UbuntuでOpenVPNを動作させる

tag-icon tag-icon 10.04 configuration 12.04 openvpn
UbuntuでOpenVPNを動作させる

私は所有しているいくつかのVM上でVPNを設定しようとしています。Ubuntu 10.04でOpenVPNサーバーを作成し、12.04を使用してクライアントを設定しようとしています。私はここにある指示に従いました参考:、設定ファイルにいくつかの変更を加えた点を除いて、openvpn --config client.confクライアントで実行すると、次のようになります。

Sat Apr 14 15:11:26 2012 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Sat Apr 14 15:11:26 2012 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Apr 14 15:11:26 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Apr 14 15:11:26 2012 Cannot load private key file /home/fpayer/keys/cerberus.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Sat Apr 14 15:11:26 2012 Error: private key password verification failed
Sat Apr 14 15:11:26 2012 Exiting

ファイルが存在することを確認しました。SSL についてはあまり詳しくないのですが、問題ないようです。.pem を探しているようですが、説明書には生成するようには書かれていません。また、ネットワーク マネージャー経由で接続できるのに、サーバーに ping できないのも不思議です。ネットワーク マネージャーの問題かもしれません。クライアントを動作させるにはどうしたらいいでしょうか?

私の設定ファイルは次のとおりです:

サーバ:

port 1194
proto udp
dev tun0

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/vpn-server.crt
key /etc/openvpn/easy-rsa/keys/vpn-server.key
dh /etc/openvpn/dh1024.pem 

server 10.8.0.1 255.255.255.0
ifconfig-pool-persist openvpn.dhcp

keepalive 10 120
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 4
mute 20

;push "route 192.168.0.0 255.255.255.0"
;push "route 192.168.173.0 255.255.255.0"
;push "redirect-gateway def1"

;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-to-client
; max-clients 10

クライアント:

client
dev tun0
proto udp
remote 192.168.1.6 1194
resolv-retry infinite
nobind

user nobody
group nogroup

persist-key
persist-tun

ca /home/fpayer/keys/ca.crt
cert /home/fpayer/keys/cerberus.crt
key /home/fpayer/keys/cerberus.crt
tls-auth /home/fpayer/keys/ta.key 1

verb 3

設定ファイルまたはキー検証の修正に問題が見つかった場合は、ぜひお知らせください。

サーバー IP:192.168.1.6 クライアント IP:192.168.1.7

答え1

あなたのケルベロス.crt破損しています。ファイルをクライアント マシンに転送した方法を教えてください。キーが正しいことを確認していますか。転送に他のオペレーティング システムを使用しましたか。または、ファイルを編集して、元の生成方法を変更しましたか。次のものを使用しましたか。

./pkitool cerberus

キーを生成するには?
以下の構成で正常に接続できました:

クライアント 11.10 (10.04 サーバーから生成されたキー) -> サーバー 12.04 (10.04 からアップグレード、10.04 時代と同じキー セット)。
クライアント 12.04 -> サーバー 12.04 (クライアント キーとサーバー キーの両方が 10.04 サーバーで生成されました)
あなたのconfファイルと私のconfファイルの違いは、この行がないことです。

tls-auth /home/fpayer/keys/ta.key 1

サーバーでもクライアントでも

関連情報