Openvpn ja nyt myös Wireguard -ongelmia

[Kuka_kusi_muroihini]

Moikka,

Mahtaako täällä olla ihmisillä kokemusta OpenVPN:n käytöstä? Anrdoid-puhelimissa lakkasi uusimman päivityksen myötä toimimasta L2TP vpn-yhteydet ja nyt puhelimella ei pääse tunneloitumaan Unifilla rakennettuun kotiverkkoon. Ihan ymmärrettävä tietoturvaan liittyvä muutos ja Unifin paskat eivät tue kuin tuota yhtä tunnelityyppiä.
Mitään muuta järjellistä tapaa ei ole kuin asentaa Windows-serverille OpenVPN. Seurasin näitä ohjeita:

How to Install and Configure OpenVPN Server on Windows | Windows OS Hub

OpenVPN is an open-source software suite that is one of the most popular and easiest solutions for implementing a secure VPN. OpenVPN allows you to combine a server and clients…

woshub.com

..ja kuvio kosahtaa alkupäässä jo salasanan luontikohdassa:

Onko jollain kättä pidempää miten tuon pystyy selättämään. Ei suostu siis mitään salasanaa hyväksymään ja ilmoittaa tuollaisen ympäripyöreän paskalauseen ongelmaksi. Mitä asiaa googlettelin, niin mitään apuja en löytänyt joka toimisi.

 

[Desgorr]

Mitä komentoa yrität antaa? Komentorivi kannattaa myös avata Adminin oikeuksin.

Mutta jos haluaa, että VPN on kokonaan omassa hallinnassa. Eli esim. ZeroTier, Tailscale tai Cloudflaren Zerotrust ei ole vaihtoehto niin itse heittäisin OpenVPN Access Serverin pyörimään virtuaaliin: Access Server | OpenVPN
Tuohon saa ilmaiseksi kaksi samanaikaista yhteyttä. Jos tarvitsee lisää, niin sitten alkaa hintaa tullakin ihan mukavasti. Hallinta on myös erittäin helppoa webbikilkkeen kautta.

 

[Kuka_kusi_muroihini]

Mitä komentoa yrität antaa? Komentorivi kannattaa myös avata Adminin oikeuksin.

Mutta jos haluaa, että VPN on kokonaan omassa hallinnassa. Eli esim. ZeroTier, Tailscale tai Cloudflaren Zerotrust ei ole vaihtoehto niin itse heittäisin OpenVPN Access Serverin pyörimään virtuaaliin: Access Server | OpenVPN
Tuohon saa ilmaiseksi kaksi samanaikaista yhteyttä. Jos tarvitsee lisää, niin sitten alkaa hintaa tullakin ihan mukavasti. Hallinta on myös erittäin helppoa webbikilkkeen kautta.

Moikka, asennuksen jälkeen kävin ohjeiden mukaisesti muokkaamassa vars-tiedostoon tarvittavat muutokset. Sitten avasin cmd:n admin-oikilla ja komensin:
EasyRSA-Start.bat

Sitten:
./easyrsa init-pki

Sitten:
./easyrsa build-ca

ja tässä kohtaa kysytään salasanaa joka pitää antaa kaksi kertaa. Ja tähän kuvio pysähtyy kun passua ei hyväksytä ja tuo error tulee.

Access Server olisi ihan kiva, mutta minulla on Windows vain käytettävissä, eli tuota Access Serveria ei voi asentaa WInukalle. Tarkoitatko siksi tuolla "virtuaaliin", että pyörittäisin Windowsissa linux-virtuaalia ja access server siellä? Ei meinaan ole kokemuksia virtuaalipuolelta enkä tiedä mitä se asennuksen vaatii.

 

[Desgorr]

Onko tuo vars tiedosto varmasti conffattu oikein? Eli ei näytä mitään typoja tai puuttuvia " merkkejä.

Jep, eli oma virtuaalikone Linuxille, jonka alla pyörii tuo AS. Hyper-V:lle (Löytyy Windows Serveristä asennettavana roolina) löytyy ihan valmis appliance, eli ei tarvitse alkaa itse asentelemaan mitään vaan virtuaalikone on tehty valmiiksi. Sen kun ottaa tuon käyttöön.
Tuo pyörii Ubuntun päällä. Toki tuota Ubuntua pitäisi välillä päivitellä, jonka voi kyllä automatisoidakin.

Ehkä kuitenkin lukaisisin hieman ensin tietoa Hyper-V:stä ennen kun tuon nappaat käyttöön. Tuo sitten tekee muutoksia myös verkkoadaptereihin, joten älä pelästy.

 

[Hyrava]

Moikka, asennuksen jälkeen kävin ohjeiden mukaisesti muokkaamassa vars-tiedostoon tarvittavat muutokset. Sitten avasin cmd:n admin-oikilla ja komensin:
EasyRSA-Start.bat

Sitten:
./easyrsa init-pki

Sitten:
./easyrsa build-ca

ja tässä kohtaa kysytään salasanaa joka pitää antaa kaksi kertaa. Ja tähän kuvio pysähtyy kun passua ei hyväksytä ja tuo error tulee.

Access Server olisi ihan kiva, mutta minulla on Windows vain käytettävissä, eli tuota Access Serveria ei voi asentaa WInukalle. Tarkoitatko siksi tuolla "virtuaaliin", että pyörittäisin Windowsissa linux-virtuaalia ja access server siellä? Ei meinaan ole kokemuksia virtuaalipuolelta enkä tiedä mitä se asennuksen vaatii.

Oletko kokeillut laittaa erilaista passphrasea tuohon? Jos siinä antamassasi on joku merkki josta tuo easyrsa ei tykkää, kuten välilyönti, lainausmerkki, heittomerkki, suurempi/pienenpi kuin, kauttaviiva, kenoviiva tms. (mainitut merkit ihan veikkauksia, noiden kanssa on joskus tullut ylläreitä vastaan) Joskus win-puolella on tullut tapeltua joidenkin vastaavian skriptien kanssa erikoismerkeistä kun missään ei ole sanottu että joku merkki ei kelpaa ja sitten homma kusee.

 

[mikajh]

"Extra arguments given" on se mihin tökkää. Ilmeisesti skripti ajaa genrsa:ta argumenteilla, joista se ei pidä. Ehkä skripti on tehty eri versiolle tai jotain muuta. Modaamalla skriptiä niin, että se näyttää ajettavat komennot ja niiden tulokset selviää enemmän

 

[Hyrava]

"Extra arguments given" on se mihin tökkää. Ilmeisesti skripti ajaa genrsa:ta argumenteilla, joista se ei pidä. Ehkä skripti on tehty eri versiolle tai jotain muuta. Modaamalla skriptiä niin, että se näyttää ajettavat komennot ja niiden tulokset selviää enemmän

Tuosta syystä itse vaikkasin että tuossa skriptissä on mahdollisesti ryssitty jotain, eli esimerkiksi annetaan seuraavalle komennolle salasana niin että se aihauttaa tuon Extra arguments. Tyyliin jos salasanassa olisi välilyönti niin seuraava komento suoritettaisiin "seuraavakomento sala sana sala sana" eli saisi 4 parametriä oletetun 2 sijaan.

 

[Kuka_kusi_muroihini]

Oletko kokeillut laittaa erilaista passphrasea tuohon? Jos siinä antamassasi on joku merkki josta tuo easyrsa ei tykkää, kuten välilyönti, lainausmerkki, heittomerkki, suurempi/pienenpi kuin, kauttaviiva, kenoviiva tms. (mainitut merkit ihan veikkauksia, noiden kanssa on joskus tullut ylläreitä vastaan) Joskus win-puolella on tullut tapeltua joidenkin vastaavian skriptien kanssa erikoismerkeistä kun missään ei ole sanottu että joku merkki ei kelpaa ja sitten homma kusee.

Moi, juu tästä se ei ole kiinni. Eli kokeilin kaikkea mahdollista maan ja taivaan väliltä ja ei ole merkeistä riippuvainen tämä ongelma.

 

[Hyrava]

Näyttäisi ainakin jossain vaiheessa ollut ongelmana välilyönnit easyrsa:n polussa:

This issue might be caused by spaces in the path easy-rsa is installed in. It derives temporary directory path from it's own by default and passes it to openssl unquoted. A workaround for this is to set the EASYRSA_TEMP_DIR in the vars file to a path without spaces (please make sure the path is secured and cannot be accessed by other users as this path is used to temporarily store secrets.

 

[Kuka_kusi_muroihini]

Näyttäisi ainakin jossain vaiheessa ollut ongelmana välilyönnit easyrsa:n polussa:

Sepä se oli. Asennus c:n juureen omaan folderiin päästi eteenpäin. Nyt yritän konfata loppuun. Katsotaan.

 

[Kuka_kusi_muroihini]

Joo sain keyt tehtyä, mutta nyt en ymmärrä miten saan openvpn profiilin android-puhelimelle.

How do I create an OpenVPN profile for Android? - OpenVPN Support Forum

Jään tuijottamaan ohjeesta tällaista kohtaa:

Substitute the name or IP Address of your OpenVPN server in the line that says:
remote my-server-1 1194

Find these lines:

ca ca.key
cert client.crt
key client.key

And substitute {computername}.key and {computername}.crt. Name your edited config file {computername}.ovpn


Eli my-server kohtaan tulee ip-osoite okei. MUtta mitä ihmettä tuossa "Find these lines" kohdan alla tapahtuu. TUollaisen osio löytyy profiilifilusta. Pitääkö minun vaihtaa jokaiseen näistä kolmesta rivistä mikä nimi ca:n ja client:n tilalle?

 

[Hyrava]

Joo sain keyt tehtyä, mutta nyt en ymmärrä miten saan openvpn profiilin android-puhelimelle.

How do I create an OpenVPN profile for Android? - OpenVPN Support Forum

Jään tuijottamaan ohjeesta tällaista kohtaa:

Substitute the name or IP Address of your OpenVPN server in the line that says:
remote my-server-1 1194

Find these lines:

ca ca.key
cert client.crt
key client.key

And substitute {computername}.key and {computername}.crt. Name your edited config file {computername}.ovpn


Eli my-server kohtaan tulee ip-osoite okei. MUtta mitä ihmettä tuossa "Find these lines" kohdan alla tapahtuu. TUollaisen osio löytyy profiilifilusta. Pitääkö minun vaihtaa jokaiseen näistä kolmesta rivistä mikä nimi ca:n ja client:n tilalle?

Nuo kolme riviä kertovat clientille minkä nimisiä tiedostoja se etsii CA:ksi ja sertifikaatiksi. Nuo tiedostot siis pitää myös siirtää clientille eli Android-laitteeseen. Toinen tapa on copypasteta nuo suoraan tuohon .ovpn -fileeseen niin selviää yhdellä tiedostolla clientin päässä, siis tyyliin: (vähän karsittu esimerkki toimivasta ovpn-fileestä)

client
dev tun
proto udp
remote vpnserverinosoite.fi 1194
resolv-retry infinite

<ca>
-----BEGIN CERTIFICATE-----
ca-tiedoston sisältö tähän
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
crt-tiedoston sisältö tähän
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
key-tiedoston sisältö tähän
-----END RSA PRIVATE KEY-----
</key>

 

[Kuka_kusi_muroihini]

Nuo kolme riviä kertovat clientille minkä nimisiä tiedostoja se etsii CA:ksi ja sertifikaatiksi. Nuo tiedostot siis pitää myös siirtää clientille eli Android-laitteeseen.

Mutta mitä tuo ohjeen "computername" tarkoittaa. Jos selaan openvpn:n easy-rsa kansiota läpi niin sisältä löytyy:

ca.crt löytyy juuresta. Tämän lisäksi ohjeessa on vielä maininta:
cert client.crt
key client.key

Joten pitääkö näiden nimiä muuttaa, jotakin.crt ja jotakin.key? Tällaiset filut löytyy kansioista "Private" ja "Issued".
Tämän jälkeen siirrän puhelimeen 4 filua, ca.crt, jotakin.crt, jotakin.key ja jotakin.ovpn.
Todennäköisesti teen jotakin väärin enkä ymmärrä ohjetta, sillä android openvpn client sanoo: "Failed to import". Failed to parse profile: ca.crt, jotakin.crt, jotakin.key, ta.key

 

[Hyrava]

Tuo computername on se nimi minkä olet antanut sille sertifikaatille luomisvaiheessa. Riippuen vähän vpn-serverin konffauksesta noita ei yleensä ole hyvä jälkeenpäin nimetä uudelleen, eli jos tuolta Private ja Issued -kansioista löytyy client.crt ja client.key niin anna niiden olla sen nimisiä ja samoin se ovpn-file olisi hyvä olla samaan tyyliin eli client.ovpn. lisäksi tosiaan tarvitsee tuon ta.key -tiedoston ja ca.crt -tiedoston sinne android-laitteelle.

 

[Kuka_kusi_muroihini]

Ei tämä kantanut. Profiilin sain vietyä mutta yhteys ei toiminut ja meni niin monimutkaiseksi, että luovutin.

 

[Kuka_kusi_muroihini]

Ei täällä kellään mahda olla kokemusta Wireguardista. Aivan käsittämätöntä, että mä en saa yhtäkään vpn-ratkaisua toimimaan vaikka kuinka yritän. Wireguardilla pääsen sentään vähän pidemmälle, mutta nyt on vaikeuksia ymmärtää ip-verkko määrittelyjä.

Mahtaako tekijöitä löytyä jolta uskaltais kysellä asiasta?