LINUX.ORG.RU
ФорумAdmin

не работает vpn

 ,


0

1

На одном хостинге openvpn ставится на centos автоматически, из панели. Жмешь кнопку и получаешь архив со всеми сертификатами и .ovpn для подключения.

Раньше все было нормально, но теперь при подключении валятся ошибки, он вроде как стал генерить невалидные сертификаты

Лог подключения - http://pastebin.com/dqNgUyra

В частности:

- WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Смотрел ссылку, но так и не понял как включить этот verification method

- VERIFY ERROR: depth=1, error=certificate is not yet valid: C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=changeme, CN=changeme, name=changeme, emailAddress=mail@host.domain

Пробовал пересоздавать их руками на том же сервере, но видимо что-то делал не так, потому что и созданные давали эту ошибку при подключении.

- TLS Error: Unroutable control packet received from

ну и это видимо последствия «TLS Error: TLS handshake failed»

Может кто-то помочь с этим? Дам доступ к серверу и доплачу если потребуется.

nfsv3
Парсить лог подключений
Ответ на: комментарий от anonymous

да вроде не будущее:

date
Чтв Дек 25 04:42:44 EST 2014

у меня при этом 14:42

sergey-novikov ★★★
() автор топика
Ответ на: комментарий от anonymous

странно что в лог пишет

Thu Dec 25 17:17:53 2014 VERIFY ERROR: depth=1, error=certificate is not yet valid: C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=changeme, CN=changeme, name=changeme, emailAddress=mail@host.domain
Thu Dec 25 17:17:53 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed


и тут name=changeme, хотя в client.crt я указал name=XXX во всех сертификатах и на клиенте и на сервере

Как он может писать о другом сертификате, если в конфиге клиента openvpn есть строки

ca /home/user/vpn/ca.crt
cert /home/user/vpn/debian.crt
key /home/user/vpn/debian.key

с правильными путями

sergey-novikov ★★★
() автор топика
Ответ на: комментарий от sergey-novikov

А в ca.crt что? Там судя по всему, должен быть сертификатная часть из твоего клиентского ключа-сертификата.

anonymous
()

Вы уверены, что используется серверный ключ на стороне сервера и клиентский на стороне клиента?

ValdikSS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
nfsv3
Admin
Парсить лог подключений