В сообщении от Понедельник 08 октября 2007 23:10 Stanislav Maslovski написал(a): > On Mon, Oct 08, 2007 at 07:56:04PM +0400, Alexey Pechnikov wrote: > > > AP> Публичный ключ клиента должен быть на сервере, иначе как проверить > > > AP> клиента? > > > > > > Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но > > > скажу, что клиент проверяется по переданному им в рамках сессии > > > сертификату, подписанному CA. И лишь сертификат CA, один на всех > > > клиентов, должен быть на сервере. Чтобы проверить подпись. > > > > На сервере: > > > > # ls > > easy-rsa ipp.txt openvpn.conf > > # cd easy-rsa > > # ls > > keys > > # cd keys > > # ls > > 01.pem 02.pem 03.pem 05.pem 06.pem 0C.pem ca.crt ca.key > > dh1024.pem server.crt server.key > > > > Без файлов .pem ничего не работает, их требуется класть для каждого > > клиента. > > > > На всякий случай: > > > > # openvpn --version > > OpenVPN 2.0.7 armv5b-softfloat-linux [SSL] [LZO] built on Jun 20 2006 > > Developed by James Yonan > > Copyright (C) 2002-2005 OpenVPN Solutions LLC <[EMAIL PROTECTED]> > > С версией более старой, чем 2.0.9 не работал, но все равно не могу понять, > как вы такого поведения добились? Дайте что-ли взглянуть на содержимое > openvpn.conf, даже интересно.
$cat openvpn.conf dev tun0 server x.y.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt persist-key persist-tun client-to-client tls-server dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem ca /opt/etc/openvpn/easy-rsa/keys/ca.crt cert /opt/etc/openvpn/easy-rsa/keys/server.crt key /opt/etc/openvpn/easy-rsa/keys/server.key user nobody group nobody comp-lzo persist-tun persist-key verb 3 $cat client.conf verb 1 cd /opt/openvpn-client dev tun nobind comp-lzo resolv-retry infinite cert client.crt key client.key ca ca.crt tls-client pull proto udp mssfix 1300 remote a.b.c.d port 1194 persist-key persist-tun ping-restart 0 mssfix 1300 насколько помню осталось после экспериментов с криво настроенным adsl-модемом.
