URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89834
[ Назад ]

Исходное сообщение
"OpenVPN revoke-full"

Отправлено medium , 18-Сен-10 21:30 
Доброго времени суток, уважаемые форумчане.
Хочу задать вопрос спецам по OpenVPN.
Тут такое дело: есть сервак с CentOS на котором установлен OpenVPN. По ВПН-у конектятся клиенты с виндозных машин для получения доступа к ресурсам локалки в офисе. Каждому новому сотруднику делаю ключ командой sh build-key (имя_ключа). Вроде всё замечательно, НО на днях возникла проблема с уволенными сотрудниками! Для того чтобы они не смогли получить доступ по ВПН-у мне нужно отозвать ключ.
Я делаю: sh revoke-full (имя_ранее_созданного_ключа). Вроде тоже всё нормально, процедура заканчивается строкой error 23 at 0 depth lookup:certificate revoked.
Но когда я беру этот самый отозванный ключик и пытаюсь подключиться... Что вы думаете? Подключается!!! Это теперь получается что все ранее отозванные ключики работают без проблем, и до одного места что я делал revoke-full что не делал...
Помогите мне, пожалуйста, решить эту проблему. Что ещё нужно сделать чтобы отозванные ключи не конектились?
Может где-то в каком-то конфиге нужно что-то раскомментировать?
Заранее благодарен каждому за предоставленные ответы.

Содержание

Сообщения в этом обсуждении
"OpenVPN revoke-full"
Отправлено merzu , 18-Сен-10 22:17 
>Может где-то в каком-то конфиге нужно что-то раскомментировать?

openvpn.conf:

crl-verify /etc/openvpn/keys/crl.pem


"OpenVPN revoke-full"
Отправлено medium , 19-Сен-10 01:57 
>openvpn.conf:
>
>crl-verify /etc/openvpn/keys/crl.pem

Спасибо, merzu.
Ну у меня этот конфиг называется server.conf, а лежит в /etc/openvpn. Вроде это он, да? Дело в том что не я устанавливал и делал конфиги впн-ки.
Следующий вопрос появляется автоматически: вот добавлю я эту строку в конфиг, то нужно будет каким-то образом "обновить" базу ключей? Или достаточно просто сделать /etc/init.d/openvpn restart ?
---
Сделал, строку добавил, перезапустил впн, но теперь никто не может законектиться...
Вот строка из лога на клиентской машине:
Sun Sep 19 01:57:46 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Может я чёто не так сделал?


"OpenVPN revoke-full"
Отправлено DogEater , 21-Сен-10 10:01 
>мне нужно отозвать ключ.
>Я делаю: sh revoke-full (имя_ранее_созданного_ключа). Вроде тоже всё нормально, процедура заканчивается строкой

Так же можно воспользоваться модулем к Webmin. Я знаю что его многие не любят, но тем не менее, когда надо передать управление каким либо сервисом другому человеку без зенания консоли, он незаменим.
Модуль для openvpn весьма удобен, и позволяет не только просто грохнуть уже ненужный ключик но и экспортировать в архив любой из существующих ключей.