+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

OpenVPN и импорт сертификатов В общем, вот как я это сделал, чтобы OpenVPN заработал с моим самодельным сертификатом. Может, кому-то пригодится, а может, просто выплесну немного отчаяния в интернет. В итоге, после бесконечных попыток я выяснил, что проб

OpenVPN и импорт сертификатов В общем, вот как я это сделал, чтобы OpenVPN заработал с моим самодельным сертификатом. Может, кому-то пригодится, а может, просто выплесну немного отчаяния в интернет. В итоге, после бесконечных попыток я выяснил, что проб, RouterOS

gsloop

Guest

03.08.2012 06:41:00

Первым делом, может кто-нибудь перепишет страницу Wiki – она просто кошмарная! [Насчет "поддерживаемых" вещей, думаешь, хорошо оформленная страница Wiki для документации – это хорошая идея.] У меня ужасные проблемы с "импортом" сертификатов. Я сгенерировал сертификаты уже дважды и не могу их импортировать. Я создаю свой CA и затем подписываю и генерирую свои собственные сертификаты/ключи. [Ubuntu 12.04 и следую документации по генерации OpenVPN сертификатов с OpenVPN.net]. Так вот, я собираю их так: ./clean-all ./build-ca Затем ./build-key-server ovpnserver Для общего имени использую ovpnserver, то же самое для имени. Я не использую парольную фразу для вызова. [По крайней мере, в первый раз, во второй раз я это сделал.]. Я беру три файла, ca.crt, ovpnserver.crt и ovpnserver.key и загружаю их на RB. Затем я пытаюсь импортировать их. Я могу импортировать файл ca.crt в RB. Я могу импортировать файл ovpnserver.crt. Но я не могу импортировать файл ovpnserver.key. Он запрашивает ключ дешифрования [который в первый раз был пустым, и во второй раз я ввел правильную парольную фразу, но в обоих случаях он не импортирует его.]. Опять же, в первой попытке я сгенерировал server.key без парольной фразы. Когда он не импортировался, утверждая неверную парольную фразу, я начал заново и сгенерировал их с парольными фразами, но получил тот же результат. Так что, очевидно, если я не могу импортировать сертификаты, я застрял. Итак, есть ли какая-нибудь более понятная инструкция в документации, или какие-нибудь конкретные советы о том, что может быть не так с сертификатами? [И я делал поиски здесь и в Google, чтобы посмотреть, сталкивался ли кто-нибудь с подобной проблемой. Я нашел один пост с абсолютно такой же проблемой, но никто не ответил на его сообщение, и он отказался от Mikrotik и все заработало в нативном Linux – так что это не вариант…]. -Greg

burn3r

Guest

09.08.2012 06:22:00

Попробуй сконвертировать файл .key в формат .pem: openssl rsa -in filename.key -out filename.pem. После этого должно импортироваться нормально, у меня тоже была такая проблема, когда я первый раз пытался импортировать сертификаты.

gsloop Guest	#3 0 10.08.2012 18:18:00 Возможно, это сработает, но я просто скопировал текстовый вывод ключа и crt и затем импортировал их. Они импортировались отлично, без необходимости пароля, и всё было хорошо. Однако, ИМХО, стоит посчитать OpenVPN совершенно мертвым на RouterOS. Кажется, им не хватает усилий, чтобы делать даже самые базовые вещи – например, создавать собственную документацию. Вместо этого они "краудсорсят" ее и переваливают ответственность за неё на нас. В итоге получается OpenVPN без какой-либо разумной и актуальной документации – и это стоит нам снова, потому что мы тратим ЧАСЫ на эксперименты, пока что-то не начнет работать. OpenVPN не поддерживает LZO сжатие или UDP тоже. Обе по-настоящему ключевые функции! Так что, ИМХО, очень вводящее в заблуждение заявлять, что RoS поддерживает OpenVPN. Они этого не делают, и их действия это подтверждают. Если вам повезет, возможно, вы сможете разобраться, как собрать эту штуку вместе и заставить её работать, хотя бы немного, в некоторых случаях, с очень ограниченной совместимостью, [по четвергам, в ноябре, если вас зовут Фритци] – но в большинстве случаев вы будете сходить с ума, пытаясь заставить это работать – и MikroTik вряд ли сможет чем-то помочь. [Если они не могут даже заморачиваться с документацией, как вы думаете, они отреагируют, когда у вас возникнет проблема?] Так что, для всех, кто пытается сгенерировать сертификаты для OpenVPN: хорошо подумайте. Можете ли вы сделать это без OpenVPN, например, IPSec или SSTP [которые, кажется, тоже имеют проблемы, на момент написания этого] или L2TP – вы, вероятно, будете счастливее – и почти наверняка потратите меньше времени на это. [Я отказался от OpenVPN для своих VPN-клиентов Roadwarrior. Очень плохая И непредсказуемая пропускная способность в моей тестовой установке. См.: http://forum.mikrotik.com/t/openvpn-performance-throughput-odd-bad/58723/1 Учитывая всё остальное, я в итоге сдался и попробовал L2TP, которая работает, в основном нормально. Возможно, моя тестовая установка была сломана, я не знаю. Учитывая, опять же, ужасную документацию OpenVPN, очень трудно узнать. Но та же тестовая установка выдала намного лучшие/более стабильные бенчмарки L2TP, а также IPSec и PPTP.] Если вам просто НУЖНО использовать OpenVPN и вы все еще пытаетесь импортировать свои сертификаты, просто примите тот факт, что моё решение заключалось в выгрузке cert/key в текст и создании нового crt и key из этого текста и импортировании этого в RB. [И выгрузив ключ в текст, вы теряете любую защиту этого файла ключа – что плохо. Так что, если идея PEM работает, то это было бы лучше.] Это сработало. Возможно, использование PEM тоже сработает, я не знаю. [И RB, конечно, не даёт вам много обратной связи о том, что не так – что было бы очень полезно в случае отсутствия хорошей документации.] -Greg

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры