आयात करने के लिए क्लाइंट उपयोगकर्ता के लिए एक OpenVPN प्रोफ़ाइल बनाएं


40

क्या कोई दस्तावेज या संसाधन है जो यह बताता है कि एक OpenVPN क्लाइंट को आयात करने के लिए एक प्रोफ़ाइल कैसे बनाएं और होस्ट करें? आदर्श रूप से मेरे उपयोगकर्ताओं को अलग से .ovpn + cer की .zip फ़ाइल लाने की जरूरत नहीं है, इसे उचित निर्देशिका में निकालें, उनके .ovpn को ट्विक करें आदि।

जवाबों:


40

OpenVPN 2.1 के बाद से इनलाइन कॉन्फ़िगरेशन का समर्थन किया गया है। आपको एक एकल कॉन्फ़िगरेशन फ़ाइल में अपने सीट्स, और कुंजियों का पता लगाने की अनुमति है। लेकिन हाल ही में 2.3 की रिलीज तक इस कॉन्फ़िगरेशन फ़ाइल को कैसे बनाया जाए, इसके बारे में प्रलेखन जोड़ा नहीं गया था।

अधिक जानकारी के लिए OpenVPN मैन पेजINLINE FILE SUPPORT का अनुभाग देखें ।

client
proto udp
remote openvpnserver.example.com
port 1194
dev tun
nobind

key-direction 1

<ca>
-----BEGIN CERTIFICATE-----
# insert base64 blob from ca.crt
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
# insert base64 blob from client1.crt
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
# insert base64 blob from client1.key
-----END PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
# insert ta.key
-----END OpenVPN Static key V1-----
</tls-auth>

कॉन्फ़िगरेशन फ़ाइल के लिए डॉक्स कमांडलाइन विकल्पों के लिए डॉक्स के समान हैं:

OpenVPN किसी भी विकल्प को कमांड लाइन पर या कॉन्फ़िगरेशन फ़ाइल में रखने की अनुमति देता है। यद्यपि सभी कमांड लाइन विकल्प डबल-लीडिंग-डैश ("-") से पहले हैं, यह उपसर्ग तब हटाया जा सकता है जब कोई विकल्प कॉन्फ़िगरेशन फ़ाइल में रखा जाता है।


विंडोज कनेक्ट क्लाइंट ( Openvpn.net/?option=com_content&id=357 ) के साथ काम करने के लिए इसे प्राप्त नहीं किया जा सका , यह कुछ इस तरह की शिकायत Could not read file C:\\...\[inline]करता है जिससे ऐसा लगता है कि ग्राहक इनलाइन प्रमाणपत्र (अभी तक) के बारे में नहीं जानता है।
पैट्रिक ओसिटी

अगर यह मदद करता है पता नहीं है, लेकिन मैं सिर्फ सीए, प्रमाणपत्र, कुंजी और tls- कोर विन्यास मूल्यों को छोड़ दिया है और यह काम करता है।
इक्के

2
आपको [इनलाइन] के साथ लाइनों को हटा देना चाहिए।
टिल्स

2
क्षमा करें यह की-दिशा है। मिला हुआ। मैन पेज पर मेरा पैच पहले ही एकीकृत हो चुका है। INLINE FILES के अंतर्गत 2.3 मैन पेज देखें: community.openvpn.net/openvpn/wiki/Openvpn23ManPage । मैंने इसे पठनीय और सुगम्य बनाने के लिए इसके स्वयं के उत्तर की नकल की।
प्लैसथोस

1
@Strubbl: इस लिंक के चरण 10 और 11 देखें digitalocean.com/community/tutorials/…
साई रामचंद्रन

8

OpenVPN 2.3 मैन पेज से (यह 2.1rc से कुछ समर्थित है)

OpenVPN के लिए मुख्य विन्यास --ca, --cert, --dh, --extra-certs, --key, --pkcs12, --secretऔर --tls-authविकल्पों के लिए फाइल सहित अनुमति देता है ।

प्रत्येक इनलाइन फ़ाइल लाइन द्वारा शुरू हुई और लाइन <option>द्वारा समाप्त हुई </option>

यहाँ एक इनलाइन फ़ाइल उपयोग का एक उदाहरण है

<cert>
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
</cert>

इनलाइन फ़ाइल के साथ इनलाइन फ़ाइल सुविधा का उपयोग करते समय --pkcs12बेस 64 एनकोडेड करना पड़ता है। एक .p12 फ़ाइल का बेस 64 में एनकोडिंग ओपनएसएसएल के साथ चलकर उदाहरण के लिए किया जा सकता हैopenssl base64 -in input.p12

key-directionविकल्प पर भी ध्यान दें :

--key-direction
विकल्पों --tls-auth और --secretविकल्पों के लिए वैकल्पिक दिशा पैरामीटर निर्दिष्ट करने का वैकल्पिक तरीका । इनलाइन फ़ाइलों का उपयोग करते समय उपयोगी (इनलाइन फ़ाइलों पर अनुभाग देखें)।


3

यह Win7 ग्राहकों के साथ OpenVPN 2.3.4 Debian 8.9 सर्वर के साथ परीक्षण किया गया है।

चरण १. अपनी डिफॉल्ट वाली फाइल बनाएँ (मैं इसे inline_client.conf कहता हूं) सभी सेटिंग्स को आपके सर्वर से मेल खाना चाहिए।

client
dev tun
proto udp
remote yourserver.xyz 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
verb 3
;mute 20

ca [inline]
cert [inline]
key [inline]
tls-auth [inline] 1

चरण 2. निम्न स्क्रिप्ट बनाएं, आवश्यकतानुसार पथ समायोजित करें और chmod ug+x MakeInline.sh

#!/bin/bash

# Default Variable Declarations

DEFAULT="inline_client.conf"
FILEEXT=".ovpn"
CRT=".crt"
KEY=".key"
CA="ca.crt"
TA="ta.key"
kPath="./keys/"


#Ask for a Client name
echo "Please enter an existing Client Name:"
read NAME

echo "Please enter an Name for the output file"
read ovpnName

#1st Verify that client's Public Key Exists
if [ ! -f $kPath$NAME$CRT ]; then
   echo "[ERROR]: Client Public Key Certificate not found: $kPath$NAME$CRT"
   exit
fi
echo "Client's cert found: $kPath$NAME$CRT"

#Then, verify that there is a private key for that client
if [ ! -f $kPath$NAME$KEY ]; then
   echo "[ERROR]: Client 3des Private Key not found: $kPath$NAME$KEY"
   exit
fi
echo "Client's Private Key found: $kPath$NAME$KEY"

#Confirm the CA public key exists
if [ ! -f $kPath$CA ]; then
   echo "[ERROR]: CA Public Key not found: $kPath$CA"
   exit
fi
echo "CA public Key found: $kPath$CA"

#Confirm the tls-auth ta key file exists
if [ ! -f $kPath$TA ]; then
   echo "[ERROR]: tls-auth Key not found: $kPath$TA"
   exit
fi
echo "tls-auth Private Key found: $kPath$TA"

#Ready to make a new .opvn file - Start by populating with the

cat $DEFAULT > $ovpnName$FILEEXT

#Now, append the CA Public Cert
echo "<ca>" >> $ovpnName$FILEEXT
cat $kPath$CA | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >> $ovpnName$FILEEXT
echo "</ca>" >> $ovpnName$FILEEXT

#Next append the client Public Cert
echo "<cert>" >> $ovpnName$FILEEXT
cat $kPath$NAME$CRT | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >> $ovpnName$FILEEXT
echo "</cert>" >> $ovpnName$FILEEXT

#Then, append the client Private Key
echo "<key>" >> $ovpnName$FILEEXT
cat $kPath$NAME$KEY >> $ovpnName$FILEEXT
echo "</key>" >> $ovpnName$FILEEXT

#Finally, append the TA Private Key
echo "<tls-auth>" >> $ovpnName$FILEEXT
cat $kPath$TA >> $ovpnName$FILEEXT
echo "</tls-auth>" >> $ovpnName$FILEEXT

echo "Done! $ovpnName$FILEEXT Successfully Created."

#Script written by Eric Jodoin
#Update by Eric Maasdorp 2017-12-16

चरण 3. निष्पादित करें MakeInline.shयह एक क्लाइंट के नाम के लिए पूछेगा जिसे आपको पहले से बनाया जाना चाहिए था build-key or build-key-pass। यह ovpn फ़ाइल के लिए एक नाम के लिए पूछेगा। मेरा मानक ServerToConnectTo.ClientName है जो उत्पादन करेगा ServerToConnectTo.ClientName.ovpn

ध्यान दें: यदि आपने build-keyइसके बजाय उपयोग किया है, build-key-passतो जिस किसी को भी पकड़ लिया *.ovpnजाएगा , उसके पास बिना पासवर्ड के आपके सर्वर तक पहुंच होगी!


1

यह पायथन स्क्रिप्ट क्लाइंट कुंजियों और एक प्रोफ़ाइल बनाने के लिए सर्वर पर चलाई जा सकती है। मैं इसे इनलाइन करूंगा, लेकिन यह मेरी रचना नहीं है और यह लंबी है और समय-समय पर अपडेट की जा सकती है, और इसके कांटे हैं, इसलिए यह संभावना है कि यह भविष्य के वेब यात्रियों के लिए वेब पर खोज योग्य होगा। यदि लिंक काम नहीं करता है तो "openvpn_gen.py" खोजने का प्रयास करें।

https://gist.github.com/Justasic/908ef5f4fa162f15b3b8

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.