форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение		[ Отслеживать ]

"OpenVPN revoke-full"	+/–
Сообщение от medium (ok) on 18-Сен-10, 21:30
Доброго времени суток, уважаемые форумчане. Хочу задать вопрос спецам по OpenVPN. Тут такое дело: есть сервак с CentOS на котором установлен OpenVPN. По ВПН-у конектятся клиенты с виндозных машин для получения доступа к ресурсам локалки в офисе. Каждому новому сотруднику делаю ключ командой sh build-key (имя_ключа). Вроде всё замечательно, НО на днях возникла проблема с уволенными сотрудниками! Для того чтобы они не смогли получить доступ по ВПН-у мне нужно отозвать ключ. Я делаю: sh revoke-full (имя_ранее_созданного_ключа). Вроде тоже всё нормально, процедура заканчивается строкой error 23 at 0 depth lookup:certificate revoked. Но когда я беру этот самый отозванный ключик и пытаюсь подключиться... Что вы думаете? Подключается!!! Это теперь получается что все ранее отозванные ключики работают без проблем, и до одного места что я делал revoke-full что не делал... Помогите мне, пожалуйста, решить эту проблему. Что ещё нужно сделать чтобы отозванные ключи не конектились? Может где-то в каком-то конфиге нужно что-то раскомментировать? Заранее благодарен каждому за предоставленные ответы.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "OpenVPN revoke-full"	+/–
Сообщение от merzu on 18-Сен-10, 22:17
>Может где-то в каком-то конфиге нужно что-то раскомментировать? openvpn.conf: crl-verify /etc/openvpn/keys/crl.pem
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "OpenVPN revoke-full"	+/–
	Сообщение от medium (ok) on 19-Сен-10, 01:57
	>openvpn.conf: > >crl-verify /etc/openvpn/keys/crl.pem Спасибо, merzu. Ну у меня этот конфиг называется server.conf, а лежит в /etc/openvpn. Вроде это он, да? Дело в том что не я устанавливал и делал конфиги впн-ки. Следующий вопрос появляется автоматически: вот добавлю я эту строку в конфиг, то нужно будет каким-то образом "обновить" базу ключей? Или достаточно просто сделать /etc/init.d/openvpn restart ? --- Сделал, строку добавил, перезапустил впн, но теперь никто не может законектиться... Вот строка из лога на клиентской машине: Sun Sep 19 01:57:46 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054) Может я чёто не так сделал?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "OpenVPN revoke-full"	+/–
Сообщение от DogEater (ok) on 21-Сен-10, 10:01
>мне нужно отозвать ключ. >Я делаю: sh revoke-full (имя_ранее_созданного_ключа). Вроде тоже всё нормально, процедура заканчивается строкой Так же можно воспользоваться модулем к Webmin. Я знаю что его многие не любят, но тем не менее, когда надо передать управление каким либо сервисом другому человеку без зенания консоли, он незаменим. Модуль для openvpn весьма удобен, и позволяет не только просто грохнуть уже ненужный ключик но и экспортировать в архив любой из существующих ключей.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема