LINUX.ORG.RU

OpenVPN без easy-rsa

 ,


0

1

Пытаюсь установить OpenVPN сервер без использования скриптов easy-rsa. Потому что у меня уже есть CA-сертификат, и я хочу использовать именно его, а не отдельный сгенерированный скриптами.
Нагенерировал сертификат сервера, клиентские сертификаты, все прописал, запускаю подключение с клиента. Он мне вот что выдает:

Fri Jun 24 16:31:37 2016 VERIFY OK: depth=1, C=RU, ST=XXX, L=XXX, O=XXX, CN=Certificate Authority, emailAddress=xxx@xxx.ru
Fri Jun 24 16:31:37 2016 Certificate does not have key usage extension
Fri Jun 24 16:31:37 2016 VERIFY KU ERROR
Fri Jun 24 16:31:37 2016 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Fri Jun 24 16:31:37 2016 TLS_ERROR: BIO read tls_read_plaintext error
Fri Jun 24 16:31:37 2016 TLS Error: TLS object -> incoming plaintext read error
Fri Jun 24 16:31:37 2016 TLS Error: TLS handshake failed
Fri Jun 24 16:31:37 2016 SIGUSR1[soft,tls-error] received, process restarting
Fri Jun 24 16:31:37 2016 Restart pause, 2 second(s)
Fri Jun 24 16:31:39 2016 WARNING: file 'vpn.work.p12' is group or others accessible
Fri Jun 24 16:31:39 2016 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Jun 24 16:31:39 2016 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 24 16:31:39 2016 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 24 16:31:39 2016 Socket Buffers: R=[212992->212992] S=[212992->212992]
Fri Jun 24 16:31:39 2016 UDPv4 link local (bound): [undef]
Fri Jun 24 16:31:39 2016 UDPv4 link remote: [AF_INET]<ip_сервера>:<порт>
Fri Jun 24 16:31:39 2016 TLS Error: Unroutable control packet received from [AF_INET]<ip_сервера>:<порт> (si=3 op=P_CONTROL_V1)
Fri Jun 24 16:31:39 2016 TLS Error: Unroutable control packet received from [AF_INET]<ip_сервера>:<порт> (si=3 op=P_ACK_V1)
Fri Jun 24 16:31:40 2016 TLS Error: Unroutable control packet received from [AF_INET]<ip_сервера>:<порт> (si=3 op=P_CONTROL_V1)
Это часть лога. Я так понял, ему не нравится мой CA-сертификат, он ищет и не находит в нем какое-то расширение, о котором я не имею понятия. Можно ли OpenVPN заставить проигнорировать поиск этого расширения? Потому что я не собираюсь из-за него перегенерировать свой CA-сертификат, который меня всем устраивает. И мне очень не хотелось бы использовать скрипты easy-rsa.

★★★★★

Ответ на: комментарий от Rinaldus

К сожалению из твоего лога сказать сложно. Посмотри внутрь каждого, там будет написано для каких целей он подходит - и если цели не соответсвуют использованию - то это он.

zgen ★★★★★
()

Генерил все сертификаты openssl, потому что не люблю мокрые письки от школьников. Серверному сертификату нужны extendedKeyUsage в serverAuth, nsCertType в server (зависит от версии openvpn). Это сделано, чтобы предотвратить MITM от других клиентов VPN, впрочем, проверку можно отключить в конфиге клиента.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.