我正在嘗試透過我擁有的一些 VMS 設定 VPN。我在 ubuntu 10.04 上建立了一個 openvpn 伺服器,並嘗試使用 12.04 設定客戶端。我按照這裡的說明進行操作https://help.ubuntu.com/10.04/serverguide/C/openvpn.html,除了對配置文件的一些更改。當我openvpn --config client.conf在客戶端上運行時,我得到了這個。
Sat Apr 14 15:11:26 2012 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Sat Apr 14 15:11:26 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Apr 14 15:11:26 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Apr 14 15:11:26 2012 Cannot load private key file /home/fpayer/keys/cerberus.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Sat Apr 14 15:11:26 2012 Error: private key password verification failed
Sat Apr 14 15:11:26 2012 Exiting
我已經驗證該文件存在,儘管我對 ssl 不太了解,但它對我來說看起來不錯。在我看來,它正在尋找 .pem,但說明從未說過要生成一個。我也覺得很奇怪,我可以透過網路管理員連接,但無法 ping 通伺服器,也許是網路管理員的問題。我該怎麼做才能讓客戶工作?
這是我的設定檔:
伺服器:
port 1194
proto udp
dev tun0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/vpn-server.crt
key /etc/openvpn/easy-rsa/keys/vpn-server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.1 255.255.255.0
ifconfig-pool-persist openvpn.dhcp
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
;push "route 192.168.0.0 255.255.255.0"
;push "route 192.168.173.0 255.255.255.0"
;push "redirect-gateway def1"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-to-client
; max-clients 10
客戶:
client
dev tun0
proto udp
remote 192.168.1.6 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /home/fpayer/keys/ca.crt
cert /home/fpayer/keys/cerberus.crt
key /home/fpayer/keys/cerberus.crt
tls-auth /home/fpayer/keys/ta.key 1
verb 3
如果您能在設定檔或修復金鑰驗證中發現任何問題,我們將不勝感激。
伺服器IP:192.168.1.6 客戶端IP:192.168.1.7
答案1
看來你的cerberus.crt已損壞。您是如何將文件傳輸到客戶端電腦的?你確定你的鑰匙是正確的嗎?您是否使用過其他作業系統進行傳輸或是否編輯了該文件,這可能會改變它最初生成的方式?您是否使用過:
./pkitool cerberus
產生密鑰?
我已成功連接這些配置:
用戶端 11.10(從 10.04 伺服器產生的金鑰)-> 伺服器 12.04(從 10.04 升級,與 10.04 時代的金鑰集相同)。 客戶端 12.04 -> 伺服器 12.04(客戶端和伺服器金鑰均在 10.04 伺服器上產生)你的conf檔案和我的唯一不同的是我沒有這一行
tls-auth /home/fpayer/keys/ta.key 1
既不在伺服器上也不在客戶端上