Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Certificato .crt anziche .pem

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
nezah



Registrato: 24/03/09 11:44
Messaggi: 10

MessaggioInviato: Ven Mar 11, 2016 1:16 pm    Oggetto: Certificato .crt anziche .pem Rispondi citando

Ciao forum,

mi trovo a dover collegare un router industriale a ZS tramite un tunnel openvpn.
Configuro Host to Lan in OpenVPN tramite sola password.
Provo la connessione ma non mi va su.
Dai log di ZS vedo il client collegato, dal router mi viene risposto non connesso.
Spulciando i log trovo che il router vuole comunque il certificato, solo che lo accetta solo in formato .crt. Il .pem prelevato da ZS non gli piace ....

Cosa mi consigliate di fare ??

Graize
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Ven Mar 11, 2016 8:12 pm    Oggetto: Rispondi citando

Lo rinomini da .pem a .crt
ciao
Edit .... la H2L sarebbe per connessioni da users, piuttosto che per una L2L ...
Il router commerciale è settato per usare tap ? Di default, openvpn usa tun..
ciao
Top
Profilo Invia messaggio privato
nezah



Registrato: 24/03/09 11:44
Messaggi: 10

MessaggioInviato: Dom Mar 13, 2016 9:01 am    Oggetto: Rispondi citando

redfive ha scritto:
Lo rinomini da .pem a .crt
ciao
Edit .... la H2L sarebbe per connessioni da users, piuttosto che per una L2L ...
Il router commerciale è settato per usare tap ? Di default, openvpn usa tun..
ciao


Ciao Red,
grazie della risposta, mmmm si ho fatto un po di casino .... riassumo allo stato attuale :

Ho ZS in ufficio, devo poter contattare dei dispositivi in remoto tramite connessione UMTS/3g.
Ho a disposizione un router 3G industriale ( InHand 794) che permette una connessione VPN tramite OpenVPN.

Allo stato attuale mi funziona questa soluzione :
ZS con H2L OpenVPN con autenticazione con sola User/Pwd
IH settato come client con accesso all'IP ZS via sola PWD

Questo naturalmente mi permette dall'ufficio di arrivare inserendo direttamente l'IP di IH alla pagina della sua configurazione WEB.

Adesso devo fare il passo finale e creare una VPN L2L
Su ZS è configurata su una porta ovviamente diversa rispetto alla H2L
Su ZS per la connessione L2L posso scegliere fra due sistemi di autenticazione :
PSK oppure X.509.
Su IH setto la porta corretta e scelgo uno dei due modi. E da qui non mi schiodo. Entrambe le autenticazioni non vanno.
Se uso la PSK generata da ZS e la copio su IH, il debug Openvpn di quest'ultimo mi riporta questo errore :
Insufficent key material or header test not found in file "/etc....."(0/128/256 bytes found/min/max )

Provando a caricare invece i certificati .... non so come prelevare da ZS le chiave pubblica che privata che IH mi richiede .... sono alla ricerca ma accetto indicazioni Wink

Grazie
Top
Profilo Invia messaggio privato
nezah



Registrato: 24/03/09 11:44
Messaggi: 10

MessaggioInviato: Dom Mar 13, 2016 12:01 pm    Oggetto: ... ho finito le idee ... Rispondi citando

Ho provato cosi :

da ZS su setup dei certificati mi sono esportato il CA in formato pem del mio host.

Visto che IH non accetta tale file .crt come consigliato , l'ho semplicemente rinominato .crt

In IH carico dove mi viene richiesto il CA, il file rinominato .crt. Salvo la modifica riavvio la VPN ma nel log di IH mi viene rimandato un errore : Cert is not ready.

Visto che nella configurazione di IH ho anche lo spazio per indicare la chiave privata, ho provato ( non se si possa fare ) a dividere il file PEM, in certificato CA.crt senza chiave ed un file private.key .... anche in questo modo ho sempre Cert is not ready.

Naturalmente dal log VPN di ZS nemmeno vedo il tentativo di connessione ... il che mi fa pensare che se a IH non gli va bene il certificato non fa un bel niente ....

.... ora non ho più idee ...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Dom Mar 13, 2016 1:29 pm    Oggetto: Rispondi citando

Se su ZS crei eg. l'host 'vpn-peer', poi puoi esportare il suo certificato vpn-peer.pem con relativa chiave privata, apri il file con un editor di testo, 'tagli' la chiave privata (tutto, da -----BEGIN RSA PRIVATE KEY----- a -----END RSA PRIVATE KEY----- compresi, occhio agli eventuali spazi), la incolli in in nuovo documento di testo, lo salvi con nome tipo vpn-peer-key.pem, salvi anche il documento precedente senza piu' chiave privata.
Hai sia il certificato che la chiave privata da importare nel dispositivo.
Edit ... scusa, ho visto adesso che hai postato appena prima di me....
Oltre al certificato host, devi importare anche il certificato CA senza chiave privata, e mi sembra di capire, forse anche la CRL ....
ciao
Top
Profilo Invia messaggio privato
nezah



Registrato: 24/03/09 11:44
Messaggi: 10

MessaggioInviato: Lun Mar 14, 2016 7:51 am    Oggetto: Rispondi citando

redfive ha scritto:
Se su ZS crei eg. l'host 'vpn-peer', poi puoi esportare il suo certificato vpn-peer.pem con relativa chiave privata, apri il file con un editor di testo, 'tagli' la chiave privata (tutto, da -----BEGIN RSA PRIVATE KEY----- a -----END RSA PRIVATE KEY----- compresi, occhio agli eventuali spazi), la
ciao


Grazie RED,

un passo avanti l'ho fatto ...
Sul dispositivo remoto ho scelto l'autenticazione tramite PSK, ZS mi ha generato la chiave e l'ho copiata.

Adesso non ho più errori di login ....

Provo ad instaurare la connessione e se metto sul dispositivo remoto la modalità TUN tale dispositivo mi dice connesso .... SU ZS nulla cambia ... in attesa di connessione .....
Se metto ( giustamente ) TAP ... la connessione non vi va su neanche sul dispositivo remoto ..... dal log mi viene riportato un errore :

Linux ifconfig failed : external program exited with error status:1

Per informazione, ho provato ad attivare la connessione H2L sempre via Open VPN e tutto funziona, dai PC sotto ZS se inserisco l'ip privato del dispositivo accedo tranquillamente alle sue funzionalità.
Io però devo riuscire a raggiungere altri due IP che stanno dopo tale dispositivo.

[/img]
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it