, сложно понять, что и как сделать.
Aka, будь добр, подскажи, как правильно скормить пароль на закрытый ключ демону OPVN в WTeare и в идеале, как дать права на открытие файлов с паролями только демону ovpn?
Благодарю!
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Малина с OpenVPN

Сообщение aka »

emicon писал(а): Вс апр 12, 2020 4:43 pm ...сертификаты должны быть выпущены до даты сборки установленной версии
Ещё можно NTP сервер малине указать, тогда на малине появится правильное время и должен сработать обычный сертификат. Есть настройка про NTP в Setup, в который по Del входить, или 42 опция локального DHCP.
emicon писал(а): Вс апр 12, 2020 4:43 pm Еще не маловажным вопросом оказалась парольная фраза для приватного ключа пользователя. Клиенты OVPN с графическим интерфейсом (Винда/Мак...) запрашивают ее при подключении, однако WTware так не поступает (запрашивается только логин и пароль юзера). В качестве лома, удалил парольную фразу
Для авторизации предлагается вводить И логин, И пароль, И фразу ключа? Пользователи не бунтуют?
emicon писал(а): Вс апр 12, 2020 4:43 pm Aka, будь добр, подскажи, как правильно скормить пароль на закрытый ключ демону OPVN в WTeare и в идеале, как дать права на открытие файлов с паролями только демону ovpn?
Можешь мне конфиг и ключ для опытов дать, на котором это можно проверять?
emicon писал(а): Вс апр 12, 2020 4:43 pm как дать права на открытие файлов с паролями только демону ovpn?
Нет прав на загрузочном FAT диске :?
Ответить

Вернуться в «WTware на Raspberry Pi»