ГОСТовые шифрование для OpenVPN

Сообщения
8
#1
Добрый день, коллеги. Подскажите пожалуйста как сгенерировать сертификаты ГОСТовых алгоритмов шифрования (Магма или Кузнечик) для OpenVPN ?
 
Сообщения
8
#3
Перегенинировалал сертификаты при в fly-admin-openvpn-server, потом проверяю наличия кузнечика командой из вики grep "grasshopper-cbc" /var/log/syslog и в итоге ничего. Не понимаю в чем проблема.
Причем сами сертификаты поменялись, проверял их контрольные суммы
 
Последнее редактирование:

AFilippov

New member
Сообщения
170
#4
Перегенинировалал сертификаты при в fly-admin-openvpn-server, потом проверяю наличия кузнечика командой из вики grep "grasshopper-cbc" /var/log/syslog и в итоге ничего. Не понимаю в чем проблема.
Причем сами сертификаты поменялись, проверял их контрольные суммы
Пакет libgost_astra точно установлен?
 
Сообщения
8
#7
По этому мануалу как раз и устанавливал библиотеку и проверял наличие алгоритмов в openssl
 
Сообщения
8
#9
Да, все верно. Могу предоставить какие-либо другое материалы для анализа ситуации типо конфигов и прочее.
 

AFilippov

New member
Сообщения
170
#10
Покажи выдачу grep "grasshopper-cbc" /var/log/syslog при соединении клиента с openvpn-сервером.
 
Сообщения
8
#11
Кажется я нашел в чем проблема. Посмотрев в /var/log/openvpn/server.log увидел следующее

Options error: Unrecognized option or missing or extra parameter(s) in /etc/openvpn/server.conf:33: server (2.4.5)
Use --help for more information.
Файл конфига на сервере выглядит так:
dev tun
remote 172.23.133.41 1194
ifconfig 192.168.1.1 192.168.2.1
up /etc/openvpn/scripts/routes_server.up.sh

tls-server
daemon

# Diffie-Hellman Parameters (tls-server only)
dh /etc/openvpn/keys/dh2048.pem

# Certificate Authority file
ca /etc/openvpn/keys/ca.crt

# Our certificate/public key
cert /etc/openvpn/keys/server.crt

# Our private key
key /etc/openvpn/keys/server.key

reneg-sec 300

#cipher AES-256-CBC
cipher grasshopper-cbc

# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 9
log /var/log/openvpn/server.log
server
port 65535
 

AFilippov

New member
Сообщения
170
#12
Кажется я нашел в чем проблема. Посмотрев в /var/log/openvpn/server.log увидел следующее
У Вас клиент с сервером соединяется? Потом будете править конфиг на сервере. Во вложении /etc/openvpn/server.conf, созданный по умолчанию во время установки. Расширение txt добавил, чтобы сюда загрузить.
Сохраните свои конфиги, удалите openvpn вместе с логами, ключами и прочим. Установите по инструкции. Проверьте вывод во время соединения клиента с сервером. Убедившись, что ГОСТ-шифрование инициализируется, правьте /etc/openvpn/server.conf, как нужно.
Вот вывод grep, когда клиент и сервер находятся на одном хосте, редиректы не настроены:
Код:
smol@astra:~$ grep "grasshopper-cbc" /var/log/syslog
Aug 16 17:36:19 astra ovpn-server[11889]: 192.168.11.112:45160 Outgoing Data Channel: Cipher 'grasshopper-cbc' initialized with 256 bit key
Aug 16 17:36:19 astra ovpn-server[11889]: 192.168.11.112:45160 Incoming Data Channel: Cipher 'grasshopper-cbc' initialized with 256 bit key
 

Вложения

oko

New member
Сообщения
1 257
#13
to jack_oneill69
mode server
, а не просто server...
И еще неплохо было бы daemon вписать, чтобы работал в форк-режиме...
Естественно, что командой grep "grasshopper-cbc" /var/log/syslog вы ничего не находите в файле syslog (читай ман про то, что есть grep и зачем эта утилита используется). У вас же сам сервер не стартует и, соответственно, не подгружает ключи. А не стартует по причине кривого конфиг-файла...
В большинстве неясных случаев - см. логи. Логи самого сервиса (в вашем случае - /var/log/openvpn/server.log), основной системный лог (благо, в Astra 1.6 оставили нормальный syslog, а не только это бинарное извращение через journalctl и кастрированный messages)...
В остальных случаях - см. man на сервис или на худой конец примеры конфигов для аналогичных случаев и аналогичных дистрибутивов (потому как может отличаться от дистриба к дистрибу, ага)...
 

AFilippov

New member
Сообщения
170
#14
Уточню, на всякий случай. Если с помощью графического инструмента fly-admin-openvpn-server создаете сертификат для пользователя "user", то в /etc/openvpn/clients_keys/user/ увидите следующее:
Код:
-rw-r--r-- 1 root root 1602 авг 16 17:27 ca.crt
-rw-r--r-- 1 root root 3589 авг 16 17:27 client.conf
-rw------- 1 root root  636 авг 16 17:27 ta.key
-rw-r--r-- 1 root root 5240 авг 16 17:27 user.crt
-rw------- 1 root root 1708 авг 16 17:27 user.key
Копируете их на машину клиента в /etc/openvpn/. Файл client.conf импортируете при создании нового VPN-соединения через Апплет NetworkManager.
 
Сообщения
8
#15
Можете тогда еще объяснить как создать правильно гостовые сертификаты для сервера чтобы прописать их в fly-admin-openvpn-server ?
 

AFilippov

New member
Сообщения
170
#16
Можете тогда еще объяснить как создать правильно гостовые сертификаты для сервера чтобы прописать их в fly-admin-openvpn-server ?
Сертификаты и ключи для сервера создаются во время первого запуска fly-admin-openvpn-server или astra-openvpn-server. Пересоздать сертификаты/ключи для сервера, а также создать сертификаты/ключи для клиентов, Вы можете на вкладке "Клиентские сертификаты" инструмента fly-admin-openvpn-server.
Работу алгоритма с ГОСТ-шифрованием увидите, только когда клиент соединится с сервером. У Вас же, насколько понял, или openvpn-сервер вообще не стартует, или клиент не может с ним соединится. Естественно, в логе никакого шифрования не уведите. Как писал выше, произведите переустановку openvpn-сервера, я не знаю, где Вы взяли такой server.conf.