LINUX.ORG.RU

VERIFY ERROR: depth=1, error=self signed certificate in certificate chain:

 


0

1

Здравствуйте! Подскажите по OpenVPN Есть 2 компа на Win 10 (Прости Господи!) При попытке подключения с одного к другому вылетает такая ошибка: VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=RU, ST=Moscow, L=Moscow, O=Organization, OU=*****.ddns.net, CN=KEYCN, name=KEYNAME, emailAddress=***@***.ru Конфиг клиента:

client
dev tun
cipher AES-256-CBC
proto tcp
remote ddddd.ddns.net 41416
resolv-retry 30
verb 3
ca ca.crt
cert user1.crt
key user1.key 

Конфиг сервера:

proto tcp
port 41416
dev tun
dev-node "VPN Server"
dh "C:\\Program Files\\OpenVPN\\ssl\\dh1024.pem"
ca "C:\\Program Files\\OpenVPN\\ssl\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\ssl\\cert.crt"
key "C:\\Program Files\\OpenVPN\\ssl\\cert.key"
server 192.168.5.0 255.255.255.0
max-clients 32
keepalive 10 120
client-to-client
mssfix 0
cipher AES-256-CBC
status "C:\\Program Files\\OpenVPN\\log\\status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 5
mute 5

Лог на клиенте:

Sun Nov 26 19:22:05 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Sun Nov 26 19:22:05 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Nov 26 19:22:05 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Sun Nov 26 19:22:05 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sun Nov 26 19:22:05 2017 Need hold release from management interface, waiting...
Sun Nov 26 19:22:06 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sun Nov 26 19:22:06 2017 MANAGEMENT: CMD 'state on'
Sun Nov 26 19:22:06 2017 MANAGEMENT: CMD 'log all on'
Sun Nov 26 19:22:06 2017 MANAGEMENT: CMD 'echo all on'
Sun Nov 26 19:22:06 2017 MANAGEMENT: CMD 'hold off'
Sun Nov 26 19:22:06 2017 MANAGEMENT: CMD 'hold release'
Sun Nov 26 19:22:06 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Nov 26 19:22:06 2017 MANAGEMENT: >STATE:1511713326,RESOLVE,,,,,,
Sun Nov 26 19:22:06 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]176.112.97.163:41416
Sun Nov 26 19:22:06 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Nov 26 19:22:06 2017 Attempting to establish TCP connection with [AF_INET]176.112.97.163:41416 [nonblock]
Sun Nov 26 19:22:06 2017 MANAGEMENT: >STATE:1511713326,TCP_CONNECT,,,,,,
Sun Nov 26 19:22:07 2017 TCP connection established with [AF_INET]176.112.97.163:41416
Sun Nov 26 19:22:07 2017 TCP_CLIENT link local: (not bound)
Sun Nov 26 19:22:07 2017 TCP_CLIENT link remote: [AF_INET]176.112.97.163:41416
Sun Nov 26 19:22:07 2017 MANAGEMENT: >STATE:1511713327,WAIT,,,,,,
Sun Nov 26 19:22:07 2017 MANAGEMENT: >STATE:1511713327,AUTH,,,,,,
Sun Nov 26 19:22:07 2017 TLS: Initial packet from [AF_INET]176.112.97.163:41416, sid=770063ff 0f47046b
Sun Nov 26 19:22:07 2017 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=RU, ST=Moscow, L=Moscow, O=Organization, OU=*****.ddns.net, CN=KEYCN, name=KEYNAME, emailAddress=***@***.ru
Sun Nov 26 19:22:07 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Sun Nov 26 19:22:07 2017 TLS_ERROR: BIO read tls_read_plaintext error
Sun Nov 26 19:22:07 2017 TLS Error: TLS object -> incoming plaintext read error
Sun Nov 26 19:22:07 2017 TLS Error: TLS handshake failed
Sun Nov 26 19:22:07 2017 Fatal TLS error (check_tls_errors_co), restarting
Sun Nov 26 19:22:07 2017 SIGUSR1[soft,tls-error] received, process restarting
Sun Nov 26 19:22:07 2017 MANAGEMENT: >STATE:1511713327,RECONNECTING,tls-error,,,,,
Sun Nov 26 19:22:07 2017 Restart pause, 5 second(s)
Sun Nov 26 19:22:09 2017 SIGTERM[hard,init_instance] received, process exiting
Sun Nov 26 19:22:09 2017 MANAGEMENT: >STATE:1511713329,EXITING,init_instance,,,,,

Лог на сервере:

Sun Nov 26 19:21:02 2017 us=793798 Current Parameter Settings:
Sun Nov 26 19:21:02 2017 us=793798   config = 'C:\Program Files\OpenVPN\config\server.ovpn'
Sun Nov 26 19:21:02 2017 us=793798   mode = 1
Sun Nov 26 19:21:02 2017 us=793798   show_ciphers = DISABLED
Sun Nov 26 19:21:02 2017 us=793798   show_digests = DISABLED
Sun Nov 26 19:21:02 2017 us=793798 NOTE: --mute triggered...
Sun Nov 26 19:21:02 2017 us=793798 291 variation(s) on previous 5 message(s) suppressed by --mute
Sun Nov 26 19:21:02 2017 us=793798 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Sun Nov 26 19:21:02 2017 us=793798 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Nov 26 19:21:02 2017 us=793798 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Sun Nov 26 19:21:02 2017 us=793798 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Sun Nov 26 19:21:02 2017 us=887552 Diffie-Hellman initialized with 1024 bit key
Sun Nov 26 19:21:02 2017 us=903178 TLS-Auth MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Sun Nov 26 19:21:02 2017 us=903178 interactive service msg_channel=0
Sun Nov 26 19:21:02 2017 us=903178 ROUTE_GATEWAY 192.168.0.1/255.255.255.0 I=7 HWADDR=90:2b:34:15:fd:6c
Sun Nov 26 19:21:02 2017 us=903178 open_tun
Sun Nov 26 19:21:02 2017 us=903178 TAP-WIN32 device [VPN Server] opened: \\.\Global\{D07C10C5-1417-4AEF-A456-7B1ACB4CE04F}.tap
Sun Nov 26 19:21:02 2017 us=903178 TAP-Windows Driver Version 9.21 
Sun Nov 26 19:21:02 2017 us=903178 TAP-Windows MTU=1500
Sun Nov 26 19:21:02 2017 us=903178 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.5.1/255.255.255.252 on interface {D07C10C5-1417-4AEF-A456-7B1ACB4CE04F} [DHCP-serv: 192.168.5.2, lease-time: 31536000]
Sun Nov 26 19:21:02 2017 us=903178 Sleeping for 10 seconds...
Sun Nov 26 19:21:12 2017 us=912500 Successful ARP Flush on interface [9] {D07C10C5-1417-4AEF-A456-7B1ACB4CE04F}
Sun Nov 26 19:21:12 2017 us=912500 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun Nov 26 19:21:12 2017 us=912500 C:\WINDOWS\system32\route.exe ADD 192.168.5.0 MASK 255.255.255.0 192.168.5.2
Sun Nov 26 19:21:12 2017 us=912500 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Sun Nov 26 19:21:12 2017 us=912500 Route addition via IPAPI succeeded [adaptive]
Sun Nov 26 19:21:12 2017 us=912500 Data Channel MTU parms [ L:1623 D:1623 EF:123 EB:406 ET:0 EL:3 ]
Sun Nov 26 19:21:12 2017 us=912500 Could not determine IPv4/IPv6 protocol. Using AF_INET6
Sun Nov 26 19:21:12 2017 us=912500 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Nov 26 19:21:12 2017 us=912500 setsockopt(IPV6_V6ONLY=0)
Sun Nov 26 19:21:12 2017 us=912500 Listening for incoming TCP connection on [AF_INET6][undef]:41416
Sun Nov 26 19:21:12 2017 us=912500 TCPv6_SERVER link local (bound): [AF_INET6][undef]:41416
Sun Nov 26 19:21:12 2017 us=912500 TCPv6_SERVER link remote: [AF_UNSPEC]
Sun Nov 26 19:21:12 2017 us=912500 MULTI: multi_init called, r=256 v=256
Sun Nov 26 19:21:12 2017 us=912500 IFCONFIG POOL: base=192.168.5.4 size=62, ipv6=0
Sun Nov 26 19:21:12 2017 us=912500 MULTI: TCP INIT maxclients=32 maxevents=36
Sun Nov 26 19:21:12 2017 us=912500 Initialization Sequence Completed
Sun Nov 26 19:22:07 2017 us=643519 MULTI: multi_create_instance called
Sun Nov 26 19:22:07 2017 us=643519 Re-using SSL/TLS context
Sun Nov 26 19:22:07 2017 us=643519 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Sun Nov 26 19:22:07 2017 us=643519 Data Channel MTU parms [ L:1623 D:1623 EF:123 EB:406 ET:0 EL:3 ]
Sun Nov 26 19:22:07 2017 us=643519 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_SERVER,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Sun Nov 26 19:22:07 2017 us=643519 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Sun Nov 26 19:22:07 2017 us=643519 TCP connection established with [AF_INET6]::ffff:79.126.13.128:57395
Sun Nov 26 19:22:07 2017 us=643519 TCPv6_SERVER link local: (not bound)
Sun Nov 26 19:22:07 2017 us=643519 TCPv6_SERVER link remote: [AF_INET6]::ffff:79.126.13.128:57395
Sun Nov 26 19:22:08 2017 us=621530 79.126.13.128 TLS: Initial packet from [AF_INET6]::ffff:79.126.13.128:57395, sid=88d68a0a f9b71958
Sun Nov 26 19:22:08 2017 us=919980 79.126.13.128 Connection reset, restarting [0]
Sun Nov 26 19:22:08 2017 us=919980 79.126.13.128 SIGUSR1[soft,connection-reset] received, client-instance restarting
Sun Nov 26 19:22:08 2017 us=919980 TCP/UDP: Closing socket

Да и помогите свернуть код в спойлер, что-то не получилось «cut-/cut»


Для генерации корректных сертификатов есть скрипт easyrsa3 (качается с гитхаба).

В крайнем случае, можно сгенерировать руками. В гугле в статьях про OpenVPN+Mikrotik есть примеры.

Разница в том, что easyrsa3 генерирует сертификаты со свойствами client и server (чтобы нельзя было использовать клиентский сертификат как серверный и наоборот). А Mikrotik'и (и, наверное, другие рутеры такого плана) этих свойств не понимают.

slamd64 ★★★★★ ()
Ответ на: комментарий от slamd64

Кажется получилось - просто перепутал ключевые файлы, из-за того, чтоб 500 раз пересоздавал их

Есть еще пара вопросов:
1. Вот работает ВПН, как проследить, что траффик действительно шифруется?
Есть какой-нибудь сниффер, через который я могу посмотреть, что без впн по обычному РДП
создам файлик *.txt с текстом «Мама мыла раму» и увидеть его, а с включенным впн увижу муть типа &GJHLD&@@@@#JF*&)@#$_____FFFFFFFSDF ??
2. Я параноик, 1024 длины ключа достаточно, чтобы меня АНБ не и марсиане не рассекретили (шапочка из фольги)?

Dem0 ()

как проследить, что траффик действительно шифруется?

Wireshark.


Я параноик, 1024 длины ключа достаточно, чтобы меня АНБ не и марсиане не рассекретили (шапочка из фольги)?
1024

Нет, конечно. Если использовать RSA, то ставь 4096. Или вообще об эллиптической криптографии задумайся

XMs ★★★★★ ()

Re: Кажется получилось - просто перепутал ключевые файлы, из-за того, чтоб 500 раз пересоздавал их

Если бы я был параноиком, я бы не использовал винду совсем. Особенно как OpenVPN сервер. Почему вообще никто не сказал быдлу валить на винфак? Opensource != linux. Проблема с openvpn сервером на винде.

Ок, на винфак, быдло.

anonymous ()

траффик действительно шифруется

tcpdump ?

Я параноик, 1024 длины ключа достаточно

Ты недостоен высокого звания параноика. Лично я меньше 4096 принципиально не использую.

slamd64 ★★★★★ ()

По быдлу..

Мы все учились по-немногу.. Ну а быдлу я лично при встрече скажу, куда идти. И вообще, почему быдло подтянулось к этой ветке? Вроде адекватные люди отвечали-помогали..

Dem0 ()
Ответ на: комментарий от slamd64

Снимаю шляпу =) А ключи такой длинны сильно влияют на производительность?

Dem0 ()

Самоподписанный сертификат, написано же. Тот, на который указывает директива «cert», должен быть подписан тем, который в «ca»

Harald ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.