LINUX.ORG.RU
ФорумAdmin

Клиенты не подключаются к OpenVPN на микротике.

 , ,


2

3

Не подключаются клиенты (linux) к OpenVPN серверу на микротике. 

 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Если убрать галку с «require client certificate», то получается подключиться. В чем может быть проблема

Проброс траффика из win12
Перезагрузка, если не найден корень?

Сертификаты для сервера и клиентов созданы? Сертификат сервера в микротык импортирован? Клиентские сертификаты клиентам розданы? ca.crt и серверу, и клиентам роздан?

See http://openvpn.net/howto.html#mitm

dexpl ★★★★★
()

А кроме этого ворнинга какая-нибудь еще ругань есть? Микротык в log print что-нибудь говорит?

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

Клиент 

Jun 10 19:57:31 2016 TLS_ERROR: BIO read tls_read_plaintext error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Fri Jun 10 19:57:31 2016 TLS Error: TLS object -> incoming plaintext read error
Fri Jun 10 19:57:31 2016 TLS Error: TLS handshake failed
Fri Jun 10 19:57:31 2016 Fatal TLS error (check_tls_errors_co), restarting
Fri Jun 10 19:57:31 2016 SIGUSR1[soft,tls-error] received, process restarting
микротик 
 ovpn,debug,error,20076,45952,54076,56464,27884,55388,56408,54072,l2tp,info,54076,debug,79,65535,critical,17776,62372,45968,54712,55464,47496,45952,54852,5
4848,55388,58288,55388,error duplicate packet, dropping 
echo: ovpn,debug,error,,,,,,,,,l2tp,info,,debug,,,critical,,,,,,,,,,,,,error duplicate packet, dropping

petrovich3245
() автор топика
Ответ на: комментарий от anc 
cat client

dev tun
proto tcp
remote ip 1194 
client
resolv-retry infinite
ca "/etc/openvpn/ca.crt"
cert "/etc/openvpn/client.crt"
nobind
key "/etc/openvpn/client.key"
persist-key
persist-tun
verb 3
status /var/log/openvpn/openvpn-status.log 1
status-version 3
log-append /var/log/openvpn-client.log
cipher AES-256-CBC
route-delay 2
#redirect-gateway
auth-user-pass auth.cfg
#ns-cert-type server

cat auth.cfg
user
pass

Микротик настраивался по статье на хабре.

petrovich3245
() автор топика
Ответ на: комментарий от petrovich3245

1. Про серверный мы видимо должны догадаться.
2. смотрите что у вас в /etc/openvpn/ca.crt и сравните с серверным
3. Микротик настраивался по статье на хабре. - про которую мы видимо тоже должны догадаться.
ЗЫ Даты на клиенте и сервере все-таки тоже проверьте.

anc ★★★★★
()
Ответ на: комментарий от petrovich3245

Буквально на днях цеплял еще одного клиента к рабочему ovpn'у. Один момент - клиент на windows. Была точно такая же ошибка, хотя конфиг и все остальное было взято с рабочего клиента. Вопрос решился установкой другой версии openvpn. Скачивал с сайта текущий 2.3.11 - с ним не шло. Поставил 2.3.10 - сразу все подключилось. Что-то они там с SSL в клиенте сделали...

smserg
()
Ответ на: комментарий от petrovich3245

Клиентский конфиг и примеры рабочих корневого и клиентского сертификатов можете скинуть?

И ключи от квартиры где деньги лежат?

anc ★★★★★
()
Ответ на: комментарий от anc

Я и имел ввиду сгенерировать новые, но с теми же параметрами (nsCertType, keyUsage,keyCertSign, authorityKeyIdentifier, и.т.д) как у рабочих.

petrovich3245
() автор топика
Ответ на: комментарий от smserg

btw не нулевая вероятность. Сам не сталкивался, но читал про такое.
Хотя больше предполагаю, что проблема была как обычно в самом конфиге (устаревшие/изменившие поведение/добавленные параметры). Вы лог клиента не пробовали читать?

anc ★★★★★
()
Ответ на: комментарий от petrovich3245

Возможно в самом openvpn (мы же только догадываемся) захаркоден конкретный юзвер:группа, например openvpn:openvpn.
Вообще микротик насколько я слышал, та еще пакость во многих частях. Попробуйте все-таки полностью хотя по одной из инструкций сделать (они реально разные) а у вас если смотреть наискосок вроде как помесь уже.

anc ★★★★★
()
Ответ на: комментарий от anc

Лог клиента 

Fri Jun 10 21:46:47 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Jun 10 21:46:47 2016 Socket Buffers: R=[87380->131072] S=[16384->131072]
Fri Jun 10 21:46:47 2016 Attempting to establish TCP connection with [AF_INET]ip:1194 [nonblock]
Fri Jun 10 21:46:48 2016 TCP connection established with [AF_INET]ip:1194
Fri Jun 10 21:46:48 2016 TCPv4_CLIENT link local: [undef]
Fri Jun 10 21:46:48 2016 TCPv4_CLIENT link remote: [AF_INET]ip:1194
Fri Jun 10 21:46:48 2016 TLS: Initial packet from [AF_INET]ip:1194, sid=e0f1358a 3e89451b
Fri Jun 10 21:46:49 2016 VERIFY OK: depth=1, C=RU, ST=Moscow, L=Moscow, O=test., O=test., CN=server_ca, emailAddress=test@localhost
Fri Jun 10 21:46:49 2016 VERIFY OK: depth=0, C=RU, ST=Moscow, L=Moscow, O=test., O=test., CN=server, emailAddress=test@localhost
Fri Jun 10 21:46:52 2016 TLS_ERROR: BIO read tls_read_plaintext error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Fri Jun 10 21:46:52 2016 TLS Error: TLS object -> incoming plaintext read error
Fri Jun 10 21:46:52 2016 TLS Error: TLS handshake failed
Fri Jun 10 21:46:52 2016 Fatal TLS error (check_tls_errors_co), restarting
Fri Jun 10 21:46:52 2016 SIGUSR1[soft,tls-error] received, process restarting

petrovich3245
() автор топика
Ответ на: комментарий от petrovich3245

Как уже выше писал dexpl проблема явно в одном:

Fri Jun 10 21:46:52 2016 TLS_ERROR: BIO read tls_read_plaintext error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure

Что вы сделали не так, честно говоря я хз. Сливаюсь. Может знатоки микротика подтянуться, не нулевая вероятность что вы совсем не ca.crt выложили или не в том формате.

anc ★★★★★
()

У меня эта проблема вылезла, после того как обновился openvpn-клиент в федоре. Теперь не могу к серверам на микротиках подключаться. А вот к старому серверу на линуксе вполне ок. Буду разбираться.

v0mqfish ★★★
()

Короче говоря проблема решилась добавлением в клиентский конфиг такой строки: 

tls-cipher DEFAULT

v0mqfish ★★★
()
Ответ на: комментарий от v0mqfish

Пробовал я 

tls-cipher DEFAULT
и 
tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA
Мне не помогло. Проблема решилась повторной генерацией сертификатов. Теперь возникла другая проблема: После отключения клиента от сервера, примерно минут через 5-7 в логе микротика вылазит 
packet with wrong KeyID 1, expected 2, dropping
packet with wrong KeyID 1, expected 3, dropping
packet with wrong KeyID 1, expected 4, dropping
packet with wrong KeyID 1, expected 5, dropping
И подключиться уже не получается. В логе клиента 
Wed Jun 15 12:57:44 2016 OpenVPN 2.3.2 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1 2014
Wed Jun 15 12:57:44 2016 WARNING: file 'auth.cfg' is group or others accessible
Wed Jun 15 12:57:44 2016 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Jun 15 12:57:44 2016 Socket Buffers: R=[87380->131072] S=[16384->131072]
Wed Jun 15 12:57:44 2016 Attempting to establish TCP connection with [AF_INET]ip:1194 [nonblock]
Wed Jun 15 12:57:45 2016 TCP: connect to [AF_INET]ip:1194 failed, will try again in 5 seconds: Connection refused
Wed Jun 15 12:57:48 2016 SIGINT[hard,init_instance] received, process exiting
Чтобы подключиться приходится перезапускать OpenVPN сервер. После отключения клиента - ситуация повторяется.

petrovich3245
() автор топика
Ответ на: комментарий от petrovich3245

Проблема решилась повторной генерацией сертификатов.

Вам об этом в самом начале и говорили а вы не слушали.

anc ★★★★★
()
24 марта 2018 г.

Перепробовал предложенные способы, но помогло только обновление микротика с 6.38.1 до 6.41.3

alek_a
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Проброс траффика из win12
Admin
Перезагрузка, если не найден корень?