« предыдущая тема   следующая тема »
Страницы: [1]

Автор Тема: Проблема с OpenVPN, клиент не читает сертификаты.  (Прочитано 32914 раз)

Оффлайн ~Arkey

  • Участник
  • *
  • Сообщений: 69
  • Debian user
Проблема с OpenVPN, клиент не читает сертификаты.
« : 07.10.2010 08:48:59 »
Сгенерил все по мануалу на openvpn.net.
Сгенерировал ключи на СА, на сервер, Диффи-Халмана, на клиент. Ключи на клиент скопировал на клиентскую машину. Обе под Altlinux 4.01.
Сервер запускается нормально, но при подключении клиента пишет:

Код: [Выделить]
Oct  7 16:04:54 pool openvpn[4745]: MULTI: multi_create_instance called
Oct  7 16:04:54 pool openvpn[4745]: Re-using SSL/TLS context
Oct  7 16:04:54 pool openvpn[4745]: LZO compression initialized
Oct  7 16:04:54 pool openvpn[4745]: Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Oct  7 16:04:54 pool openvpn[4745]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Oct  7 16:04:54 pool openvpn[4745]: Local Options hash (VER=V4): 'c0103fa8'
Oct  7 16:04:54 pool openvpn[4745]: Expected Remote Options hash (VER=V4): '69109d17'
Oct  7 16:04:54 pool openvpn[4745]: TCP connection established with 172.16.0.2:40089
Oct  7 16:04:54 pool openvpn[4745]: TCPv4_SERVER link local: [undef]
Oct  7 16:04:54 pool openvpn[4745]: TCPv4_SERVER link remote: 172.16.0.2:40089
Oct  7 16:04:54 pool openvpn[4745]: 172.16.0.2:40089 TLS: Initial packet from 172.16.0.2:40089, sid=ca04a77a 3cfe1ece
Oct  7 16:04:54 pool openvpn[4745]: 172.16.0.2:40089 Connection reset, restarting [-1]
Oct  7 16:04:54 pool openvpn[4745]: 172.16.0.2:40089 SIGUSR1[soft,connection-reset] received, client-instance restarting
Oct  7 16:04:54 pool openvpn[4745]: TCP/UDP: Closing socket
При этом у клиента:

Код: [Выделить]
Feb  7 15:26:05 host openvpn[15595]: IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Feb  7 15:26:05 host openvpn[15595]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Feb  7 15:26:05 host openvpn[15595]: Re-using SSL/TLS context
Feb  7 15:26:05 host openvpn[15595]: LZO compression initialized
Feb  7 15:26:05 host openvpn[15595]: Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Feb  7 15:26:05 host openvpn[15595]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Feb  7 15:26:05 host openvpn[15595]: Local Options hash (VER=V4): '69109d17'
Feb  7 15:26:05 host openvpn[15595]: Expected Remote Options hash (VER=V4): 'c0103fa8'
Feb  7 15:26:05 host openvpn[15595]: Attempting to establish TCP connection with 172.16.0.1:1194
Feb  7 15:26:05 host openvpn[15595]: TCP connection established with 172.16.0.1:1194
Feb  7 15:26:05 host openvpn[15595]: TCPv4_CLIENT link local: [undef]
Feb  7 15:26:05 host openvpn[15595]: TCPv4_CLIENT link remote: 172.16.0.1:1194
Feb  7 15:26:05 host openvpn[15595]: TLS: Initial packet from 172.16.0.1:1194, sid=ee77b7f2 891994f5
Feb  7 15:26:05 host openvpn[15595]: VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=RU/ST=Kh/L=Vanino/O=ADM/OU=IKTiOS/CN=pool/emailAddress=Null
Feb  7 15:26:05 host openvpn[15595]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Feb  7 15:26:05 host openvpn[15595]: TLS Error: TLS object -> incoming plaintext read error
Feb  7 15:26:05 host openvpn[15595]: TLS Error: TLS handshake failed
Feb  7 15:26:05 host openvpn[15595]: Fatal TLS error (check_tls_errors_co), restarting
Feb  7 15:26:05 host openvpn[15595]: TCP/UDP: Closing socket
Feb  7 15:26:05 host openvpn[15595]: SIGUSR1[soft,tls-error] received, process restarting
Feb  7 15:26:05 host openvpn[15595]: Restart pause, 5 second(s)
Конфиг сервера:

Код: [Выделить]
local 172.16.0.1
port 1194
proto tcp
dev tun

ca   /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/pool.crt
key  /etc/openvpn/keys/pool.key  # This file should be kept secret!
dh /etc/openvpn/keys/dh1024.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
Конфиг клиента:

Код: [Выделить]
client
dev tun
proto tcp
remote 172.16.0.1  1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca   /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/GKH.crt
key  /etc/openvpn/keys/GKH.key
comp-lzo
verb 3

Сертификаты на клиентскую машину скопированы при помощи scp. Права стоят правильные, как на сервере.
Записан

Оффлайн ~Arkey

  • Участник
  • *
  • Сообщений: 69
  • Debian user
Re: Проблема с OpenVPN, клиент не читает сертификаты.
« Ответ #1 : 07.10.2010 09:17:17 »
Решено. По какой то причине различалось время на сервере и клиенте, точнее на сервере был месяц -- февраль. Вот клиент и ругался:

certificate is not yet valid

Оставлю, может кому пригодится
Кстати, это пример работающей конфигурации, можно брать за основу, просто следите за временем на машинах и следуйте по официальному ману, указанному в первом сообщении.
« Последнее редактирование: 07.10.2010 09:19:33 от ~Arkey »
Записан
Страницы: [1]
« предыдущая тема   следующая тема »