Estou tentando configurar uma VPN em alguns VMS que possuo. Criei um servidor openvpn no Ubuntu 10.04 e estou tentando configurar o cliente usando 12.04. Eu segui estas instruções aquihttps://help.ubuntu.com/10.04/serverguide/C/openvpn.html, exceto por algumas alterações nos arquivos de configuração. Quando executo openvpn --config client.confo cliente, entendo isso.
Sat Apr 14 15:11:26 2012 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Sat Apr 14 15:11:26 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Apr 14 15:11:26 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Apr 14 15:11:26 2012 Cannot load private key file /home/fpayer/keys/cerberus.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Sat Apr 14 15:11:26 2012 Error: private key password verification failed
Sat Apr 14 15:11:26 2012 Exiting
Verifiquei que o arquivo existe e parece bom para mim, embora eu não saiba muito sobre SSL. Parece-me que está procurando um .pem, mas as instruções nunca disseram para gerar um. Também acho estranho poder me conectar através do gerenciador de rede, mas não consigo executar ping no servidor, talvez seja um problema com o gerenciador de rede. O que devo fazer para que o cliente funcione?
Aqui estão meus arquivos de configuração:
Servidor:
port 1194
proto udp
dev tun0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/vpn-server.crt
key /etc/openvpn/easy-rsa/keys/vpn-server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.1 255.255.255.0
ifconfig-pool-persist openvpn.dhcp
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
;push "route 192.168.0.0 255.255.255.0"
;push "route 192.168.173.0 255.255.255.0"
;push "redirect-gateway def1"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-to-client
; max-clients 10
Cliente:
client
dev tun0
proto udp
remote 192.168.1.6 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /home/fpayer/keys/ca.crt
cert /home/fpayer/keys/cerberus.crt
key /home/fpayer/keys/cerberus.crt
tls-auth /home/fpayer/keys/ta.key 1
verb 3
Se você encontrar algum problema no arquivo de configuração ou na correção da verificação da chave, ficaríamos muito gratos.
IP do servidor: 192.168.1.6 IP do cliente: 192.168.1.7
Responder1
Parece que o seucerberus.crtestá corrompido. Como você transferiu os arquivos para sua máquina cliente? Tem certeza de que suas chaves estão corretas? Você utilizou algum outro sistema operacional para a transferência ou editou o arquivo, algo que pode ter alterado a forma como ele foi gerado originalmente? Você usou:
./pkitool cerberus
gerar as chaves?
Eu conectei com sucesso estas configurações:
Cliente 11.10 (chaves geradas a partir de um servidor 10.04) -> servidor 12.04 (atualizado de 10.04, mesmo conjunto de chaves da era 10.04). Cliente 12.04 -> servidor 12.04 (chaves de cliente e servidor geradas em um servidor 10.04)A única coisa diferente entre os seus arquivos conf e os meus é que não tenho essa linha
tls-auth /home/fpayer/keys/ta.key 1
nem no servidor nem no cliente