LINUX.ORG.RU
ФорумAdmin

Создание ключей и сертификатов в Easy-rsa 3.0.3 для OpenVPN

 ,


1

1

Приветствую.

Решил поставить сервер OpenVPN, нашел хороший мануал:

https://1cloud.ru/help/linux/kak-ustanovit-i-nastroit-openvpn-na-centos7.
На «Шаг #3: Создание ключей и сертификатов» все хорошо описано, но там описание для Easy-rsa 2.x версии, а у меня поставилась Easy-rsa 3.0.3 - там все иначе. Подскажите пожалуйста, как сделать все то, что описано в мануале «Шаг #3: Создание ключей и сертификатов», но только для 3.0.3. Нашел мануал https://community.openvpn.net/openvpn/wiki/EasyRSA3-OpenVPN-Howto но нифига не могу понять, какие шаги и как нужно сделать.

Выполнит только первые две команды:

./easyrsa init-pki
./easyrsa build-ca

Произвел следующие действия:

# cd /etc/openvpn/easy-rsa/
# ./easyrsa init-pki
# ./easyrsa build-ca
Enter PEM pass phrase: 123123
Verifying - Enter PEM pass phrase: 123123
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:example.com

CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/etc/openvpn/easy-rsa/pki/ca.crt


# ./easyrsa gen-req server nopass
.........................................................................................................+++
..........+++
writing new private key to '/etc/openvpn/easy-rsa/pki/private/server.key.rMogsAm6WH'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [server]:example.com

Keypair and certificate request completed. Your files are:
req: /etc/openvpn/easy-rsa/pki/reqs/server.req
key: /etc/openvpn/easy-rsa/pki/private/server.key


#openvpn --genkey --secret /etc/openvpn/easy-rsa/pki/ta.key


# ./easyrsa gen-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time




# mv /etc/openvpn/easy-rsa/pki/dh.pem /etc/openvpn/easy-rsa/pki/dh2048.pem 
# cp /etc/openvpn/easy-rsa/pki/dh2048.pem /etc/openvpn/   --> переименовать в dh2048.pem
# cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/
# cp /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/
# cp /etc/openvpn/easy-rsa/pki/ta.key /etc/openvpn/

не пойму, как сгенерировать server.crt и какая команда заменяет ./build-key client в Easy-rsa 2?

Все ли я делаю правильно?

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

Для сервера:

1. Создали CA.

./easyrsa init-pki
./easyrsa build-ca

2. Создали ключ и сигн-реквест для server0. Получили server0.key и server0.req.

./easyrsa init-pki
./easyrsa gen-req server0 nopass

3. Подписали сигн-реквест для server0. Получили server0.crt

./easyrsa sign-req server server0

Для клиента возможны 2 варианта (первый предпочтительнее):

1. На клиентской машине:

./easyrsa init-pki
./easyrsa gen-req client0 nopass
Переносим .req файл на машину с нашим CA, импортируем, подписываем, отсылаем .crt обратно клиенту
./easyrsa import-req /path/to/received.req client0
./easyrsa sign-req client client0

2. Делаем все на машине CA и пересылаем .key и .crt клиенту.

./easyrsa gen-req client0
./easyrsa sign-req client client0
Клиент снимает пароль с полученного ключа
openssl rsa -in [file1.key] -out [file2.key]

vwvol
()
Ответ на: комментарий от vwvol

Да, спасибо, уже разобрался.

Но правда после генерации ключей и сертификатов и установки подключения на клиенте - не подключается: https://ibb.co/h5B0Ob

на стороне сервера все включено, порт 1194 открыт, чего может не хватать ему?

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

Конфиг клиентского подключения:

client
dev tun
proto udp
remote xx.xxx.xx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
ca ca.crt
cert alex-it.crt
key alex-it.key
iptables на стороне сервера

# Generated by iptables-save v1.4.21 on Sun Jan 28 03:26:44 2018
*nat
:PREROUTING ACCEPT [1:434]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Jan 28 03:26:44 2018
# Generated by iptables-save v1.4.21 on Sun Jan 28 03:26:44 2018
*filter
:INPUT DROP [797:47716]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [20475:2590041]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 27173 -j ACCEPT
COMMIT
# Completed on Sun Jan 28 03:26:44 2018

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

Выложи конфиги клиента и сервера и логи подключения с обеих сторон.

rumgot ★★★★★
()
Ответ на: комментарий от stranger-ru

Ip видно. Если ты этого не хочешь, лучше закрась.

rumgot ★★★★★
()
Ответ на: комментарий от anc

добавил:

# Generated by iptables-save v1.4.21 on Sun Jan 28 03:26:44 2018
*nat
:PREROUTING ACCEPT [1:434]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Jan 28 03:26:44 2018
# Generated by iptables-save v1.4.21 on Sun Jan 28 03:26:44 2018
*filter
:INPUT DROP [797:47716]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [20475:2590041]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 27173,1194 -j ACCEPT
COMMIT
# Completed on Sun Jan 28 03:26:44 2018
к сожалению ничего не изменилось

stranger-ru
() автор топика
Ответ на: комментарий от anc

изменил:

-A INPUT -p tcp -m multiport --dports 27173 -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT
не изменилось ничего ((

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

Опа, может вы еще и правила не загружаете.

# Completed on Sun Jan 28 03:26:44 2018

Показывайте выхлоп команды iptables-save а не сохраненного файлика

anc ★★★★★
()
Ответ на: комментарий от anc
# iptables-save
# Generated by iptables-save v1.4.21 on Mon Jan 29 11:10:05 2018
*filter
:INPUT DROP [9:754]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [194:28792]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 27173 -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
COMMIT
# Completed on Mon Jan 29 11:10:05 2018
# Generated by iptables-save v1.4.21 on Mon Jan 29 11:10:05 2018
*nat
:PREROUTING ACCEPT [11:838]
:INPUT ACCEPT [2:84]
:OUTPUT ACCEPT [5:468]
:POSTROUTING ACCEPT [5:468]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jan 29 11:10:05 2018
stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

Ну вот так с «первой частью балета» (fw) разобрались.
Остались конфиги и логи. Как сервера так и клиента.

anc ★★★★★
()
Ответ на: комментарий от anc

лог /etc/openvpn/openvpn-status.log пусто!

где то еще есть логи на сервере? В /var/log, никакого openvpn.log нет.

На клиенте лог сессии:

Mon Jan 29 11:06:51 2018 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Mon Jan 29 11:06:51 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Mon Jan 29 11:06:51 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Mon Jan 29 11:06:51 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25341
Mon Jan 29 11:06:51 2018 Need hold release from management interface, waiting...
Mon Jan 29 11:06:51 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25341
Mon Jan 29 11:06:51 2018 MANAGEMENT: CMD 'state on'
Mon Jan 29 11:06:51 2018 MANAGEMENT: CMD 'log all on'
Mon Jan 29 11:06:51 2018 MANAGEMENT: CMD 'echo all on'
Mon Jan 29 11:06:51 2018 MANAGEMENT: CMD 'hold off'
Mon Jan 29 11:06:51 2018 MANAGEMENT: CMD 'hold release'
Mon Jan 29 11:06:51 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jan 29 11:06:53 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]89.223.24.147:1194
Mon Jan 29 11:06:53 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Jan 29 11:06:53 2018 UDP link local: (not bound)
Mon Jan 29 11:06:53 2018 UDP link remote: [AF_INET]89.223.24.147:1194
Mon Jan 29 11:06:53 2018 MANAGEMENT: >STATE:1517213213,WAIT,,,,,,
Mon Jan 29 11:07:00 2018 SIGTERM[hard,] received, process exiting
Mon Jan 29 11:07:00 2018 MANAGEMENT: >STATE:1517213220,EXITING,SIGTERM,,,,,
и вот на последней строке зависает на минуту и далее:
Mon Jan 29 11:08:01 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Jan 29 11:08:01 2018 TLS Error: TLS handshake failed

версия клиента OpenVPN GUI: v 11.8.0.0 - графический интерфейс (под винду) версия сервера: OpenVPN 2.4.4 (на centos7)

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

еще заметил такую штуку. Стартую сервер openvpn:

systemctl start openvpn@server.service
тут же смотрю статус:
systemctl status openvpn@server.service
active (running)

проходит минута. проверяю еще раз статус:

● openvpn@server.service - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Mon 2018-01-29 11:40:52 MSK; 54s ago
  Process: 4391 ExecStart=/usr/sbin/openvpn --cd /etc/openvpn/ --config %i.conf (code=exited, status=1/FAILURE)
 Main PID: 4391 (code=exited, status=1/FAILURE)
   Status: "Pre-connection initialization successful"

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

но даже когда active (running) ничего не меняется, с клиента не подключается с одними и теми же логами.

stranger-ru
() автор топика
Ответ на: комментарий от Radjah

Добавь sudo, чтобы в статусе кусок лога был.

я из под root

stranger-ru
() автор топика
Ответ на: комментарий от Radjah

Добавь sudo, чтобы в статусе кусок лога был.

вот полный лог статуса:


● openvpn@server.service - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Mon 2018-01-29 11:40:52 MSK; 8min ago
  Process: 4391 ExecStart=/usr/sbin/openvpn --cd /etc/openvpn/ --config %i.conf (code=exited, status=1/FAILURE)
 Main PID: 4391 (code=exited, status=1/FAILURE)
   Status: "Pre-connection initialization successful"

Jan 29 11:39:22 168805.simplecloud.ru openvpn[4391]: Mon Jan 29 11:39:22 2018 OpenVPN 2.4.4 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL ... 26 2017
Jan 29 11:39:22 168805.simplecloud.ru openvpn[4391]: Mon Jan 29 11:39:22 2018 library versions: OpenSSL 1.0.2k-fips  26 Jan 2017, LZO 2.06
Jan 29 11:39:22 168805.simplecloud.ru openvpn[4391]: Mon Jan 29 11:39:22 2018 Diffie-Hellman initialized with 2048 bit key
Jan 29 11:39:22 168805.simplecloud.ru systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.
Jan 29 11:40:52 168805.simplecloud.ru openvpn[4391]: Timed out
Jan 29 11:40:52 168805.simplecloud.ru systemd[1]: openvpn@server.service: main process exited, code=exited, status=1/FAILURE
Jan 29 11:40:52 168805.simplecloud.ru openvpn[4391]: Mon Jan 29 11:40:52 2018 ERROR: Failed retrieving username or password
Jan 29 11:40:52 168805.simplecloud.ru openvpn[4391]: Mon Jan 29 11:40:52 2018 Exiting due to fatal error
Jan 29 11:40:52 168805.simplecloud.ru systemd[1]: Unit openvpn@server.service entered failed state.
Jan 29 11:40:52 168805.simplecloud.ru systemd[1]: openvpn@server.service failed.
Hint: Some lines were ellipsized, use -l to show in full.

stranger-ru
() автор топика
Ответ на: комментарий от anc

Конфиги будут?

вот /etc/openvpn/server.conf:

;local a.b.c.d

port 1194

;proto tcp
proto udp

;dev tap
dev tun

;dev-node MyTap

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret

dh dh2048.pem

;topology subnet

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

;server-bridge

;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

;client-config-dir ccd
;route 192.168.40.128 255.255.255.248

;client-config-dir ccd
;route 10.9.0.0 255.255.255.252

;learn-address ./script


push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"


;client-to-client


;duplicate-cn


keepalive 10 120


tls-auth ta.key 0 # This file is secret


cipher AES-256-CBC

;push "compress lz4-v2"

;comp-lzo


user nobody
group nobody


persist-key
persist-tun


status openvpn-status.log


;log         openvpn.log
;log-append  openvpn.log


verb 3


;mute 20


explicit-exit-notify 1

stranger-ru
() автор топика
Ответ на: комментарий от anc
# openvpn --config /etc/openvpn/server.conf
Mon Jan 29 12:02:52 2018 OpenVPN 2.4.4 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 26 2017
Mon Jan 29 12:02:52 2018 library versions: OpenSSL 1.0.2k-fips  26 Jan 2017, LZO 2.06
Mon Jan 29 12:02:52 2018 Diffie-Hellman initialized with 2048 bit key
Enter Private Key Password: ********
Mon Jan 29 12:02:56 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Jan 29 12:02:56 2018 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jan 29 12:02:56 2018 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jan 29 12:02:56 2018 ROUTE_GATEWAY 89.223.24.1/255.255.248.0 IFACE=eth0 HWADDR=52:54:00:01:33:71
Mon Jan 29 12:02:56 2018 TUN/TAP device tun0 opened
Mon Jan 29 12:02:56 2018 TUN/TAP TX queue length set to 100
Mon Jan 29 12:02:56 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Mon Jan 29 12:02:56 2018 /sbin/ip link set dev tun0 up mtu 1500
Mon Jan 29 12:02:56 2018 /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Mon Jan 29 12:02:56 2018 /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
Mon Jan 29 12:02:56 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Jan 29 12:02:56 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Mon Jan 29 12:02:56 2018 UDPv4 link local (bound): [AF_INET][undef]:1194
Mon Jan 29 12:02:56 2018 UDPv4 link remote: [AF_UNSPEC]
Mon Jan 29 12:02:56 2018 GID set to nobody
Mon Jan 29 12:02:56 2018 UID set to nobody
Mon Jan 29 12:02:56 2018 MULTI: multi_init called, r=256 v=256
Mon Jan 29 12:02:56 2018 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Mon Jan 29 12:02:56 2018 IFCONFIG POOL LIST
Mon Jan 29 12:02:56 2018 Initialization Sequence Completed
stranger-ru
() автор топика
Ответ на: комментарий от Radjah

Кто пароль вводить будет для ключа?

да, кстати прописал в конфиге:

log-append openvpn.log
после запуска сессии подключения с клиента в этот лог на сервере пишется:
Mon Jan 29 12:20:07 2018 Diffie-Hellman initialized with 2048 bit key
Timed out
Mon Jan 29 12:21:38 2018 ERROR: Failed retrieving username or password
Mon Jan 29 12:21:38 2018 Exiting due to fatal error

Только не понятно, в какой момент этот пароль нужно вводить. В момент подключения пароль не требует. Я сделал клиентский ключ без пароля.

В момент запуска OpenVPN у меня сейчас вот что происходит, набираю:


[root@168805 openvpn]# systemctl start openvpn@server.service
[root@168805 openvpn]#
Broadcast message from root@168805.simplecloud.ru (Mon 2018-01-29 12:29:06 MSK):

Password entry required for 'Enter Private Key Password:' (PID 4520).
Please enter password with the systemd-tty-ask-password-agent tool!
далее пытаюсь ввести пароль, но он у меня не паролем а символами пишет и далее при Enter:
-bash: djflk: command not found
т.е. неверное работает ввод пароля, не пойму почему.

stranger-ru
() автор топика
Ответ на: комментарий от rumgot

Не соглашусь. Зачастую при первичной отладке, удобнее видеть что сразу пишет в консоль. Реально удобнее, что бы понимать почему тебя послали, чем отдельно таилить логи и демонов перезапускать.
Это не только к ovpn относиться. А если добавлять всякие --debug так вообще вкуснотеево.

anc ★★★★★
()
Ответ на: комментарий от anc

Как пароль то ввести при запуске сервера openvpn? )))

Запускаю:

[root@168805 openvpn]# systemctl start openvpn@server.service
[root@168805 openvpn]#
Broadcast message from root@168805.simplecloud.ru (Mon 2018-01-29 12:29:06 MSK):

Password entry required for 'Enter Private Key Password:' (PID 4520).
Please enter password with the systemd-tty-ask-password-agent tool!
далее пытаюсь ввести пароль, но он у меня не паролем а символами пишет и далее при Enter:
-bash: djflk: command not found
не верно работает ввод пароля, не пойму почему.

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

Перегенерите все сначала и без паролей. Честно говоря, за долгие годы, для серверных мне в голову не приходило задавать пароли. Только для клиентов делаю, по необходимости.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

он при старте видимо требует пароль от ca.crt, который создается командой:

./easyrsa build-ca
а там ввода пароля насколько понимаю обязателен, или тоже nopass?

stranger-ru
() автор топика

Чувак, возьми уже SoftEther.

thesis ★★★★★
()
Ответ на: комментарий от stranger-ru

Пароль на ca.crt можно убрать openssl'ом, статей полно.

berrywizard ★★★★★
()
Ответ на: комментарий от stranger-ru

Сертификаты (ca.crt - это сертификат) паролем не защищаются, паролем защижается приватный ключ. Ты видимо сгенерировал ключ клиента с паролем. Заново сгенерируй ключ и сертификат клиента. Можно конечно из ключа защищенного паролем получить ключ без пароля, но проще перегенерируй.

rumgot ★★★★★
()
Ответ на: комментарий от anc

Просто новичкам лучше сразу обьяснять итоговую конфигурацию, а то они и так путаются.

rumgot ★★★★★
()
Ответ на: комментарий от rumgot

Сертификаты (ca.crt - это сертификат) паролем не защищаются, паролем защижается приватный ключ. Ты видимо сгенерировал ключ клиента с паролем. Заново сгенерируй ключ и сертификат клиента. Можно конечно из ключа защищенного паролем получить ключ без пароля, но проще перегенерируй.

нет, на клиента точно генерировал без пароля, с указанием ключа nopass и при генерации пароль не запращивал, а вот именно на этой команде:

./easyrsa build-ca
был запрос пароля.

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

На этой команде ты защитил паролем приватный ключ(ca.key если не ошибаюсь) своего цетра сертификации (ca). Этот пароль у тебя запрашивался, когда ты подписывал сертификат клиента данным ключем(ca.key) после его генерирования.

rumgot ★★★★★
()
Последнее исправление: rumgot (всего исправлений: 2)
Ответ на: комментарий от stranger-ru

Пробуй сгенерировать сериификат и ключ клиента заново. Когда запросит пароль, просто нажми enter.

rumgot ★★★★★
()
Ответ на: комментарий от rumgot

все перегенерил заного.

Предыдущая проблема ушла, но появилась новая )).

В логах клиента ничего не изменилось, валится на том же этапе подключения с теми же локами.

В логе сервера:


[root@168805 openvpn]# cat openvpn.log
Mon Jan 29 16:14:45 2018 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]95.30.4.181:11767
Mon Jan 29 16:14:48 2018 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]95.30.4.181:11767
Mon Jan 29 16:14:51 2018 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]95.30.4.181:11767
Mon Jan 29 16:15:00 2018 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]95.30.4.181:11767
Mon Jan 29 16:15:15 2018 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]95.30.4.181:11767

stranger-ru
() автор топика
Ответ на: комментарий от anc

Еще когда в конфиг клиента добавляю:tls-auth то вообще валится в самом самом начале с предупреждением «Не удалось подключиться к ла ла ла»

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

Еще возможно не совпадают параметры шифрования на клиенте и сервере. Попробуй вот что: и на клиенте и на сервере в конфиге добавь параметры(если у тебя уже есть параметры с такими именами - удали их):

tls-server
# !!! в конфиге клиента будет строка:
# tls-client
tls-auth keys-server/ta.key 0
# !!! в конфиге клиента будет строка:
# tls-auth keys-server/ta.key 1
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
cipher AES-256-CBC
auth SHA512
Пути к ключам подставь свои.

rumgot ★★★★★
()
Последнее исправление: rumgot (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.