L2TP諦めたけど、なんだか、もうちょっと頑張るべきだったか。
ソフトによってはbasic constraints に引っかかって無視される。
strongswan もbasic constraints に従わない証明書は受け付けないみたい。
サーバ側のログの見方が少しわかってきたので、もう少し頑張るネタあったかもと思ったり。
ipsec.conf の
config setup セクションに
charondebug="ike 2, knl 2, cfg 2, net 2"
を書き込んだ後で、ipsec restart をする。
↑に書いてある。他にも出力を制限したり増やしたりできるオプションはある。
出力に設定したログは
openwrt では cat や tail -f で見る感じではない。
ふつう/var/log/messageとかかと思ってたけどそんなファイルない。
ふつう/var/log/messageとかかと思ってたけどそんなファイルない。
logread というコマンドを打てば読める仕組み。
ストレージが小さいからそうしたのかも。
ストレージが小さいからそうしたのかも。
さて、サーバー認証をやっているが、なかなかこれもうまくいかない。
仕組みが難しい。
openssl を勉強する。
ただ、CA 認証ファイルはふつうの認証ファイルとして作成してはいけないようなので完全に正確ではないようだ。
ソフトによってはbasic constraints に引っかかって無視される。
strongswan もbasic constraints に従わない証明書は受け付けないみたい。
なので
strongswan でも通るCA証明書を作るには別の方法が要りそうだ。
http://int128.hatenablog.com/entry/20090117/1232124815
これかなあ。
ざっと見た感じ、CA.sh で作って見てそれでもおかしくなるのであれば、別の方法考える。
ちなみに cygwin 32bit の openssl の場合、CA.sh がどこだか分らなかったので、
find . | grep CA.sh
してみたところ
/usr/ssl/misc以下みたいで
openssl 関係のファイルは
/usr/ssl以下を探ればいいということらしい。
あと、32bitのPCで使ってる方のVirtualBoxがどうしてもVMにUSBデバイスを割り当てできない。
64bit の Intel CPUのほうは全く問題なくデバイスの割り当てができるが、
AMD のC60のほうではまるでダメ。
たぶんVirtualboxが動く最低スペックなので文句が言える立場でもない気がする。
で、Cygwinで出力した認証ファイルをopenwrtに持ち込むのに難儀した。
wget でやり取りするとか
もっとトリッキーにiso ファイルでやり取りするとか。
iso でやり取りする場合は
cygwinにmkisofs をインストールして
mkisofs -r -o cert.iso ./path_to_cer_folder
したのち cert.iso ファイルを GuestAdditions.iso みたいな感覚でマウントしてあげればよい。
-r オプションが無いとファイル名が短くなって使いづらい。
openwrt には fstab が無いのでマウント時は全部オプション指定しないと文句言われる。
mount /dev/sr0 /mnt -t iso9660
で
cd /mnt
このあたりのコマンドは最近のLinuxは打つ必要がないので久しぶりな感じ。
raspberrypi に nfs とか入れてみたいけどなー。
認証局の管理ツール。
http://www.openvpn.jp/vpnux-pki/
これ良さそうだ。
strongswan でも通るCA証明書を作るには別の方法が要りそうだ。
http://int128.hatenablog.com/entry/20090117/1232124815
これかなあ。
ざっと見た感じ、CA.sh で作って見てそれでもおかしくなるのであれば、別の方法考える。
ちなみに cygwin 32bit の openssl の場合、CA.sh がどこだか分らなかったので、
find . | grep CA.sh
してみたところ
/usr/ssl/misc以下みたいで
openssl 関係のファイルは
/usr/ssl以下を探ればいいということらしい。
あと、32bitのPCで使ってる方のVirtualBoxがどうしてもVMにUSBデバイスを割り当てできない。
64bit の Intel CPUのほうは全く問題なくデバイスの割り当てができるが、
AMD のC60のほうではまるでダメ。
たぶんVirtualboxが動く最低スペックなので文句が言える立場でもない気がする。
で、Cygwinで出力した認証ファイルをopenwrtに持ち込むのに難儀した。
wget でやり取りするとか
もっとトリッキーにiso ファイルでやり取りするとか。
iso でやり取りする場合は
cygwinにmkisofs をインストールして
mkisofs -r -o cert.iso ./path_to_cer_folder
したのち cert.iso ファイルを GuestAdditions.iso みたいな感覚でマウントしてあげればよい。
-r オプションが無いとファイル名が短くなって使いづらい。
openwrt には fstab が無いのでマウント時は全部オプション指定しないと文句言われる。
mount /dev/sr0 /mnt -t iso9660
で
cd /mnt
このあたりのコマンドは最近のLinuxは打つ必要がないので久しぶりな感じ。
raspberrypi に nfs とか入れてみたいけどなー。
認証局の管理ツール。
http://www.openvpn.jp/vpnux-pki/
これ良さそうだ。
0 件のコメント:
コメントを投稿