Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 3438 views
  • Users 0 members are here
Options
Suggested

Import existing OpenVpn config

Fabry
SSL Vpn on Asl 7.0 are based on OpenVpn.

There is a mini-HowTo which explain how to import existing OVpn certificate and profile on ASG 7 ?

I have tried myself but with no success.
  • 0
    Hi Fabry, 

    the importing if the Certificates is supported in Remote Access > Certificates.

    But currently it is not working to assign a user a self-uploaded certificate. This will come in the future.

    Importing the OpenVPN profile/config is not support and unfortunatly, never will. But recreating the config with the WebGUI should be an easy task.

    regards
    Gert
  • 0 in reply to Gert Hansen
    I have imported certificates using PEM files (generated by OVPN) but then WebGui tell me that they are without key.

    Why ?

    And i can't use it for SSL, but i suppose this is fixed in the future.

    I am not interested in importing OVpn profiles, i can recreate them.
    But i have used some OpenVpn features and i would appreciate if i could reuse them in ASL.
    i.e Push route to client, different routes for each client (based on client authentication)
  • 0 in reply to Fabry
    Hi Fabry, 

    using the PEM import, you can only import certificates.
    If you want to import Certificate and Key, you have to use a PKCS#12 container file.

    Than the key will also attached to the certificate.

    But even if this had worked, you will still not be able to add the cert/key pair to a user object, which than later must be added to a Remote Access >> SSL configuration.

    We plan to fix this in the near future.

    Regarding the advanced open vpn features, i am very to get a better understand what exactly did you use it for, so we might be able to integrate that in future versions.

    Thx Gert
  • 0 in reply to Gert Hansen
    Hi Fabry, 

    Regarding the advanced open vpn features, i am very to get a better understand what exactly did you use it for, so we might be able to integrate that in future versions.

    Thx Gert


    Hi,
    Ovpn have many nice features, but obviously we don't use all of them.

    Some options that we are using (or we have plan to use in the future), are:

    - push option
    Push a config file option back to the client for remote execution.
    We use it to set some options at client side.
    In particular to add new routing rules that must be present when tunnel is up or to redirect default gateway value.

    I.e. suppose that OVpn Server have 3 Lan Subnet and we want that client can see some of these LANs or a particular machine in these lans
    We put on config (server side) this:
     
    push "route 10.50.50.0 255.255.255.0" #route for Lan 1
    push "route 10.50.60.0 255.255.255.0" #route for Lan 2
    push "route 10.50.70.145 255.255.255.255" #route for Server A on Lan 3

    When OVpn Tunnel is up, at client side we will have 4 new routing rule.
    One rule for Ovpn subnet (i.e 10.50.10.15 mask 255.255.255.0 gw 10.50.10.1) and 3 rules for pushed routing rule (10.50.50.0 mask 255.255.255.0 gw 10.50.10.1, 10.50.60.0 mask 255.255.255.0 gw 10.50.10.1 and 10.50.70.145 mask 255.255.255.255 gw 10.50.10.1)

    - client-to-client option
    When this option is used, each client will "see" the other clients which are currently connected. Otherwise, each client will only see the server

    - max-clients option
    To limit number of concurrent client connected

    - client-config-dir & ccd-exclusive options
    This permits to create many specialized config files, one for each certificate.
    When a client connects, server seek in the path specified by client-config-dir option, a script file with the same name used for CommonName in Certificate.
    And if it find that file, it executes specific options contained on file.
    If it not find that file, it refuses connection if ccd-exclusive option is active.
    We also use it to specify some custom option in some cases but mainly we use it to assign fixed IP for each client.
    Each client has a different certificate, so using Certicate CommonName we can create specific profile files.
    In these files we put a "ifconfig-push" option to assign fixed ip address

    - keepalive, ping-exit and ping-restart option

    - shaper 
    To limit bandwidth of tunnel

    ...

    The above list is not exaustive, but it cover greater part of the options that we use
  • 0 in reply to Fabry
    Hi,
    Ovpn have many nice features, but obviously we don't use all of them.

    Some options that we are using (or we have plan to use in the future), are:

    - push option
    Push a config file option back to the client for remote execution.
    We use it to set some options at client side.
    In particular to add new routing rules that must be present when tunnel is up or to redirect default gateway value.

    I.e. suppose that OVpn Server have 3 Lan Subnet and we want that client can see some of these LANs or a particular machine in these lans
    We put on config (server side) this:
     
    push "route 10.50.50.0 255.255.255.0" #route for Lan 1
    push "route 10.50.60.0 255.255.255.0" #route for Lan 2
    push "route 10.50.70.145 255.255.255.255" #route for Server A on Lan 3

    When OVpn Tunnel is up, at client side we will have 4 new routing rule.
    One rule for Ovpn subnet (i.e 10.50.10.15 mask 255.255.255.0 gw 10.50.10.1) and 3 rules for pushed routing rule (10.50.50.0 mask 255.255.255.0 gw 10.50.10.1, 10.50.60.0 mask 255.255.255.0 gw 10.50.10.1 and 10.50.70.145 mask 255.255.255.255 gw 10.50.10.1)

    - client-to-client option
    When this option is used, each client will "see" the other clients which are currently connected. Otherwise, each client will only see the server

    - max-clients option
    To limit number of concurrent client connected

    - client-config-dir & ccd-exclusive options
    This permits to create many specialized config files, one for each certificate.
    When a client connects, server seek in the path specified by client-config-dir option, a script file with the same name used for CommonName in Certificate.
    And if it find that file, it executes specific options contained on file.
    If it not find that file, it refuses connection if ccd-exclusive option is active.
    We also use it to specify some custom option in some cases but mainly we use it to assign fixed IP for each client.
    Each client has a different certificate, so using Certicate CommonName we can create specific profile files.
    In these files we put a "ifconfig-push" option to assign fixed ip address

    - keepalive, ping-exit and ping-restart option

    - shaper 
    To limit bandwidth of tunnel

    ...

    The above list is not exaustive, but it cover greater part of the options that we use

    Hi Gert,

    Having worked with OpenVPN to make it the VPN package for our remote connectivity issues, I'm so happy to see you've included it and the VPN user portal in ASG V7. Thank you, thank you, thank you !!!

    Without restating the obvious, the OpenVPN that's pushed out from ASG V7 is basic and relatively generic. It will give your users secure connectivity based on a few simple settings. Fabry (and others - me included) that are using OpenVPN now, want to incorporate specific functionality customized to their circumstances. The problem is how do you incorporate those settings *elegantly*, without breaking the basic OpenVPN server/client setup ?

    With so may different server and client options, your only choice may be to manually insert them into the .ovpn files that ASG V7 creates. Perhaps a built-in parser that reads the .ovpn files and only adds client and server directives that aren't already existing in the ASG V7 generated ones ?

    Regards,


    Mike
Cookie Information Banner