openVPN und selfsigned certificates

31/10/2013 - 00:50 von Dirk | Report spam
Hi Leute!

Ich habe bisher via openVPN nur einen einzigen Client mit meinem Server
verbunden. Das hat mit static key ganz wunderbar funktioniert. Jetzt
würde ich gerne einen zweiten Client, ein Android-Tablet, per openVPN
zu meinem Server verbinden. Es ist nun aber so, dass ich dann a) für
jeden zusàtzlichen Client eine neue openVPN-Instanz starten müsste und
somit auch b) für jede Instanz neue Ports öffnen müsste. Außerdem kann
Android kein static key.
Also gemàß der diversen Howtos im Netz konfiguriert und mittels openssl
die certificates erstellt. Vorwiegend nach
http://www.pronix.de/pronix-938.html
und
http://wiki.openvpn.eu/index.php/OVPN-Linux
Das klappt auch soweit alles wunderbar, nur will openVPN damit keine
Verbindung aufbauen. Das log auf dem Server ist nichtssagend, dass auf
dem Client sieht wie folgt aus:

# openvpn --config /etc/openvpn/eee-vpn.conf
Wed Oct 30 23:32:51 2013 OpenVPN 2.1.3 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jun 6 2013
Wed Oct 30 23:32:51 2013 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Wed Oct 30 23:32:51 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Oct 30 23:32:51 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Oct 30 23:32:51 2013 /usr/bin/openssl-vulnkey -q -b 2048 -m <modulus omitted>
Wed Oct 30 23:32:51 2013 LZO compression initialized
Wed Oct 30 23:32:51 2013 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Oct 30 23:32:51 2013 Socket Buffers: R=[87380->131072] S=[16384->131072]
Wed Oct 30 23:32:51 2013 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Oct 30 23:32:51 2013 Local Options hash (VER=V4): '66600a11'
Wed Oct 30 23:32:51 2013 Expected Remote Options hash (VER=V4): 'a0001gf7'
Wed Oct 30 23:32:51 2013 Attempting to establish TCP connection with [AF_INET]127.0.0.1:44227 [nonblock]
Wed Oct 30 23:32:51 2013 TCP connection established with [AF_INET]127.0.0.1:44227
Wed Oct 30 23:32:51 2013 TCPv4_CLIENT link local: [undef]
Wed Oct 30 23:32:51 2013 TCPv4_CLIENT link remote: [AF_INET]127.0.0.1:44227
Wed Oct 30 23:32:51 2013 TLS: Initial packet from [AF_INET]127.0.0.1:44227, sid=sd0dfgac 6a0fgjh5
Wed Oct 30 23:32:51 2013 VERIFY ERROR: depth=0, error=self signed certificate: /CÞ/ST=BW/L=D/O=net/OU=server/CN=net/emailAddress=xxx@xxx.de
Wed Oct 30 23:32:51 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Oct 30 23:32:51 2013 TLS Error: TLS object -> incoming plaintext read error
Wed Oct 30 23:32:51 2013 TLS Error: TLS handshake failed
Wed Oct 30 23:32:51 2013 Fatal TLS error (check_tls_errors_co), restarting
Wed Oct 30 23:32:51 2013 TCP/UDP: Closing socket
Wed Oct 30 23:32:51 2013 SIGUSR1[soft,tls-error] received, process restarting
Wed Oct 30 23:32:51 2013 Restart pause, 5 second(s)
^CWed Oct 30 23:32:55 2013 SIGINT[hard,init_instance] received, process exiting

Die beiden "WARNING" am Anfang kann man ignorieren, das hat was mit
meinen settings zu tun; a) weil ich openvpn funktionierend über ssh
tunnele, b) (ns-cert-type server), welches ich absichtlich
herausgenommen habe.

Mein Problem ist der TLS Error, für den ich im Web bisher weder auf
deutsch noch auf englisch eine Lösung gefunden habe. Scheinbar mag
openvpn keine per openssl erstellte self-signed certificates, nur habe
ich keinen blassen Schimmer, wie ich das umgehen kann.
Man kann die certs wohl auch mit easyrsa erstellen, aber da scheitere
ich schon am sourcen von vars, das funktioniert um's Verrecken nicht.


ciao, Dirk


Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: http://lists.debian.org/20131030231251.GA22303@dserver.dnetz
 

Lesen sie die antworten

#1 Peter Blancke
31/10/2013 - 09:50 | Warnen spam
Am 2013-10-30, Dirk schrieb:

[...] VERIFY ERROR: depth=0, error=self signed certificate: /CÞ/ST=BW/L=D/O=net/OU=server/CN=net/emailAddress=
[...] TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
[...] TLS Error: TLS object -> incoming plaintext read error
[...] TLS Error: TLS handshake failed
[...] Fatal TLS error (check_tls_errors_co), restarting



Hier kann ich nicht weiterhelfen, das "incoming plaintext" macht
mich aber stutzig. Wurde fuer die Serverseite eine
Diffie-Hellmann-Datei (mit 2048 Bit) erzeugt?

Scheinbar mag openvpn keine per openssl erstellte self-signed
certificates,



Das ist definitiv falsch, ich habe hier knapp 100 Clients (vor allem
Win-XP, Win-7, einige Linux Debian/Wheezy) auf diese Weise mit
verschiedenen Servern (Debian/Wheezy) verbunden.

Allerdings gehe ich mit direkten SSL-Bordmitteln heran, wenn ich die
Zertifikate erstelle. Zur Befehlsabfolge gibt es Anleitungen im
Netz, ggf. kann ich die hier auch nachliefern.

[...], aber da scheitere ich schon am sourcen von vars, das
funktioniert um's Verrecken nicht.



Ich finde hier die Fehlermeldungen, die Dir das System ausgespuckt
hat, nicht vor. Hast Du vergessen, diese mitzuliefern?

Grusz,

Peter Blancke

Hoc est enim verbum meum!


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: http://lists.debian.org/l4t4qe$67v$

Ähnliche fragen