LINUX.ORG.RU

Почему openvpn ругается на самоподписной сертификат?

 


0

1

Что за хрень?

Лог клиента:

[romashev@dell ~]$ openvpn ./client.conf 
Wed Sep 21 16:21:43 2016 Warning: Error redirecting stdout/stderr to --log file: /var/log/openvpn.log: Permission denied (errno=13)
Wed Sep 21 16:21:43 2016 OpenVPN 2.3.12 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Aug 24 2016
Wed Sep 21 16:21:43 2016 library versions: OpenSSL 1.0.2h  3 May 2016, LZO 2.09
Wed Sep 21 16:21:43 2016 Socket Buffers: R=[87380->87380] S=[16384->16384]
Wed Sep 21 16:21:43 2016 Attempting to establish TCP connection with [AF_INET]95.85.45.237:1194 [nonblock]
Wed Sep 21 16:21:44 2016 TCP connection established with [AF_INET]95.85.45.237:1194
Wed Sep 21 16:21:44 2016 TCPv4_CLIENT link local: [undef]
Wed Sep 21 16:21:44 2016 TCPv4_CLIENT link remote: [AF_INET]95.85.45.237:1194
Wed Sep 21 16:21:44 2016 TLS: Initial packet from [AF_INET]95.85.45.237:1194, sid=ea944bbd ca920c17
Wed Sep 21 16:21:45 2016 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: CN=Samopalny CA
Wed Sep 21 16:21:45 2016 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Wed Sep 21 16:21:45 2016 TLS_ERROR: BIO read tls_read_plaintext error
Wed Sep 21 16:21:45 2016 TLS Error: TLS object -> incoming plaintext read error
Wed Sep 21 16:21:45 2016 TLS Error: TLS handshake failed
Wed Sep 21 16:21:45 2016 Fatal TLS error (check_tls_errors_co), restarting
Wed Sep 21 16:21:45 2016 SIGUSR1[soft,tls-error] received, process restarting
Wed Sep 21 16:21:45 2016 Restart pause, 5 second(s)

Тем временем на сервере:

Wed Sep 21 13:47:38 2016 109.188.127.32:37442 TLS: Initial packet from [AF_INET]109.188.127.32:37442, sid=5d905dc5 a3480ecd
Wed Sep 21 13:47:39 2016 109.188.127.32:37442 Connection reset, restarting [0]
Wed Sep 21 13:47:39 2016 109.188.127.32:37442 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Sep 21 13:47:44 2016 TCP connection established with [AF_INET]109.188.127.32:38155

И собственно конфиг сервера:

port 1194
proto tcp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3

И клиента:

client
dev tun
proto tcp
remote 95.85.45.237 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /home/romashev/server.crt
cert /home/romashev/client.crt
key /home/romashev/client.key
ns-cert-type server
comp-lzo
log /var/log/openvpn.log
verb 3

Скорее всего дело в конфигах. Никогда не знал как эту лабуду настраивать, потому просто скомуниздил конфиги с какого-то серва. Так у них работает, а у меня почему нет? Что тут вообще происходит?

Deleted

/home/romashev/server.crt на клиенте по содержимому совпадает с /etc/openvpn/ca.crt на сервере? Или вы действительно скопировали на клиента сертификат сервера?

mky ★★★★★ ()
Ответ на: комментарий от mky

Что вообще клиенту отдать нужно? С этой кучей чёртовых сертификатов ничего не ясно.

Сертификаты все с сервера, да. По sftp забирал.

Deleted ()
Последнее исправление: Romashev (всего исправлений: 1)
Ответ на: комментарий от Deleted

Клиенту нужно сгенерировать свой сертификат, который подпишет ваш CA. Там, конечно, немного все сложно, если наскоком, но есть же easy-rsa, как и тыщи пошаговых howto.

BigAlex ★★★ ()
Ответ на: комментарий от mky

Не работает. IP не меняется. Сервер вроде заработал.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.