Требуется организовать удаленный доступ наиболее надежным и безопасным способом. Остановился на OpenVPN и сертификатах.

Поделитесь пожалуйста опытом настройки. Документация под рукой. Никак не могу въехать в специфику.


Создаю CA, сертификат 509 и ключ. Загружаю в dfl cacert.pem и cakey.pem: Invalid Private key format

OpenVPN это софтовое решение, DFL его не поддерживает и не будет. Если очень хотите, его можно поставить на DSA.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Извините, но какая разница чем к устройству подключается клиент? Ерунда какая то. Есть же специальное ПО для связи с DFL, неужели dlink ввели монополию на vpn.

OpenVPN - не стандартное решение! Стандартные "железные" PPTP/L2TP/IPsec клиенты прекрасно работают.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Значит OpenVPN к DFL присоединить невозможно? А какие еще есть варианты, кроме dlink клиента?

Виндовый РРТР точно работает. Других не знаю... Должны быть.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

*deleted

*del

Ключи у вас не заливались на DFL т.к их можно подгружать только в формате *.cer + *.key.

А по теме - Всё что можно сделать на "сертификатах" - это прикрутить на них авторизацию вместо pre-shared key для IPSec, L2Tp-IPSec.
Вот только если у вас удаться победить глюк с проверкой CRL....

p/s Из опыта - Заливка всех ключей на DFL(вместо указания Центра Сертификации для проверки CRL) у меня работала до определенного момента ... когда 804HV роутеры у пользователей дома перестали пропускать L2Tp подключение с момента включения в тунель 29го сертификата..., звучит как бред, но если их было 28 всё работало...,в свою очередь всё работало с 29+ сертификатами если пользователи втыкали патч-корд от провайдера в свою сетевуху... но с учетом такого глюка, и невесь каких ещё роутеров у удаленных пользователей пришлось пока отказатся от Сертификатов...

з.з.ы а связать openVPN и DFL было бы классно )))

Все сертификаты залил, клиент Cisco VPN Client 5.0.04.0300.
Настройки http://www.dlink.ru/technical/faq_firewall_35.php



В чем дело?

в cisco vpn client даже близких настроек нет чтобы подцепится к DFL, кроме как GW и логина пароля(куда?) с сертификатом ничего больше нет..., сомневаюсь что им можно подцепится к DFL..

Почему может возникать такая ошибка? Подключаюсь Windows XP L2TP over IPSec на сертификатах. У клиента сертификат с ключем и корневой, на DFL корневой с ключем и клиентов сертификаты без ключа.

792 Попытка L2TP - подкл. не удалась поскольку истекло время согл. режима безопасности




На Pre-shared key работает без проблем.

В данный момент у устройства проблемы именно с Open решениями, с сервером лицензий от MS устройство работает нормально. По поводу сроков исправления ответить затруднюсь

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо за информацию. Наверно лучше не ждать, а поставить сервер от майкрософт

Сергей, имеется ввиду "нормально" создаются и "импортируются" ключи на Dlink?(хотя я бы и с этим поспорил - каждый раз при заливки ключа надо смотреть лог dfl, - нормально ли там он добавился, ибо если на dlink заливаешь "кривой" сертификат и добавляешь его в тонель(с ошибкой в логе "failed add cetifcate ..etc" - посе этого перестают работать рабочие IPSEC тунели с афторизацией на сертификате,и пока этот сертифика не удалишь из ДФЛ - авторизация на сертификате работать не будет)....так вот , CRL то как ни работал так и не работает, у меня за всё время он только однажды обратился к MS CA , после этого вроде нормально стал обрабатывать и пускать покдлючения по L2TP на сертификатах., вот только беда в том что это был тестовый CA, на новый рабочий CA "завернуть" как вообщем-то и на все последующие поднятые ни разу не вышло... . может есть какие трюки чтобы он работал?, ибо идея с заливанием всех ключей на сам DFL тоже имеет свои проблемы, из за которых работать возможно тока с pre-shared key что само по себе для VPN клиентов сомнительно, и если чё случится поменять ключ у 100+ юзеров, даже думать не хочеться...