[Вопрос] Перенос ключей из LXC контейнера #56

TheSainEyereg · 2024-08-31T22:13:11Z

TheSainEyereg
Aug 31, 2024

Мне нужно, чтобы старые конфиги, которые я раздал людям и настроил на устройствах продолжили работать при переходе с LXC на Docker. Сервер тот же, поэтому единственное что нужно -- подкорректировать порт (что тривиально) и перенести ключи чтобы конфиги оставались валидными. Как я могу это сделать?

Answered by xtrime-ru

Sep 3, 2024

antizapret-tls-crypt.key это новый файл, он испльзуется если включена опция OPENVPN_TLS_CRYPT=1. По умолчанию он не будет использоваться.

Вот наш скрипт: https://github.com/xtrime-ru/antizapret-vpn-docker/blob/master/rootfs/root/openvpn/generate.sh#L58

Скопируйте из старого контейнера /root/easyrsa/pki в новый контейнер, потом удалите папку ./keys на хосте и перезапустите контейнер.

View full answer

xtrime-ru · 2024-09-01T12:24:28Z

xtrime-ru
Sep 1, 2024
Maintainer

Запуститите клиент, что бы сгенерировались ключи. А потом нужно подменить соответствующие файлы в папке ./keys . В LXD контейнере серверные ключи в /etc/openvpn, а клиентские ключи там в /root/easy-rsa-ipsec/pki/private/

После подмены файлов перезапустить контейнер и проверить, что в обновленных ovpn файлах ключи совпадают с нужными.

4 replies

TheSainEyereg Sep 2, 2024
Author

Не вышло. Перенес всё содержимое LXC из /root/easy-rsa-ipsec/easyrsa3/pki/private/ в ./keys/client/keys/, а содержимое /etc/openvpn/server/ в ./keys/server/ и при последующем запуске ключи в конечных ovpn файлах оказались отличными от тех, что изначально выдавал антизапрет под LXC.

При этом если глянуть на сами файлы которые "нужно подменить", то можно заметить, что, как минимум, расширения у некоторых из них разные.

К примеру: появились снова файлы antizapret-client.crt и antizapret-tls-crypt.key. Их нет в изначальном LXC контейнере и они создаются даже если их удалить. Может быть нужно ещё где-то конфиги подправить?

xtrime-ru Sep 3, 2024
Maintainer

antizapret-tls-crypt.key это новый файл, он испльзуется если включена опция OPENVPN_TLS_CRYPT=1. По умолчанию он не будет использоваться.

Вот наш скрипт: https://github.com/xtrime-ru/antizapret-vpn-docker/blob/master/rootfs/root/openvpn/generate.sh#L58

Скопируйте из старого контейнера /root/easyrsa/pki в новый контейнер, потом удалите папку ./keys на хосте и перезапустите контейнер.

Answer selected by TheSainEyereg

flameshikari Sep 3, 2024
Collaborator

И не забудь про переменную OPENVPN_CBC_CIPHERS=1, поскольку LXC-контейнер использовал старые CBC-шифры.

TheSainEyereg Sep 4, 2024
Author

Сработало. Пришлось правда в названом generate.sh закомментировать build_pki. После этого перенес файлы в контейнер, перезапустил его и ключи в файлах стали совпадать, спасибо

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

[Вопрос] Перенос ключей из LXC контейнера #56

{{title}}

Replies: 1 comment 4 replies

{{title}}

{{editor}}'s edit

{{editor}}'s edit

{{title}}

{{title}}

{{title}}

{{title}}

Select a reply

[Вопрос] Перенос ключей из LXC контейнера #56

TheSainEyereg Aug 31, 2024

Replies: 1 comment · 4 replies

xtrime-ru Sep 1, 2024 Maintainer

TheSainEyereg Sep 2, 2024 Author

xtrime-ru Sep 3, 2024 Maintainer

flameshikari Sep 3, 2024 Collaborator

TheSainEyereg Sep 4, 2024 Author

TheSainEyereg
Aug 31, 2024

Replies: 1 comment 4 replies

xtrime-ru
Sep 1, 2024
Maintainer

TheSainEyereg Sep 2, 2024
Author

xtrime-ru Sep 3, 2024
Maintainer

flameshikari Sep 3, 2024
Collaborator

TheSainEyereg Sep 4, 2024
Author