Здравствуйте! Имеется несколько вопросов по OpenVPN в ESR-200.
Есть ли поддержка AES-256-CBC и если нет, то будет ли.
Поддерживаются ли 2048 битные DH?
И не могли бы вы подсказать как правильно генерить для него сертификаты ибо на мои он говорит error - check OpenVPN: Server key is not valid
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
ESR-200 и OpenVPN
-
СавинВасилий
- Сообщения: 21
- Зарегистрирован: 10 янв 2017 20:12
- Reputation: 0
-
СавинВасилий
- Сообщения: 21
- Зарегистрирован: 10 янв 2017 20:12
- Reputation: 0
Re: ESR-200 и OpenVPN
Вопрос все еще актуален.
-
leonid_zarkov
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: ESR-200 и OpenVPN
Здравтствуйте!
1. В версию ПО 1.4.0 будут добавлены алгоритмы шифрования, в том числе и AES-256-CBC, так же добавится возможность выбора алгоритма хэша.
2. DH 2048 и более использовать можно.
3. В текущей реализации для генерации сертификатов используйте easyrsa, вот краткая инструкция, более полную можно получить на портале https://openvpn.net/index.php/open-sour ... ement.html
1) создание удостоверяющего центра:
./easyrsa build-ca [nopass] -> ca.key ; ca.crt
2) создание сервера openvpn:
генерируем запрос на подпись
./easyrsa gen-req server [nopass] -> server.key ; server.req
отправляем server.req на СА
./easyrsa import-req PATH_TO_server.req server-name
подписываем сертификат для сервера
./easyrsa sign-req server server-name -> server.crt
отправляем server.crt на сервер
генерируем файл Диффи-Хелмана (20-30 минут)
./easyrsa gen-dh -> dh.pem
более быстрый способ:
openssl dhparam -out PATH_TO_OUTPUT_FILE 2048
создание HMAC
openvpn --genkey --secret ta.key -> ta.key
3) создание клиента:
генерируем запрос на подпись
./easyrsa gen-req client [nopass] -> client.key ; client.req
отправляем client.req на CA
./easyrsa import-req PATH_TO_client.req client-name
подписываем сертификат для клиента
./easyrsa sign-req client client-name -> client.crt
отправляем client.crt, ca.crt, ta.key
4) создание списка отзыва сертификатов (необязательно):
генерируем список
./easyrsa gen-crl -> crl.pem
отзыв сертификата
./easyrsa revoke {username} -> crl.pem
отправляем crl.pem на сервер
перезапускаем сервер
1. В версию ПО 1.4.0 будут добавлены алгоритмы шифрования, в том числе и AES-256-CBC, так же добавится возможность выбора алгоритма хэша.
2. DH 2048 и более использовать можно.
3. В текущей реализации для генерации сертификатов используйте easyrsa, вот краткая инструкция, более полную можно получить на портале https://openvpn.net/index.php/open-sour ... ement.html
1) создание удостоверяющего центра:
./easyrsa build-ca [nopass] -> ca.key ; ca.crt
2) создание сервера openvpn:
генерируем запрос на подпись
./easyrsa gen-req server [nopass] -> server.key ; server.req
отправляем server.req на СА
./easyrsa import-req PATH_TO_server.req server-name
подписываем сертификат для сервера
./easyrsa sign-req server server-name -> server.crt
отправляем server.crt на сервер
генерируем файл Диффи-Хелмана (20-30 минут)
./easyrsa gen-dh -> dh.pem
более быстрый способ:
openssl dhparam -out PATH_TO_OUTPUT_FILE 2048
создание HMAC
openvpn --genkey --secret ta.key -> ta.key
3) создание клиента:
генерируем запрос на подпись
./easyrsa gen-req client [nopass] -> client.key ; client.req
отправляем client.req на CA
./easyrsa import-req PATH_TO_client.req client-name
подписываем сертификат для клиента
./easyrsa sign-req client client-name -> client.crt
отправляем client.crt, ca.crt, ta.key
4) создание списка отзыва сертификатов (необязательно):
генерируем список
./easyrsa gen-crl -> crl.pem
отзыв сертификата
./easyrsa revoke {username} -> crl.pem
отправляем crl.pem на сервер
перезапускаем сервер
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя