LINUX.ORG.RU
решено ФорумSecurity

openvpn не признает сертификат

 ,


0

1

Не могу соединиться к серверу. Вчера ещё все работало. Сегодня, судя по всему, не нравится сертификат. Я в этих сертификатах ничерта не понимаю, какой ему сертификат не нравится - у меня или там на сервере?

sudo openvpn --config vpngate_123.4.567.89_udp_1985.ovpn 
2023-03-18 12:24:31 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2023-03-18 12:24:31 OpenVPN 2.5.6 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Mar 18 2023
2023-03-18 12:24:31 library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
2023-03-18 12:24:31 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-03-18 12:24:31 TCP/UDP: Preserving recently used remote address: [AF_INET]126.4.567.89:1985
2023-03-18 12:24:31 Socket Buffers: R=[212992->212992] S=[212992->212992]
2023-03-18 12:24:31 UDP link local: (not bound)
2023-03-18 12:24:31 UDP link remote: [AF_INET]123.4.567.89:1985
2023-03-18 12:24:32 TLS: Initial packet from [AF_INET]123.4.567.89:1985, sid=180b824f c3e57c5f
2023-03-18 12:24:32 VERIFY OK: depth=2, C=US, O=Internet Security Research Group, CN=ISRG Root X1
2023-03-18 12:24:32 VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=R3
2023-03-18 12:24:32 VERIFY ERROR: depth=0, error=certificate has expired: CN=opengw.net, serial=270090734479764202226505740823661288419396
2023-03-18 12:24:32 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-03-18 12:24:32 TLS_ERROR: BIO read tls_read_plaintext error
2023-03-18 12:24:32 TLS Error: TLS object -> incoming plaintext read error
2023-03-18 12:24:32 TLS Error: TLS handshake failed
2023-03-18 12:24:32 SIGUSR1[soft,tls-error] received, process restarting
2023-03-18 12:24:32 Restart pause, 5 second(s)
2023-03-18 12:24:37 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-03-18 12:24:37 TCP/UDP: Preserving recently used remote address: [AF_INET]123.4.567.89:1985
2023-03-18 12:24:37 Socket Buffers: R=[212992->212992] S=[212992->212992]
2023-03-18 12:24:37 UDP link local: (not bound)
2023-03-18 12:24:37 UDP link remote: [AF_INET]123.4.567.89:1985
2023-03-18 12:24:37 TLS: Initial packet from [AF_INET]123.4.567.89:1985, sid=7302b28a 32827f9f
2023-03-18 12:24:37 VERIFY OK: depth=2, C=US, O=Internet Security Research Group, CN=ISRG Root X1
2023-03-18 12:24:37 VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=R3
2023-03-18 12:24:37 VERIFY ERROR: depth=0, error=certificate has expired: CN=opengw.net, serial=270090734479764202226505740823661288419396
2023-03-18 12:24:37 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-03-18 12:24:37 TLS_ERROR: BIO read tls_read_plaintext error
2023-03-18 12:24:37 TLS Error: TLS object -> incoming plaintext read error
2023-03-18 12:24:37 TLS Error: TLS handshake failed
2023-03-18 12:24:37 SIGUSR1[soft,tls-error] received, process restarting
2023-03-18 12:24:37 Restart pause, 5 second(s)

На всякий случай пересобрал openvpn - ничего не дало.

Что с этим делать?

P.S.

пробовал соединяться к разным серверам - ошибка одна и та же

★★★

Последнее исправление: Chord (всего исправлений: 2)

Что с этим делать?

Учить английский, учиться читать логи.

Есть такой сайт: https://translate.yandex.ru/
В приведённом логе написано совершенно конкретно в одной из строчек, что именно случилось. Прямо дословно.

На всякий случай пересобрал openvpn - ничего не дало.

Это сильно. Вместо того, чтобы просто прочитать написанное. :-)

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
29 октября 2023 г.
Ответ на: комментарий от Chord

Здравствуйте! Можете пожалуйста объяснить как вы решили данную проблему…

Я кретин видимо, но столкнувшись с такой же проблемой и таким же логом не вкурил что делать.

Tomohyeah
()
Ответ на: комментарий от Tomohyeah

Насколько я помню, добавил в параметры командной строки 

--data-ciphers AES-128-CBC

Просто не помню что именно, но было две проблемы с openvpn, одна решилась указанием data-ciphers, другая решилась сама собой через пару дней - возможно сервер обновил сертификаты и всё заработало.

Chord ★★★
() автор топика
Последнее исправление: Chord (всего исправлений: 2)
Ответ на: комментарий от Chord

Насколько я помню, добавил в параметры командной строки

--data-ciphers AES-128-CBC

А как и куда это добавить? Не понял… Чат гпт рекомендовал это внести в сам конфиг, ставил, ничего не менялось. :с

И что это за сертификаты вообще? Я вот пытаюсь подключиться к общедоступным сервакам на vpngate, для подключения к ним нужно найти ещё отдельно и сертификаты какие-то?

Tomohyeah
()
Ответ на: комментарий от Tomohyeah

А как и куда это добавить?

В командную строку openvpn. Команда в консольке:

sudo  openvpn --data-ciphers AES-128-CBC --config <config_name>.ovpn

Я вот пытаюсь подключиться к общедоступным сервакам на vpngate

У меня vpngate вообще не открывается. Попробуй поискать другие сервера. Может с них заработает

Chord ★★★
() автор топика
Security