hola de nuevo, hoy me ha ocurrido con la nueva version de issabel al instalar el easyvpn que no me generaba el fichero ca y algunos ,la solucion por si les pasa es la siguiente
1.-instalar el easyvpn yum install issabel-easyvpn
2.- ir al menu seguridad openvpn y seguir los pasos y si en el paso 3 create ca y no hay forma que ponga yes. tendrás que hacerlo todo manual.
3.- accedecomo root por ssh y vete al directorio /usr/share/easy-rsa/2.0
4.- dentro de este ejecuta
si el directorio keys no existe que posiblemente si este (mkdir keys)
source ./vars
./clean-all
./build-ca
esto hara que nos genere el certificado nos ira indicando lo que ya teniamos via weby genera dentro de keys el ca.crt y ca.key
luego de eso hay que generar el certificado server se ejecuta
./build-key-server server
y cuando se termina hay que hacer un
chown -R asterisk.asterisk keys
y listo luego ya via web podemos ir al apartado open vpn y veremos que genera todo correcto
y luego
./build-dh
y Copiando las claves generadas
Debemos copiar los siguientes archivos a /etc/openvpn en el servidor
ca.crt
server.key
server.crt
dh1024.pem
Debemos copiar los siguientes archivos a /etc/openvpn en clienteX
ca.crt
clienteX.key
clienteX.crt
Generamos certificados para los clientes
Generaremos 2 certificados, notar que hay que para cada cliente hay que elegir un nombre único en Common Name, por ejemplo cliente1, cliente2, cliente3, etc...
./build-key cliente1
./build-key cliente2
Luego de hacer todo esto ya lo tenemos todo , ahora ir al la web de nuevo, y darle create client certificates
en mi caso para open vpn de windows seleccione cliente windows .ovpn y lo llaman como quieran por ejemplo servidorxx.ovpn
se descargan ese fichero y al editarlo les saldrá algo asi
client
dev tun
proto udp
remote ip o host del servidor 1194 ( o el puerto que indicaran)
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
lo que sea aquisddfsdfsdfdssfsdf
-----END CERTIFICATE-----
</ca>
<cert>
</cert>
<key>
</key>
deben abrir el fichero que se crearon en consola del cert y añadirlo y también el del key y añadirlo dentro de cada uno y con eso conectara sin problemas.
Luego de todo esto deben recordar añadir al firewall el puerto 1194 entrada all all aceptado y subirlo por encima de lo denegado, aceptar y REINICIAR el firewall muy importante.
Luego van al apartado de seguridad fail2ban y añaden la IP que pusieron del servidor de vpn por defecto creo 10.0.1.0/24 para que cualquier rango de esa ip no sea bloqueado
Luego hay que ir a IP sip dentro de la PBX y poner que se usé la IP pública y el nat
Si no, no se escuchará o añadir como local network la IP del vpn
y listo eso es todo a funcionar!
OJO A TENER EN CUENTA SI SE DESEAN CONECTAR VARIOS A LA VEZ: con esto se ha generado 1 solo certificado de cliente, recomiendo generar tantos como quieran a la vez por ejemplo cliente1, cliente 2, hasta cliente 10 o 15 o los que conecten, ya que a posterior necesitaran generar un fichero ovpn por cada cliente con su crt su key y el certificado para que el openvpn asigne una ip diferente a cada uno, si todos usan el mismo certificado, este usara la misma ip para todos y si se conectan dos o mas entrarían en conflicto.
Para generar nuevos certificados se va a
cd /usr/share/easy-rsa/2.0/
luego se indica para hacerlos nuevos
source ./vars
y se generan los certificados deseados
./build-key cliente3
./build-key cliente4
./build-key cliente5
eso genera los ficheros, luego es lo mismo que lo anterior se copia el fichero .ovpn y dentro de keys veran cada uno y se cambian los crt, csr y key en el fichero y ya con eso todo perfecto!!
NOTA PARA LOS QUE QUIERAN ARREGLAR EL PROBLEMA Y HACERLO VIA WEB , BUG SOLUCIONADO.
al final de tanto probar he visto que el problema se genera en instalaciones del netinsstal, gracias a alfio y german hemos podido ver como arreglarlo.
1.- Para los que les pase saber el motivo hasta que se actualice.
El problema es basicamente no genera certificado The system has no more ptys
Problem: The system has no more ptys. Ask your system administrator to create more.
la solucion
1.- revisar cat /proc/mounts
encontraral algo igual o muy parecido a esto
devpts /dev/pts devpts rw,relatime,mode=600,ptmxmode=000 0 0
el problema es el modo=600 hay que ponerlo en 620
como se hace ?
vi /etc/fstab
aparecera una linea
<file system> <mount point> <type> <options> <dump> <pass>
devpts /dev/pts devpts defaults 0 0
cambiar defaults por gid=5,mode=620
quedaria asi
devpts /dev/pts devpts gid=5,mode=620 0 0
luego se remonta
mount /dev/pts -o remount
si no un reboot y listo ya debe funcionar los certificados via web perfectamente !!!
espero que les sea de ayuda