Re: downgrade openvpn. No server certificate verification method has been enabled

To: debian-user-spanish@lists.debian.org
Subject: Re: downgrade openvpn. No server certificate verification method has been enabled
From: Camaleón <noelamac@gmail.com>
Date: Wed, 19 Feb 2025 17:50:36 +0100
Message-id: <[🔎] Z7YL3BtCuCZz2Eut@stt008.linux.site>
Mail-followup-to: debian-user-spanish@lists.debian.org
In-reply-to: <90744326-7ff2-4121-88eb-889165f5f55d@gmail.com>
References: <90744326-7ff2-4121-88eb-889165f5f55d@gmail.com>

El 2024-12-29 a las 17:48 -0300, Marcelo Giordano escribió:

> Hola amigos. Estoy teniendo la siguiente falla con Debian Trixie y con
> openvpn
> 
> 2024-12-29 17:32:39 WARNING: No server certificate verification method has
> been enabled.  See http://openvpn.n
> et/howto.html#mitm for more info.
> Enter Private Key Password: ••••••••
> 2024-12-29 17:32:46 WARNING: this configuration may cache passwords in
> memory -- use the auth-nocache option t
> o prevent this
> 
> con Debian Bullseye me funciona perfecto.
> 
> Podré hacer un downgrade de ese paquete? o recomiendan alguna otra cosa.
> 
> Probé con lo que dice este post.
> 
> https://forums.openvpn.net/viewtopic.php?t=26485 que dice basicamente que
> agregue la línea *remote-cert-tls server *a mi archivo .ovpn.
> 
> Pero me sigue sin funcionar.
> 
> Agradezco cualquier ayuda

Hum... básicamente, lo que se dice «básico» no lo veo :-P

Supongo que, además de añadir esa línea, previamente has generado
el certificado del servidor como indican en la página de OpenVPN ¿no?:

****
https://openvpn.net/community-resources/how-to/#mitm

[OpenVPN 2.1 and above]

Build your server certificates with specific key 
usage and extended key usage. The RFC3280 determine that the following 
attributes should be provided for TLS connections:

Mode 	Key usage 				Extended key usage

Client 	digitalSignature 			TLS Web Client Authentication
	keyAgreement
	digitalSignature, keyAgreement

Server 	digitalSignature, keyEncipherment 	TLS Web Server Authentication
	digitalSignature, keyAgreement

You can build your server certificates with the build-key-server script 
(see the easy-rsadocumentation for more info). This will designate the 
certificate as a server-only certificate by setting the right 
attributes. Now add the following line to your client configuration:

remote-cert-tls server
***

Si has instalado el paquete desde los repos de Debian, el instalador 
de openvpn debería gestionar esto, pero no te lo puedo asegurar.

Revisa la documentación de Ubuntu que está muy bien explicada:

How to install and use OpenVPN
https://documentation.ubuntu.com/server/how-to/security/install-openvpn/

Saludos,

-- 
Camaleón

Reply to:

Prev by Date: Re: OT - Recuperar control sobre cuenta de correo GMail
Next by Date: Re: OT - Recuperar control sobre cuenta de correo GMail
Previous by thread: Re: OT - Recuperar control sobre cuenta de correo GMail
Next by thread: Re: OT recomendar
Index(es):
- Date
- Thread