openVPN und selfsigned certificates
Hi Leute!
Ich habe bisher via openVPN nur einen einzigen Client mit meinem Server
verbunden. Das hat mit static key ganz wunderbar funktioniert. Jetzt
würde ich gerne einen zweiten Client, ein Android-Tablet, per openVPN
zu meinem Server verbinden. Es ist nun aber so, dass ich dann a) für
jeden zusätzlichen Client eine neue openVPN-Instanz starten müsste und
somit auch b) für jede Instanz neue Ports öffnen müsste. Außerdem kann
Android kein static key.
Also gemäß der diversen Howtos im Netz konfiguriert und mittels openssl
die certificates erstellt. Vorwiegend nach
http://www.pronix.de/pronix-938.html
und
http://wiki.openvpn.eu/index.php/OVPN-Linux
Das klappt auch soweit alles wunderbar, nur will openVPN damit keine
Verbindung aufbauen. Das log auf dem Server ist nichtssagend, dass auf
dem Client sieht wie folgt aus:
# openvpn --config /etc/openvpn/eee-vpn.conf
Wed Oct 30 23:32:51 2013 OpenVPN 2.1.3 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jun 6 2013
Wed Oct 30 23:32:51 2013 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Wed Oct 30 23:32:51 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Oct 30 23:32:51 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Oct 30 23:32:51 2013 /usr/bin/openssl-vulnkey -q -b 2048 -m <modulus omitted>
Wed Oct 30 23:32:51 2013 LZO compression initialized
Wed Oct 30 23:32:51 2013 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Oct 30 23:32:51 2013 Socket Buffers: R=[87380->131072] S=[16384->131072]
Wed Oct 30 23:32:51 2013 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Oct 30 23:32:51 2013 Local Options hash (VER=V4): '66600a11'
Wed Oct 30 23:32:51 2013 Expected Remote Options hash (VER=V4): 'a0001gf7'
Wed Oct 30 23:32:51 2013 Attempting to establish TCP connection with [AF_INET]127.0.0.1:44227 [nonblock]
Wed Oct 30 23:32:51 2013 TCP connection established with [AF_INET]127.0.0.1:44227
Wed Oct 30 23:32:51 2013 TCPv4_CLIENT link local: [undef]
Wed Oct 30 23:32:51 2013 TCPv4_CLIENT link remote: [AF_INET]127.0.0.1:44227
Wed Oct 30 23:32:51 2013 TLS: Initial packet from [AF_INET]127.0.0.1:44227, sid=sd0dfgac 6a0fgjh5
Wed Oct 30 23:32:51 2013 VERIFY ERROR: depth=0, error=self signed certificate: /C=DE/ST=BW/L=D/O=net/OU=server/CN=net/emailAddress=xxx@xxx.de
Wed Oct 30 23:32:51 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Oct 30 23:32:51 2013 TLS Error: TLS object -> incoming plaintext read error
Wed Oct 30 23:32:51 2013 TLS Error: TLS handshake failed
Wed Oct 30 23:32:51 2013 Fatal TLS error (check_tls_errors_co), restarting
Wed Oct 30 23:32:51 2013 TCP/UDP: Closing socket
Wed Oct 30 23:32:51 2013 SIGUSR1[soft,tls-error] received, process restarting
Wed Oct 30 23:32:51 2013 Restart pause, 5 second(s)
^CWed Oct 30 23:32:55 2013 SIGINT[hard,init_instance] received, process exiting
Die beiden "WARNING" am Anfang kann man ignorieren, das hat was mit
meinen settings zu tun; a) weil ich openvpn funktionierend über ssh
tunnele, b) (ns-cert-type server), welches ich absichtlich
herausgenommen habe.
Mein Problem ist der TLS Error, für den ich im Web bisher weder auf
deutsch noch auf englisch eine Lösung gefunden habe. Scheinbar mag
openvpn keine per openssl erstellte self-signed certificates, nur habe
ich keinen blassen Schimmer, wie ich das umgehen kann.
Man kann die certs wohl auch mit easyrsa erstellen, aber da scheitere
ich schon am sourcen von vars, das funktioniert um's Verrecken nicht.
ciao, Dirk
Reply to: