Convertir CA CRT KEY en PKCS12

[Titofe]

Bonjour,


J'ai créer un VPN avec OpenVPN entre un PfSense et un IPCop.

La config:
PfSense V1.2.2 avec comme authentification PKI pour OpenVPN
IPCop V1.4.21 avec Zerina V0.9.7a14
Ubuntu 9.04 pour générer les certificats


PfSense est le Serveur du VPN et IPCop le Client,
Le VPN fonctionne très bien d'un côté comme de l'autre (Ping, Application , etc.)
Sauf que logiquement Zerina doit marquer le Client comme "Ouvert" mais il ne le fait pas, il reste marqué comme "Fermer" !


Pour exporté les certificats CA, CRT et KEY en PKCS12 pour IPCop j'ai effectué cette commande sur un poste sous Ubuntu:

Code: Tout sélectionner

openssl pkcs12 -export -descert -inkey pfsense.key -in pfsense.crt -certfile ca.crt -out ipcop.p12


pfsense.key, pfsense.crt, ca.crt sont les certificats de Pfsense et ipcop.p12 le certificat PKS12 d'IPCop.


Log OpenVPN IPCop:

Code: Tout sélectionner

19:58:50 OVPN_IPCopPfSense Initialization Sequence Completed
19:58:49 OVPN_IPCopPfSense [pfsense-xxxx] Peer Connection Initiated with 192.168.92.251:1197
19:58:49 OVPN_IPCopPfSense Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
19:58:49 OVPN_IPCopPfSense Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
19:58:49 OVPN_IPCopPfSense Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
19:58:49 OVPN_IPCopPfSense Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
19:58:49 OVPN_IPCopPfSense Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
19:58:49 OVPN_IPCopPfSense VERIFY OK: depth=0, /C=FR/ST=xxxx/L=xxxx/O=xxxx/CN=pfsense-xxxx/ emailAddress=xxxx@xxxx.fr
19:58:49 OVPN_IPCopPfSense VERIFY OK: depth=1, /C=FR/ST=xxxx/L=xxxx/O=xxxx/CN=xxxx_CA/emailAdd ress=xxxx@xxxx.fr
19:58:49 OVPN_IPCopPfSense TLS: Initial packet from 192.168.92.251:1197, sid=cc328bf3 74f3b8b4
19:58:49 OVPN_IPCopPfSense UDPv4 link remote: 192.168.92.251:1197
19:58:49 OVPN_IPCopPfSense UDPv4 link local (bound): [undef]:1197
19:58:49 OVPN_IPCopPfSense Expected Remote Options hash (VER=V4): 'd4dd54ce'
19:58:49 OVPN_IPCopPfSense Local Options hash (VER=V4): 'ede8b617'
19:58:49 OVPN_IPCopPfSense Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
19:58:49 OVPN_IPCopPfSense /sbin/route add -net 192.168.211.0 netmask 255.255.255.0 gw 192.168.99.1
19:58:49 OVPN_IPCopPfSense /sbin/ifconfig tun3 192.168.99.2 pointopoint 192.168.99.1 mtu 1500
19:58:49 OVPN_IPCopPfSense TUN/TAP device tun3 opened
19:58:49 OVPN_IPCopPfSense Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
19:58:49 OVPN_IPCopPfSense LZO compression initialized
19:58:49 OVPN_IPCopPfSense WARNING: No server certificate verification method has been enabled. See http:/ /openvpn.net/howto.html#mitm for more info.
19:58:49 OVPN_IPCopPfSense OpenVPN 2.0.7 i386-pc-linux [SSL] [LZO] built on Apr 15 2006

En postant les logs je viens de me rendre compte de ça:
WARNING: No server certificate verification method has been enabled.
Et en cherchant sur le Net, j'ai lu que c'était un simple avertissement, que celui ci m'indiquer que je n'ai pas d'autorité de certification pour mes certificats.
Vous confirmer ?


Question:
Ma commande est elle correcte pour exporté les certificats en PKCS12 ? (Je pense que oui ...)
Faut il que je m'inquiète de ce que Zerina donne comme information sur la postion du VPN (Fermer au lieu d'Ouvert) ?


Titofe

[jdh]

Mon post ne donne aucune réponse pour Zerina/Ipcop : je ne connais que les docs sur ipcop.


2 remarques :

- la ligne "openssl ..." me semble correcte : enfin elle ressemble à des instructions de conversion.

- quel outil de "gestion" de l'ensemble des certificats utilises tu ? la ligne de commande avec les scripts easy-rsa d'OpenVPN, gnoMint X509 CA Manager, ou autre ?

J'ai choisi, pour mon entreprise, de passer à phPKI, (après avoir aussi essayé XCA pour Windows sur le conseil de ccnet). Je note qu'il a fallu se plonger dans les scripts pour virer les mots de passe car cela complique le client (pb d'administrateur local pour activer l'interface Tap).

NB: Evidemment je capitalise sur pfSense en tant que firewall parce qu'OpenVPN est parfaitement intégré, hors la gestion.


Si le système fonctionne avec une info incorrecte, est-ce un vrai problème ? (cf le proverbe shadock ...)

[Titofe]

- quel outil de "gestion" de l'ensemble des certificats utilises tu ?

La ligne de commande avec les scripts easy-rsa d'OpenVPN.

J'ai choisi, pour mon entreprise, de passer à phPKI

Moi j'ai essayer TinyCA, mais j'ai rencontrer quelque souci, donc j'y reviendrais plus tard ou pourquoi pas essayer PHPki.

NB: Evidemment je capitalise sur pfSense en tant que firewall parce qu'OpenVPN est parfaitement intégré, hors la gestion.

Quand tu parle de gestion d'OpenVPN, tu veux parler de quoi?

Sinon comme tu à pu le voir sur le Forum de PfSense je vais migrer tout les Firewall qui sont sous IPCop vers PfSense, pour la raison qu'IPCop ne gère pas le Multi-WAN est depuis mes test, je me suis aperçu que PfSense allez m'apporter plus que le Multi-WAN.

Si le système fonctionne avec une info incorrecte, est-ce un vrai problème ? (cf le proverbe shadock ...)

Je dirais bien que Non, surtout de la façon dont tu me le dit .
PfSense pour moi c'est un nouveau produit qui ne parle pas ma langue et avoir l'avis de quelqu'un comme toi m'aide énormément.


En résumer:
je ne vais donc pas prêter attention à "cet erreur" et continuer mes test pour ma migration qui approche à grand pas.


Merci.

Cdt,
Titofe

[jdh]

je capitalise sur pfSense en tant que firewall parce qu'OpenVPN est parfaitement intégré, hors la gestion ... de l'ensemble des certificats. (entre autres éléments)

C'était le but de ma question : trouver un système simple, utilisable aussi par un (jeune) technicien micro (voire un non-informaticien). En fait je cherche/cherchais une interface web car c'est plus intuitif que putty + la ligne de commande + "./vars" + "./build-key". MAIS j'ai modifié les scripts pour éviter

La place d'une gestion de certificats n'est pas d'être sur un firewall. Notamment parce l'intérêt est de pouvoir créer des certificats pour chaque serveur qui en a besoin : déjà, j'ai 2 firewall ! (reste à automatiser la publication de la CRL)

Sur pfSense, comme tu peux le remarquer OpenVPN est (très) bien intégré : roadwarrior et net2net, le filtrage dans le flux (comme dans Ipsec) est en cours d'arrivée ...


NB : Multiwan oui, mais moi je vois aussi Carp qui permet aisément de créer un firewall redondant. Mais c'est d'abord et avant tout la bonne interface pour définir les rules de filtrage avec les alias : BOT non intégré à Ipcop est loin ! (enfin pour ce que j'en connais)

NB: Le proverbe Shadock est : "S'il n'y a pas de solution, c'est qu'il n'y a pas de problème."

[Titofe]

La seul chose qui me manque avec OpenVPN sur PfSense, c'est une vue sur les connexions au tunnel, un peux comme Zerinna pour les Nomades, Ouverts ou Fermer (Quand ça marche ) et le détailles avec les IP attribué, mais peut être que PfSense à ça est que je l'ai pas encore vue, sinon voir avec quelque chose externe à PfSense ..., mais comme j'ai pas vraiment eu le temps de me pencher la dessus, peut être que j'ai loupé quelque chose.

Sinon vivement la version avec le filtrage d'OpenVPN, je l'avais sur Zerina avec BOT.


Sinon pour TinyCA, il parle ma langue, il est agréable pour le peux que je l'ai utiliser.
Pour le problème rencontrer je ne saurais dire si c'est de moi ou du logiciel, je me suis pas pencher dessus, j'en ai pas eu le temps.


Ce qui ma plus chez IPCop, interface en français, simple d'utilisation, avais le nombres d'interface réseau que je rechercher, les addons (Zerina, Bot) et un Forum sur IXUS réactif.

Cela fessait un moment que j'avais des vue sur PfSense, mais pas réellement le besoin et son interface en anglais ...
Mais aujourd'hui mon réseau évolue et IPCop ne répond plus au besoin mais PfSense oui.
J'ai besoin de deux interface WAN, de quatre interface interne (LAN, DMZ interne/externe et Hot spot), d'un firewalll de secoure qui se mais en place sans mon intervention, est PfSense c'est faire tous ça.


Sinon pour le proverbe Shadock je ne connaissez pas, donc j'avais fait un tour ici pour m'instruire.