LINUX.ORG.RU

Не получается настроить OpenVPN через NetworkManager (kubuntu 16.04)

 , , , ,


0

1

Решил настроить VPN в Kubuntu 16.04 средствами графики, через встроенный NetworkManager. Но что-то дофига непонятного, больше всего непоняток вызвал какой-то KWallet, который хочет что-то обезопасить, и я не могу понять что мне делать, помогите.

Перечислю по этапам все что делал, от начала до момента где застопорился.

1) Зашел на сайт с инструкцией.

https://protonvpn.com/support/linux-vpn-setup/

Установил OpenVPN.

sudo apt-get install openvpn

NetworkManager в kubuntu уже стоял, как и пакет resolvconf.

2) Скачал конфигурационный файл (.ovpn) для Linux/TCP.

3) Скачал креденшалы (username/password).

4) Далее инструкция делится на 2 части - настройка OpenVPN через консоль, и через гномовский NetworkManager. Через консоль все понятно и так, везде все стандартное. А вот NetworkManager в KDE другой, и там свои особенности.

Описываю что я делал в KDEшном NM:

- Нажал в трее на виджет «Сетевые подключения», выбрал «Настроить сетевые соединения».

- Появился редактор соединений.

- Нажал «Файл» - «импорт VPN», выбрал файл конфигурации .ovpn, нажал ОК.

Далее было то, чего в инструкции описано не было.

После выбора файла редактор соединений вывел сообщение:

Скопировать ваши сертификаты в /home/user/.local/share/networkmanagement/certificates/?

Я понятия не имел что это (подскажите плз). Нажал ДА.

Теперь снова появилось то, чего нет в инструкции - «Бумажник KDE».

Вот что он мне предлагает:

http://i97.fastpic.ru/big/2017/1123/1d/de0e91ffc8dd2a12697b493d9072cc1d.png

Говорит что хочет обезопасить мои данные. ВОПРОС - КАКИЕ ИМЕННО ДАННЫЕ? Я же вроде еще не ввел никаких данных, паролей и т.д. Что это?

Предлагает на выбор 2 способа:

- Классический шифр Blowfish.

- Шифрование GPG для лучшей защиты.

Какие данные он хочет обезопасить, и что выбирать?

KWallet — запоминалка паролей. Отключается в параметрах системы→учётная запись

XMs ★★★★★
()
Ответ на: комментарий от lineager

значит штука видать удобная?

Если у тебя миллион паролей к разным сервисам — да. Теоретически, она ещё может помочь от кейлоггеров (злоумышленник узнает пароль от бумажника запоминалки, а не от интернет-банка, например).


Подскажи что выбрать их 2х? GPG?

Если твои файлы могут утащить — бери GPG. В ином случае большой разницы, наверное, нет, по крайней мере я не могу представить ситуации, чтобы она была достаточно заметной

XMs ★★★★★
()
Ответ на: комментарий от XMs

Если твои файлы могут утащить — бери GPG. В ином случае большой разницы, наверное, нет, по крайней мере я не могу представить ситуации, чтобы она была достаточно заметной

Я выбрал GPG и получил вот это. Что делать?

http://i97.fastpic.ru/big/2017/1123/dd/9c42952142a7dd1f26a52e939987b6dd.png

lineager
() автор топика
Ответ на: комментарий от lineager

Надо открыть то ли KGpg, то ли Kleopatra (не помню, чем каждый из них занимается; вроде бы первый — ключами, а второй — сертификатами) и создать там себе пару ключей для шифрования файлов

XMs ★★★★★
()
Ответ на: комментарий от XMs

Наверно все-таки KGPG?

https://www.kde.org/applications/utilities/kgpg/

https://www.kde.org/applications/utilities/kleopatra/

А Kleopatra не нужно? А то выше у меня вот такое сообщение выводилось.

Скопировать ваши сертификаты в /home/user/.local/share/networkmanagement/certificates/?

Какие-то сертификаты...

lineager
() автор топика

При установке KGpg спрашивают, запускать ли KGpg при каждом старте KDE? Оно всегда должно быть запущено, или для чего это? В каким случаях KGpg должен быть запущен?

lineager
() автор топика
Ответ на: комментарий от lineager

Если честно, я занимался такими вещами один раз и давно, поэтому тупо не помню. Сейчас посмотрел — похоже, всё-таки kgpg. Запускать при загрузке необязательно совершенно

XMs ★★★★★
()
Ответ на: комментарий от XMs

Объясни пожалуйста по созданию ключей.

http://i97.fastpic.ru/big/2017/1123/9f/24bf74d8a2b59a9556b65a9ddf0b999f.png

1) Графа «Реальное имя» - это что такое? Оно хочет чтобы я указал свое реальное имя? Зачем ему? О_о

Это если сделки электронные проводить, или какие-то услуги оказывать, типа ты какое-то официальное лицо, то надо указывать реальное имя, чтобы тебе могли доверять, да? А так можно указать любой ник?

2) Размер ключа - лучше максимум (4096)? Так мои пароли в KDE будут лучше защищены?

3) Алгоритм - есть просто «RSA», а есть «RSA и RSA» (как Джонсан и Джонсан прям). В чем разница?

lineager
() автор топика
Ответ на: комментарий от lineager

Графа «Реальное имя»

Это на кого выдан сертификат. На криптофестах, например, принято показывать паспорт, чтобы заверить, что ты — это ты и ключи твои. Если ничего такого не планируешь, можешь реальные данные не вводить.


Размер ключа - лучше максимум (4096)?

Чем больше размер ключа, тем сложнее его подобрать и тем больше ресурсов компа потребуется, чтобы им пользоваться.


Так мои пароли в KDE будут лучше защищены?

В общем случае, да.


Алгоритм - есть просто «RSA», а есть «RSA и RSA» (как Джонсан и Джонсан прям). В чем разница?

Я помню, что можно было указывать разные алгоритмы для каких-то двух вещей, но вот для каких — не помню. Увы

XMs ★★★★★
()
Ответ на: комментарий от XMs

Это на кого выдан сертификат. На криптофестах, например, принято показывать паспорт, чтобы заверить, что ты — это ты и ключи твои. Если ничего такого не планируешь, можешь реальные данные не вводить.

Не, я такие мероприятия не посещаю. Мой внутренний параноик говорит, что туда приходят всякие дяди из нехороших организаций, и берут на карандашик посетителей. Да и не моя это область. Электронной коммерцией тоже не занимаюсь.

Чем больше размер ключа, тем сложнее его подобрать и тем больше ресурсов компа потребуется, чтобы им пользоваться.

Понял, ставлю на максимум.

Я помню, что можно было указывать разные алгоритмы для каких-то двух вещей, но вот для каких — не помню. Увы

Все то я смог нагуглить по алгоритму «RSA + RSA» это вот эта ссылка.

https://lists.gnupg.org/pipermail/gnupg-devel/2009-May/025079.html

Но все-равно не понял для чего это надо. Ладно, выбрал «RSA и RSA». Создаю ключи...

lineager
() автор топика
Ответ на: комментарий от lineager

Мой внутренний параноик говорит, что туда приходят всякие дяди из нехороших организаций, и берут на карандашик посетителей

Если что, сертификаты не имеют ничего общего с анонимностью, скорее наоборот: они позволяют убедиться, что ты это ты, а не левый Вася.


Это ведь не системный пароль (пароль пользователя ubuntu), а надо придумать отдельный пароль для связки ключей?

Да

XMs ★★★★★
()
Ответ на: комментарий от XMs

Если что, сертификаты не имеют ничего общего с анонимностью, скорее наоборот: они позволяют убедиться, что ты это ты, а не левый Вася.

Это я понимаю, что сертификат удостоверяет личность. Я к тому что мне всегда казалось, что даже на мероприятия ИБшников и пентестеров приходят те самые нехорошие дядьки, и берут самых мозговитых на карандаш. Чего уж там говорить про всякие специфичные криптофесты, хакатоны и прочее... Может это мой задвиг конечно, но как по мне, лучше посмотреть видеолекцию на ютубе, если уж так тема интересна. Помню в США на криптофесты тайком пришел директор АНБ, но его быстро спалили. Читал про этот случай. Интересно, у нас такое бывает или нет.

lineager
() автор топика
Ответ на: комментарий от lineager

Последний раз я их давно создавал, так что не исключаю, что да. По идее, ты можешь немного ускорить процесс, поводя мышой и пожмякав по клаве, но это не точно

XMs ★★★★★
()

Все, сгенерился ключик.

А что такое «отпечаток ключа»? Это неполная версия ключа для каких-то нужд? У него ровно такая же длина, как у пароля, который я задал перед генерацией ключей. Это совпадение или нет?

Еще там есть «идентификатор ключа» - последние 8 символов от «отпечатка ключа». Его тоже может потребоваться где-то вводить?

Нажал «установить ключ по умолчанию».

Надо ли сохранять куда-то на листок или в txt-файл «отпечаток ключа»?

lineager
() автор топика

Установка GPG-ключа не помогла.

Я снова получаю это, когда выбираю в KWallet «Шифрование GPG».

http://i97.fastpic.ru/big/2017/1123/dd/9c42952142a7dd1f26a52e939987b6dd.png

Перезагружал ОС, снова добавил конфигурацию .ovpn в NetworkManager, и снова KWallet выдает эту ошибку при выборе шифрования GPG. Что может быть не так?

lineager
() автор топика

Пипец. Более того, после перезагрузки системы, KGpg вообще перестал стартовать.

Если запустить KGpg из консоли, вот че говорит.

QDBusConnection: session D-Bus connection created before QCoreApplication. Application may misbehave.
QDBusConnection: session D-Bus connection created before QCoreApplication. Application may misbehave.

Ну что за нахрен череда невезения какая-то... Делаю тривиальные вещи, и все ломается.

lineager
() автор топика
Ответ на: комментарий от lineager

KGpg все-таки запускается, просто в трее прячется. Месседж выше не влияет на запуск,в се нормально.

Возвращаемся к ошибке KWallet при попытке добавить GPG-ключ.

http://i97.fastpic.ru/big/2017/1123/dd/9c42952142a7dd1f26a52e939987b6dd.png

Что делать? KWallet не видит мой GPG-ключ.

Написано KWallet отображает только ultimate-level trusted ключи, мой ключ при создании как раз получил статус «абсолютного» доверия.

lineager
() автор топика
Ответ на: комментарий от lineager

Короче, KWallet не работает с GPG-ключами, хотя и предлагает такую опцию.

По моей проблеме инфы нашлось немного, и только на зарубежных Linux-сайтах.

https://forums.opensuse.org/showthread.php/520746-KWallet-quot-your-system-ha...

https://forums.fedoraforum.org/showthread.php?311650-KDE-wallet-and-gpg-key

https://www.reddit.com/r/kde/comments/5qyspf/trying_to_use_kwallet_unsuccessf...

Предложений было всего 2:

1) Забить на GPG и использовать Blowfish в KWallet.

2) И догадка, что KWallet ищет GPG-ключ не в той директории. И как поменять директорию или задать - неизвестно. Ведь такой возможности KWallet не дает.

И снова в багтрекере KDE бардак - этот баг висит несколько лет, народ жалуется, а статус UNCONFIRMED. Зашибись.

https://bugs.kde.org/show_bug.cgi?id=353960

Вобщем решения нет. Че делать - непонятно. KWallet, как оказалось, полезная штука, мне бы он очень пригодился, а шифрование хочется именно GPG.

Наконец, зашел в официальную документацию. Есть скриншоты добавления GPG-ключа, и скриншот ошибки (такой же, как я приводил выше), но не описана ситуация, когда GPG-ключ создан, а KWallet говорит, что его нет.

https://docs.kde.org/trunk5/en/kdeutils/kwallet5/kwallet5.pdf

Что делать?

lineager
() автор топика
Ответ на: комментарий от lineager

На будущее: если хочешь, чтобы твой комментарий кто-то прочёл, не отвечай себе.


Что делать? KWallet не видит мой GPG-ключ

При создании ключа указывается, для чего он будет использоваться. Шифрование файлов там есть? Ну либо отключить бумажник. Если выполнить в консоли gpg2 -k, твои ключи видны?

XMs ★★★★★
()
Ответ на: комментарий от XMs

Если выполнить в консоли gpg2 -k, твои ключи видны?

Если ввести «gpg2 -k», то ничего не выводит.

Если ввести «gpg -k», то выводит такое:

user@virtualbox:~$ gpg -k
/home/user/.gnupg/pubring.gpg
------------------------------
pub   4096R/******** 2017-11-23
uid                  ****
sub   4096R/******** 2017-11-23

(*** закрасил ключи и uid.)

Очень странно, я ведь когда ставил KGpg, где-то видел что версия GPG в моей системе 2.2.1 (или вроде того), тогда как понять происходящее?

lineager
() автор топика
Ответ на: комментарий от lineager

(*** закрасил ключи и uid.)

Зря, ключ -k показывает публичные ключи, их можно смело слать всем подряд.


Если ввести «gpg2 -k», то ничего не выводит

А если сделать вот так?

gpg --export | gpg2 --import
gpg --export-secret-keys | gpg2 --import

Подозреваю, что KGpg внутри использует где-то gpg, а где-то gpg2. Так как у тебя, походу, стоит две версии, то и ключи не выводятся. Какой дистрибутив?

XMs ★★★★★
()
Ответ на: комментарий от XMs

А, ещё: попробуй создать ключ просто RSA

Нет, не помогло, не видит.

lineager
() автор топика
Ответ на: комментарий от XMs

Зря, ключ -k показывает публичные ключи, их можно смело слать всем подряд.

Понял, буду знать, не обратил внимание на pub в названии файла.

А если сделать вот так?

gpg --export | gpg2 --import

gpg --export-secret-keys | gpg2 --import

Щас попробую.

Подозреваю, что KGpg внутри использует где-то gpg, а где-то gpg2. Так как у тебя, походу, стоит две версии, то и ключи не выводятся. Какой дистрибутив?

Kubuntu 16.04, настройки стандартные.

lineager
() автор топика
Ответ на: комментарий от lineager

То, что есть файлы, ещё ни о чём не говорит. А вот выхлоп gpg --version; gpg2 --version — говорит. Ещё можно сделать ls -lh $(which gpg) и убедиться, что это не симлинк на gpg2, как у меня

XMs ★★★★★
()
Ответ на: комментарий от XMs

gpg --version

user@virtualbox:~$ gpg --version
gpg (GnuPG) 1.4.20
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: ~/.gnupg
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH,
                                     AES, AES192, AES256, TWOFISH,
                                     CAMELLIA128, CAMELLIA192,
                                     CAMELLIA256
Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512,
                       SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB,
                                 BZIP2

gpg2 --version

user@virtualbox:~$ gpg2 --version
gpg (GnuPG) 2.1.11
libgcrypt 1.6.5
Copyright (C) 2016 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: ~/.gnupg
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH,
                    AES, AES192, AES256, TWOFISH, CAMELLIA128,
                    CAMELLIA192, CAMELLIA256
Хэш-функции: SHA1, RIPEMD160, SHA256, SHA384, SHA512,
             SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB,
                  BZIP2
lineager
() автор топика
Ответ на: комментарий от XMs

Нифига не помогло. :(

user@virtualbox:~$ gpg --export | gpg2 --import
gpg: starting migration from earlier GnuPG versions
gpg: porting secret keys from '/home/user/.gnupg/secring.gpg' to gpg-agent
gpg: ключ ********: импортирован секретный ключ
gpg: ключ ********: импортирован секретный ключ
gpg: migration succeeded
gpg: ключ ********: "mykey1" не изменен
gpg: ключ ********: "mykey2" не изменен
gpg: Всего обработано: 2
gpg:              неизмененных: 2
gpg: marginals needed: 3  completes needed: 1  trust model: PGP
gpg: глубина: 0  достоверных:   2  подписанных:   0  доверие: 0-, 0q, 0n, 0m, 0f, 2u
user@virtualbox:~$ gpg --export-secret-keys | gpg2 --import
gpg: ключ ********: "mykey1" не изменен
gpg: ключ ********: импортирован секретный ключ
gpg: ключ ********: "mykey2" не изменен
gpg: ключ ********: импортирован секретный ключ
gpg: Всего обработано: 5
gpg:              неизмененных: 2
gpg:       прочитано секретных ключей: 5
gpg:  неизмененных секретных ключей: 3

После этого перезагрузился, и KWallet снова ничего не видит, вот бестолковая прога. Этот бумажник мне бы очень пригодился в быту, а шифрование Blowfish - от него сейчас все отказываются в пользу GPG. Но эта поделка не хочет работать с ним, не видит в упор. :(

lineager
() автор топика
Ответ на: комментарий от XMs

Если это /usr/bin/kwalletmanager5, то что-то ничего не показывает. Оно вызвало окно Wallet Manager, и на этом логи в консоль закончились. Когда добавлял VPN-консигурацию и появился диалог KWallet с предложением выбрать шифрование, то в той консоли ничего не писалось. Хотя может я что-то сделал не так.

lineager
() автор топика
Ответ на: комментарий от lineager

Развернул чистую кубунту 16.04 на виртуалке, создал пару ключей, создал бумажник (по умолчанию один там уже был), выбрал GPG — ключ виден. Попробуй повторить

XMs ★★★★★
()
Ответ на: комментарий от XMs

Извиняюсь, вот этот момент.

создал бумажник

Это надо делать отдельно в Wallet Manager? Может ли такое быть, что он не видит ключ, потому что у меня в окне Wallet Manager вообще пусто, т.е. нет ни одного бумажника?

Но с другой стороны, я так понимаю, что он бы создал мне его по ходу работы с VPN, если бы увидел и добавил GPG-ключ? Или тут надо сначала самому создать бумажник?

Завтра просмотрю этот момент. Если совсем плохо все будет, придется тоже поставить с нуля. Я не делал снепшоты, не думал что нарвусь на такой косяк. :)

lineager
() автор топика
Ответ на: комментарий от lineager

создал бумажник

Это надо делать отдельно в Wallet Manager?

Нет, это просто для теста.


Может ли такое быть, что он не видит ключ, потому что у меня в окне Wallet Manager вообще пусто, т.е. нет ни одного бумажника?

Я, конечно, багтрекер не смотрел, но сомневаюсь, что дело в этом

XMs ★★★★★
()
Ответ на: комментарий от XMs

Тогда сегодня подниму еще одну виртуалку с нуля, сделаю снепшот и буду думать.

создал бумажник (по умолчанию один там уже был), выбрал GPG — ключ виден.

А в какой программе ты вызвал диалог KWallet на выбор GPG-ключа? Просто неохота и на 2й виртуалке с VPN-ном заморачиваться.

lineager
() автор топика

невозможно подключиться к GpgAgent: Сбой вызова соединения IPC

Предлагаемое исправление:

Проверьте, что gpg-agent запущен и установлена и обновлена переменная GPG_AGENT_INFO

А это как сделать, где посмотреть?

lineager
() автор топика

Сделал так.

user@virtualbox:~$ gpg-connect-agent /bye
gpg-connect-agent: агент gpg не работает - запускаем '/usr/bin/gpg-agent'
gpg-connect-agent: ожидаю подключения агента ... (5с)
gpg-connect-agent: соединение с агентом установлено

Kleopatra теперь показывает что все без ошибок.

Проверю теперь KWallet...

lineager
() автор топика
Ответ на: комментарий от lineager

Нет, не помогло, KWallet не видит ключи, да что такое блин. :(

lineager
() автор топика

Интересно что Kleopatra видит GPG-ключи, а KWallet не видит.

lineager
() автор топика

Теперь на новой ВМке не могу сгенерить новый ключ. Реально генерится почти час, хотя на такой же ВМке до этого генерился 10 минут. Что происходит, непонятно...

lineager
() автор топика

Больше часа генерился ключ. Но главное создал в KWallet новый бумажник, добавил GPG-ключ - все получилось. Почему же не получалось на такой же виртуалке, теперь хрен поймешь. Есть одна догадка... но я не уверен.

Кстати, подскажи, там надо было указывать пароль для разблокировки ключа, давалось 3 попытки. Что стало бы после 3й неверной попытки ввода?

lineager
() автор топика

Вернулся к 1й многострадальной ВМке. Теперь там сломался запуск KGpg.

Не удалось запустить GnuPG.

Необходимо исправить ошибку GnuPG перед запуском KGpg.

И там же подробности об ошибке:

gpg: /home/user/.gnupg/gpg.conf:141: invalid optio

Что как-бы намекает что надо зайти в тот файл и проверить 141 строку. В 141 строке вот что:

log-file socket:///home/user/.gnupg/log-socket

Непонятно, это что, просто отсылка на лог-файл?

Попытался открыть файл log-socket, но его вообще невозможно ничем открыть. Я в тупике.

lineager
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.