LINUX.ORG.RU
решено ФорумGeneral

Mikrotik - OpenVPN клиент, подключается без CA.crt

 , ,


0

3

Хорошего дня!

Ситуация:

Debian 9 - OpenVPN сервер с авторизацией через FreeRadius. Клиентские сертификаты не используются. Только ca.crt и логин с паролем.

Два openvpn клиента. Zyxel - работает! Mikrotik - БЕЗ ca.crt - ПОДКЛЮЧАЕТСЯ!, с указанием сертификата - tls failed.

Про то, что tls и udp не поддерживаются в Mikrotik, я знаю. Вот конфиг сервера: 

user nobody
group nogroup
port 443
proto tcp
dev tun
dh dh4096.pem
ca ca.crt
cert server.crt
key server.key
daemon
server 10.8.0.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
verb 5
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
plugin /etc/openvpn/radiusplugin.so /etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
Вопрос: как такое возможно и что не так?=) Спасибо.


client-cert-not-required

Со стороны сервера ты сам сказал, что сертификат не нужен.Чему ты удивляешься тогда?

Со стороны клиента решение на выбор - доверять предоставленному сертификату сервера или нет.

с указанием сертификата - tls failed.

Не видя сертификаты сказать сложно.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Ок. Читаем документацию вместе. Может быть я чего-то не понимаю...

Note that client-cert-not-required will not obviate the need for a server certificate, so a client connecting to a server which uses client-cert-not-required may remove the cert and key directives from the client configuration file, but not the ca directive, because it is necessary for the client to verify the server certificate.

Перевод гуглом:

Обратите внимание: client-cert-not-required не устранит необходимость в сертификате сервера, поэтому клиент, подключающийся к серверу, который использует не требующий клиент-сертификат, может удалить директивы cert и key из файла конфигурации клиента, но не CA директива, потому что это необходимо для клиента для проверки сертификата сервера.

При использовании freeradius, сертификаты пользователей не создают, так как радиус дает разрешение на коннект, используя логин и пароль клиента. Но сертификат самого сервера необходимо указывать. Тот же zyxel по этой же схеме, с левым сертификатом CA не коннектит. А mikrotik умудряется вообще без CA.crt подцепится. Вот в чем мое удивление.

kerby
() автор топика
Ответ на: комментарий от zgen

Еще раз для понимания. Я клиенту даю только ca.crt, логин и пароль. Опция client-cert-not-required говорит серверу, не требовать клиентские сертификаты. Но это не значит, что на ca.crt можно наплевать тоже. Zyxel на кривой сертификат реагирует, Mikrotik подключается только без CA. Сброс настроек делал.

kerby
() автор топика
Ответ на: комментарий от kerby

because it is necessary _for the client to verify_ the server certificate.

Со стороны клиента решение на выбор - доверять предоставленному сертификату сервера или нет (проверять его или нет).

Радиус тут вообще не причём.

Пример - сделай самоподписный сертификат, засунь его в web сервер.
Потом с клиента без ca сертификата зайди.

Браузер ругнётся, но спросит - продолжать или нет. Т.е. это не сервер решает, продолжать или нет, а клиент. Что там в микротике за openvpn - я хз.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Радиус тут только при том, что он проверяет имя и пароль. Больше ничего от него не требуется=)) Но мысль я понял, буду ковырять.

kerby
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General