OpenVPN ошибка tls

0

1

Привет всем!

Совсем ума не приложу, что делать. В общем есть у меня два роутера RT-N56U на который я поставил альтернативную прошивку и поднял OpenVPN по инструкции https://code.google.com/p/rt-n56u/wiki/HowToConfigureOpenvpnServer . В роутерах всё заработало. И работает отлично, как часики.

Решил я временно отключить клиента роутера и поставить на удалённый компьютер клиента OpenVPN. Скопировал сертификаты и вот какая выдаётся ошибка

TLS Error: Unroutable control packet received from [AF_INET]Мой IP адрес:1194 (si=3 op=P_CONTROL_V1)

Как можно исправить эту ошибку?

Ссылка

←	реклама, рассылки, етц...

нет модуля *nat в 3.17.0-pf3

→

Конфиг клиента OpenVPN

dev tun 
proto udp 
remote мой IP адрес 1194
route-delay 3 
client 
tls-client 
ns-cert-type server 
ca ca.crt 
cert client.crt 
key client.key 
tls-auth ta.key 1 
comp-lzo 
tun-mtu 1500 
tun-mtu-extra 32 
mssfix 1450 
ping-restart 60 
ping 10 
status C:\\Program Files\\OpenVPN\\openvpn-status.log 
log C:\\Program Files\\OpenVPN\\openvpn.log 
verb 3

Andrei_IW
(12.02.15 15:38:37 MSK) автор топика

Ответ на: Конфиг клиента OpenVPN от Andrei_IW 12.02.15 15:38:37 MSK

C:\\Program Files

На винфак.

post-factum ★★★★★
(12.02.15 15:48:38 MSK)

Ответ на: комментарий от post-factum 12.02.15 15:48:38 MSK

Я закомментировал строки

status C:\\Program Files\\OpenVPN\\openvpn-status.log 
log C:\\Program Files\\OpenVPN\\openvpn.log

и вот что теперь получил

tls error: bio read tls_read_plaintext error

Andrei_IW
(12.02.15 15:53:22 MSK) автор топика

Ответ на: комментарий от Andrei_IW 12.02.15 15:53:22 MSK

Вернее такая ошибка

TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Andrei_IW
(12.02.15 16:00:01 MSK) автор топика

Ответ на: комментарий от Andrei_IW 12.02.15 16:00:01 MSK

путь к каталогу с сертификатами укажи через cd «C:\\Program Files\\OpenVPN\\...» в начале или полные пути к сертификатам указывай.

vel ★★★★★
(12.02.15 16:35:17 MSK)

openssl version ?

arto ★★
(12.02.15 16:56:32 MSK)

Ответ на: комментарий от vel 12.02.15 16:35:17 MSK

Пробовал так делать. Но если так сделать подключение вообще не происходит. В логах не одной строчки не появляется.

Andrei_IW
(12.02.15 17:02:48 MSK) автор топика

Ответ на: комментарий от arto 12.02.15 16:56:32 MSK

OpenVPN 2.3.4

Andrei_IW
(12.02.15 17:04:18 MSK) автор топика

Ссылка

Попробуйте\ для\ начала\ экранировать\ пробелы\ каким-либо\ образом.

dhameoelin ★★★★★
(12.02.15 19:50:50 MSK)

Ссылка

Ответ на: комментарий от Andrei_IW 12.02.15 17:02:48 MSK

cd "C:\\Program Files\\OpenVPN\\..."

строчки с пробелами нужно писать в кавычках

vel ★★★★★
(12.02.15 22:14:40 MSK)

Ответ на: комментарий от vel 12.02.15 22:14:40 MSK

Привёл файл к нужному виду


dev tun 
proto udp 
remote Мой IP адрес 1194
route-delay 3 
client 
tls-client 
ns-cert-type server

 
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" 
cert "C:\\Program Files\\OpenVPN\\config\\client.crt"  
key "C:\\Program Files\\OpenVPN\\config\\client.key"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1 


comp-lzo 
tun-mtu 1500 
tun-mtu-extra 32 
mssfix 1450 
ping-restart 60 
ping 10

 
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"


verb 3

Andrei_IW
(13.02.15 10:12:06 MSK) автор топика

Ответ на: комментарий от Andrei_IW 13.02.15 10:12:06 MSK

И вот какой лог появился, вернее приведу ошибки из лога

VERIFY OK: depth=1, C=RU, ST=Some-State, O=My RT-N56U Ltd, CN=OpenVPN, emailAddress=admin@my.router
VERIFY nsCertType ERROR: CN=OpenVPNserver, require nsCertType=SERVER
TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed

Andrei_IW
(13.02.15 10:14:19 MSK) автор топика

Ответ на: комментарий от Andrei_IW 13.02.15 10:14:19 MSK

А в самом конце сыпется подряд одна ошибка

Unroutable control packet received from [AF_INET]188.233.190.16:1194 (si=3 op=P_ACK_V1)
TLS Error: Unroutable control packet received from [AF_INET]188.233.190.16:1194 (si=3 op=P_CONTROL_V1)
TLS Error: Unroutable control packet received from [AF_INET]188.233.190.16:1194 (si=3 op=P_CONTROL_V1)

Andrei_IW
(13.02.15 10:17:02 MSK) автор топика

Ответ на: комментарий от Andrei_IW 13.02.15 10:17:02 MSK

Меня заинтересовала строка VERIFY nsCertType ERROR: CN=OpenVPNserver, require nsCertType=SERVER . Странно, клиент OpenVPN на компьютере ругается, а клиент OpenVPN на роутере здорово работает. Сертификаты одни и те-же. Может в конфиге компьютерного клиента OpenVPN что не так?

Andrei_IW
(13.02.15 10:27:14 MSK) автор топика

Ответ на: комментарий от Andrei_IW 13.02.15 10:27:14 MSK

А вот что пишет в лог клиент OpenVPN роутера

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
openvpn-cli[793]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
openvpn-cli[793]: Control Channel Authentication: using '/etc/storage/openvpn/client/ta.key' as a OpenVPN static key file

Andrei_IW
(13.02.15 10:30:04 MSK) автор топика

Ответ на: комментарий от Andrei_IW 13.02.15 10:30:04 MSK

При этом клиент OpenVPN роутера прекрасно подключается к серверу и работает без сбоев. Что можно ещё попробовать?

Andrei_IW
(13.02.15 10:31:14 MSK) автор топика

Ответ на: комментарий от Andrei_IW 13.02.15 10:31:14 MSK

Ура ура ура!!!! Заработало. Я взял конфиг с клиента OpenVPN роутера и адаптировав пути под Windows подсунул его клиенту OpenVPN Windows и всё заработало. Заработало как часики. Вот окончательный, рабочий конфиг клиента OpenVPN под Windows

client
proto udp
remote Мой IP адрес 1194
resolv-retry infinite
nobind
dev tun0

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client.crt"
key "C:\\Program Files\\OpenVPN\\config\\client.key"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
auth SHA1

cipher BF-CBC
comp-lzo adaptive

 
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"

Andrei_IW
(13.02.15 11:27:32 MSK) автор топика

Ответ на: комментарий от Andrei_IW 13.02.15 11:27:32 MSK

Проблема у вас в том, что вы либо используете серверный ключ на клиенте (ns cert type = server), либо наоборот. А в новом конфиге нет строчки

ns-cert-type server

вот и подключается. Это может быть опасно потому, что кто-то с другим клиентским сертификатом (просто другой клиент этого VPN-сервиса) может поднять VPN-сервер и сделать MITM, и вы к нему успешно подключитесь.

ValdikSS ★★★★★
(06.03.15 10:41:39 MSK)

26 апреля 2015 г.

Ответ на: комментарий от ValdikSS 06.03.15 10:41:39 MSK

У меня то же самое, если я убираю из конфига клиента эту строчку (ns-cert-type server), то подключается. Ключи и сертификаты делал по этой инструкции: http://www.stableit.ru/2014/12/openvpn-centos-7-mac-os.html (внизу страницы), только у меня клиент на windows, а сервер так же на CentOS 7. Подскажите пожалуйста, что не так в этой инструкции.

anonymous
(26.04.15 23:20:21 MSK)

Ответ на: комментарий от anonymous 26.04.15 23:20:21 MSK

EasyRSA3 генерирует ключи без поля Netscape Cert Type, т.к. оно устарело. Используйте

remote-cert-tls server

ValdikSS ★★★★★
(27.04.15 00:28:12 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	реклама, рассылки, етц...

Admin

нет модуля *nat в 3.17.0-pf3

→

Конфиг клиента OpenVPN

Похожие темы