Comments 13
Картинками? Это серьезно?
Статья номер 100500 как установить openvpn, и ничего про то как его в дальнейшем эксплуатировать. Вы хоть в курсе, что список отозванных сертификатов имеет срок годности и может "протухнуть"? По-умолчанию через год; и вы столкнетесь с тем что клиенты по этой причине не коннектятся, а дальше отправитесь на stackoverflow. Т. е. список нужно генерировать не только при отзыве, но и просто периодически, чтобы сервер не решил, что вы "забили".
Пока вы писали эту статью вышел релиз Debian 12 :)
Стоит использовать пакет iptables-persistent или переходить на nftables, а не /etc/network/interfaces. Да и с interfaces пора уходить на systemd.
Hidden text
#!/bin/sh
PREFIX="/usr/local"
USERADD="pw useradd"
NETNAME="whatever"
HOSTNAME=`hostname`
WORKDIR="${PREFIX}/etc/openvpn/${NETNAME}"
DIRS="ccd certs crl keys private req ready"
SED=`which sed`
SSL=`which openssl`
VPN=`which openvpn`
${USERADD} openvpn
for dir in ${DIRS}; do
mkdir -p ${WORKDIR}/${dir}
done
cp openssl.cnf openvpn.conf ${WORKDIR}
touch ${WORKDIR}/index.txt ${WORKDIR}/serial
cp openvpn.ovpn ${WORKDIR}/ready
chown -R root:openvpn ${WORKDIR}
chmod -R g+w ${WORKDIR}
cp keygen.sh ${PREFIX}/bin/keygen_${NETNAME}.sh
cp revoke.sh ${PREFIX}/bin/revoke_${NETNAME}.sh
rehash
cd ${WORKDIR}
chmod 700 keys private
echo "01" > serial
export KEY_NAME=${HOSTNAME}
${SSL} req -new -nodes -x509 -keyout private/CA_key.pem -out CA_cert.pem -days 3650
${SSL} req -new -nodes -keyout keys/server.pem -out req/server.pem
${SSL} ca -batch -config openssl.cnf -extensions server -out certs/server.pem -infiles req/server.pem
${SSL} dhparam -out dh2048.pem 2048
${SSL} ca -config openssl.cnf -gencrl -out crl/crl.pem
${VPN} --genkey --secret ta.keyи никаких костылей в виде easy-rsa
Sign up to leave a comment.
Установка и настройка OpenVPN сервера в Debian 10 (Отзыв сертификатов)