OVPN установка/настройка/запуск на Wiren Board 7

DaniilK · September 19, 2023, 10:41am

Оборудование - Wiren Board 7.3.4 (s/n AKNCQYNR), release wb-2207 (as stable)

Столкнулся с невозможностью установить пакеты командой
apt-get install openvpn easy-rsa
ответ от ПЛК

root@wirenboard-AKNCQYNR:~# apt-get install openvpn easy-rsa
Reading package lists… Done
Building dependency tree
Reading state information… Done
The following additional packages will be installed:
libccid liblzo2-2 libpkcs11-helper1 opensc opensc-pkcs11 pcscd
Suggested packages:
pcmciautils resolvconf
The following NEW packages will be installed:
easy-rsa libccid liblzo2-2 libpkcs11-helper1 opensc opensc-pkcs11 openvpn pcscd
0 upgraded, 8 newly installed, 0 to remove and 10 not upgraded.
Need to get 1897 kB of archives.
After this operation, 4277 kB of additional disk space will be used.
Do you want to continue? [Y/n] y
Err:1 http://security.debian.org stretch/updates/main armhf openvpn armhf 2.4.0-6+deb9u4
404 Not Found [IP: 151.101.246.132 80]
Err:2 Index of /debian stretch/main armhf liblzo2-2 armhf 2.08-1.2+b2
404 Not Found [IP: 151.101.246.132 80]
Err:3 http://security.debian.org stretch/updates/main armhf opensc-pkcs11 armhf 0.16.0-3+deb9u2
404 Not Found [IP: 151.101.246.132 80]
Err:4 http://security.debian.org stretch/updates/main armhf opensc armhf 0.16.0-3+deb9u2
404 Not Found [IP: 151.101.246.132 80]
Err:5 Index of /debian stretch/main armhf libpkcs11-helper1 armhf 1.21-1
404 Not Found [IP: 151.101.246.132 80]
Err:6 Index of /debian stretch/main armhf libccid armhf 1.4.26-1
404 Not Found [IP: 151.101.246.132 80]
Err:7 Index of /debian stretch/main armhf pcscd armhf 1.8.20-1
404 Not Found [IP: 151.101.246.132 80]
Err:8 Index of /debian stretch/main armhf easy-rsa all 2.2.2-2
404 Not Found [IP: 151.101.246.132 80]
E: Failed to fetch http://deb.debian.org/debian/pool/main/l/lzo2/liblzo2-2_2.08-1.2+b2_armhf.deb 404 Not Found [IP: 151.101.246.132 80]
E: Failed to fetch http://deb.debian.org/debian/pool/main/p/pkcs11-helper/libpkcs11-helper1_1.21-1_armhf.deb 404 Not Found [IP: 151.101.246.132 80]
E: Failed to fetch http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.4.0-6+deb9u4_armhf.deb 404 Not Found [IP: 151.101.246.132 80]
E: Failed to fetch http://deb.debian.org/debian/pool/main/c/ccid/libccid_1.4.26-1_armhf.deb 404 Not Found [IP: 151.101.246.132 80]
E: Failed to fetch http://deb.debian.org/debian/pool/main/p/pcsc-lite/pcscd_1.8.20-1_armhf.deb 404 Not Found [IP: 151.101.246.132 80]
E: Failed to fetch http://deb.debian.org/debian/pool/main/e/easy-rsa/easy-rsa_2.2.2-2_all.deb 404 Not Found [IP: 151.101.246.132 80]
E: Failed to fetch http://security.debian.org/pool/updates/main/o/opensc/opensc-pkcs11_0.16.0-3+deb9u2_armhf.deb 404 Not Found [IP: 151.101.246.132 80]
E: Failed to fetch http://security.debian.org/pool/updates/main/o/opensc/opensc_0.16.0-3+deb9u2_armhf.deb 404 Not Found [IP: 151.101.246.132 80]
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?
root@wirenboard-AKNCQYNR:~#

файл debian-upstream.list
deb Index of /debian stretch main
deb Index of /debian stretch-updates main
deb http://security.debian.org stretch/updates main
пытался его изменить, но пока не дало результатов

адрес 151.101.246.132 пингуется, но ссылки
http://security.debian.org stretch/updates/main armhf openvpn armhf 2.4.0-6+deb9u4
…
не действительный. не понимаю как формируется список ссылок, и как настроить для корректного поиска нужных пакетов ?

DaniilK · September 19, 2023, 10:57am

Нашел ответ в ТГ WB, помогло для установки

apt install wb-configs
потом
apt update

установка получилась, теперь нужно разобраться с настройкой

BrainRoot · September 19, 2023, 11:34am

Тем не менее - зачем на контроллере easy-rsa?

DaniilK · September 19, 2023, 11:56am

смотрел на инструкцию тут про OVPN
https://wirenboard.com/wiki/Wirenboard6:InstallingOnTheRemoteSite#WireGuard

выполнил данную инструкцию, но не вижу никакого нового интерфейса, и не пингуется сервер

BrainRoot · September 19, 2023, 12:39pm

А логи? Точнее - какой новый интерфейс ожидаете увидеть, что выводит openvpn при запуске?

DaniilK · September 20, 2023, 5:32am

вижу такой статус

Ожидаю увидеть интерфейс TUN, и возможность пинговать сервер OVPN

конфиг клиента

client
dev tun
proto udp
remote "ip_my_server" 1194
remote-random
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/wb7_rzd1.crt
key /etc/openvpn/easy-rsa/keys/wb7_rzd1.key
remote-cert-tls server
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 1
cipher AES-256-GCM
verb 3

конфиг сервера

port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\server.key"  
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\dh.pem"
topology subnet
server 10.24.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
duplicate-cn
keepalive 10 120
tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ta.key" 0 
cipher AES-256-GCM
persist-key
persist-tun
status "C:\\Program Files\\OpenVPN\\log\\status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
mute 20
explicit-exit-notify 1
windows-driver wintun

DaniilK · September 20, 2023, 6:10am

ошибка была в название конфиг файлов, было .ovpn надо .conf

запуск командой
systemctl start openvpn-client@client

статус
systemctl status openvpn-client@client

Тут добавлю немножко деталей. openvpn-client — значит запустить конфиг из папки /etc/openvpn/client, а @client значит запустить конфиг с названием client (файл в папке с именем client.conf). Соответственно таким же образом мы можем все файлы накидать в папку server и запуститься командой systemctl start openvpn-server@client. В какую именно папку закидывать конфиг и как запускаться зависит только от Вас

пока актуален вопрос с автозагрузкой
update-rc.d openvpn defaults - не запускает клиента после перезагрузки

BrainRoot · September 20, 2023, 7:58am

Не очень понятно, что ожидаете от defaults для сервиса без указания инстанса.

Из моего плейбука:

########################################
#Debian AS client

apt install openvpn -y
cd /etc/openvpn/
CLIENTNAME=alexDC166-appserv3
#Переименовываем конфиг:
mv $CLIENTNAME.ovpn $CLIENTNAME.conf
systemctl enable openvpn@$CLIENTNAME

Хотите совет от админа с небольшим стажем?
Не нужно отдельные фалйы сертификатов/ключей. Они только создают путаницу. Упакуйте все в один файл, например так:

#!/bin/bash

KEYS=./client-configs/$CLI_NAME/
OUTPUT=./client-configs/$CLI_NAME/
CONFIG=./base.ovpn

cat ${CONFIG} \
    <(echo -e '<ca>') \
    ${KEYS}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEYS}/$CLI_NAME.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEYS}/$CLI_NAME.key \
    <(echo -e '</key>\n\n') \
    <(echo -e '\nkey-direction 0') \
    > ${OUTPUT}/$CLI_NAME.ovpn

Это уменьшает шанс на ошибку, позволяет надежнее автоматизировать процесс.

DaniilK · September 21, 2023, 11:13am

Спасибо за ответ) стал немного лучше понимать, на счет сертификатов и ключей в файле конфига - полностью согласен ) это удобнее