Toon posts:

[OpenVPN] Werkt niet, certificaat error

Pagina: 1
Acties:

zaterdag 8 december 2018 13:40

Acties:
  • 0 Henk 'm!
  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 23:45

c-nan

Topicstarter
Ik heb op een CentOS 7 server OpenVPN geinstalleerd, ik maak gebruik van self-signed certificaten.

Een aantal checks:
code:
1
2
3
4
5

[user@openvpn openvpn]$ sudo openssl verify -CAfile ca.crt  server.crt
server.crt: OK
[user@openvpn openvpn]$ sudo openssl verify -CAfile ca.crt  client-user.crt
client-user.crt: OK
[user@openvpn openvpn]$


Mijn server.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

[user@openvpn openvpn]$ sudo cat /etc/openvpn/server.conf |grep -v '^;\|^#\|^$'
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-crypt myvpn.tlsauth
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 5
explicit-exit-notify 1
remote-cert-eku "TLS Web Client Authentication"
[user@openvpn openvpn]$


Mijn Windows 10 configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

client
tls-client
ca "C:\\Users\\polat\\OpenVPN\\config\\ca.crt"
cert "C:\\Users\\polat\\OpenVPN\\config\\client-user.crt"
key "C:\\Users\\polat\\OpenVPN\\config\\client-user.key"
tls-crypt "C:\\Users\\polat\\OpenVPN\\config\\myvpn.tlsauth"
remote-cert-eku "TLS Web Client Authentication"
proto udp
remote <openvpn server> 1194 udp
dev tun
topology subnet
pull
user nobody
group nobody


Server log:
code:
1
2
3
4
5
6
7
8
9

Dec  8 13:36:37 openvpn openvpn: Sat Dec  8 13:36:37 2018 us=606586 MULTI: multi_create_instance called
Dec  8 13:36:37 openvpn openvpn: Sat Dec  8 13:36:37 2018 us=607330 83.84.27.x:1194 Re-using SSL/TLS context
Dec  8 13:36:37 openvpn openvpn: Sat Dec  8 13:36:37 2018 us=607504 83.84.27.x:1194 Control Channel MTU parms [ L:1621 D:1156 EF:94 EB:0 ET:0 EL:3 ]
Dec  8 13:36:37 openvpn openvpn: Sat Dec  8 13:36:37 2018 us=607528 83.84.27.X:1194 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ]
Dec  8 13:36:37 openvpn openvpn: Sat Dec  8 13:36:37 2018 us=607577 83.84.27.X:1194 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Dec  8 13:36:37 openvpn openvpn: Sat Dec  8 13:36:37 2018 us=607595 83.84.27.X:1194 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Dec  8 13:36:37 openvpn openvpn: RSat Dec  8 13:36:37 2018 us=607707 83.84.27.X:1194 TLS: Initial packet from [AF_INET]83.84.27.x:1194, sid=f6c4a4a3 46cf3dc9
Dec  8 13:36:42 openvpn openvpn: WRRWWWWRWRRWWRSat Dec  8 13:36:42 2018 us=665568 83.84.27.X:1194 TLS: new session incoming connection from [AF_INET]83.84.27.x:1194
Dec  8 13:36:47 openvpn openvpn: WRRWWWWRWRRWWWWRSat Dec  8 13:36:47 2018 us=718079 83.84.27.X:1194 TLS: new session incoming connection from [AF_INET]83.84.27.x:1194


Windows client log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

Sat Dec 08 13:36:39 2018 NOTE: --user option is not implemented on Windows
Sat Dec 08 13:36:39 2018 NOTE: --group option is not implemented on Windows
Sat Dec 08 13:36:39 2018 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Sat Dec 08 13:36:39 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Sat Dec 08 13:36:39 2018 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Enter Management Password:
Sat Dec 08 13:36:39 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]85.17.X.X:1194
Sat Dec 08 13:36:39 2018 UDP link local (bound): [AF_INET][undef]:1194
Sat Dec 08 13:36:39 2018 UDP link remote: [AF_INET]85.17.x.x:1194
Sat Dec 08 13:36:40 2018 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Sat Dec 08 13:36:40 2018 TLS_ERROR: BIO read tls_read_plaintext error
Sat Dec 08 13:36:40 2018 TLS Error: TLS object -> incoming plaintext read error
Sat Dec 08 13:36:40 2018 TLS Error: TLS handshake failed
Sat Dec 08 13:36:40 2018 SIGUSR1[soft,tls-error] received, process restarting
Sat Dec 08 13:36:45 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]85.17.x.x:1194
Sat Dec 08 13:36:45 2018 UDP link local (bound): [AF_INET][undef]:1194
Sat Dec 08 13:36:45 2018 UDP link remote: [AF_INET]85.17.x.x:1194
Sat Dec 08 13:36:45 2018 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Sat Dec 08 13:36:45 2018 TLS_ERROR: BIO read tls_read_plaintext error
Sat Dec 08 13:36:45 2018 TLS Error: TLS object -> incoming plaintext read error
Sat Dec 08 13:36:45 2018 TLS Error: TLS handshake failed
Sat Dec 08 13:36:45 2018 SIGUSR1[soft,tls-error] received, process restarting


De client zegt duidelijk in de logs het volgende:
code:
1

OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
maar volgens mij klopt de certificaat gewoon, dus wat kan er nog meer verkeerd/fout zijn?

EU DNS: 86.54.11.100

zaterdag 8 december 2018 17:27

Acties:
  • +1 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 22:01

CAPSLOCK2000

zie teletekst pagina 888

In je client config staat:
remote-cert-eku "TLS Web Client Authentication"

Moet dat niet
remote-cert-eku "TLS Web Server Authentication"

zijn?

This post is warranted for the full amount you paid me for it.

maandag 10 december 2018 08:46

Acties:
  • 0 Henk 'm!
  • init6
  • Registratie: Mei 2012
  • Niet online

init6

Je zal als cliënt een ca certificate moeten gebruiken, je gebruikt selfsigned certificaten en die worden gevalideerd door certificate authorities. Gezien je nu dat valideren zelf moet doen zal je de cliënt zo'n ca cert moeten geven.

maandag 10 december 2018 22:07

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 29-09 08:07

Thralas

CAPSLOCK2000 schreef op zaterdag 8 december 2018 @ 17:27:
In je client config staat:
remote-cert-eku "TLS Web Client Authentication"

Moet dat niet
remote-cert-eku "TLS Web Server Authentication"

zijn?
:Y

remote-cert-tls server is daar een duidelijke shorthand voor

woensdag 19 december 2018 19:49

Acties:
  • 0 Henk 'm!
  • Zjemm
  • Registratie: Februari 2001
  • Laatst online: 23:32

Zjemm

...

misschien ook leuk om eens naar wireguard te kijken als alternatief :)

opensecure.nl

woensdag 19 december 2018 19:53

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 18:53

pennywiser

init6 schreef op maandag 10 december 2018 @ 08:46:
Je zal als cliënt een ca certificate moeten gebruiken, je gebruikt selfsigned certificaten en die worden gevalideerd door certificate authorities. Gezien je nu dat valideren zelf moet doen zal je de cliënt zo'n ca cert moeten geven.
Echt niet. Ik gebruik al jaren Openvpn en genereer gewoon zelf certs. Dit moet gewoon werken.

donderdag 20 december 2018 16:33

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 22:01

CAPSLOCK2000

zie teletekst pagina 888

Ik volg het niet, hij heeft toch een CA-certificate op de client?
ca "C:\\Users\\polat\\OpenVPN\\config\\ca.crt"
Ik weet niet hoeveel zin het nog heeft om hier over verder te praten aangezien de TS niks meer van zich laat horen.

This post is warranted for the full amount you paid me for it.

donderdag 20 december 2018 18:04

Acties:
  • 0 Henk 'm!
  • BoAC
  • Registratie: Februari 2003
  • Laatst online: 21:07

BoAC

Memento mori

@Polat06 kijk hier eens rond. Heb je een PKI opgezet?
https://wiki.gentoo.org/w...sing_the_easy-rsa_Scripts

donderdag 20 december 2018 18:07

Acties:
  • +1 Henk 'm!
  • SenZatioN
  • Registratie: Juli 2001
  • Laatst online: 08-02 13:54

SenZatioN

Improvise...

CA cert wel aanwezig in de correcte certificate store op de client aangezien die de chain niet kan valideren?

My software never has bugs, it just develops random features...

donderdag 20 december 2018 20:45

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 29-09 08:07

Thralas

CAPSLOCK2000 schreef op donderdag 20 december 2018 @ 16:33:
Ik weet niet hoeveel zin het nog heeft om hier over verder te praten aangezien de TS niks meer van zich laat horen.
Geen. Bovendien zijn er nu al 3 verkeerde suggesties gedaan ná het juiste anwoord.

Ja TS heeft een PKI (zie config), nee OpenVPN doet niets met een system CA store. @CAPSLOCK2000 gaf het juiste anwoord al.

@Polat06 Werkt het al?

[ Voor 7% gewijzigd door Thralas op 20-12-2018 20:46 ]

vrijdag 21 december 2018 11:19

Acties:
  • 0 Henk 'm!
  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 23:45

c-nan

Topicstarter
Bedankt allen voor de reacties, nee niet werkend gekregen.

@CAPSLOCK2000 Ook dat was niet de oplossing.

Heb de boel nu anders ingericht, nog steeds OpenVPN, maar geen certificaten. Kan later posten hoe ik het opgelost heb.

Nieuwe client config waarmee het werkt:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

client
proto udp
ca "C:\\Users\\polat\\OpenVPN\\config\\ca.crt"
cert "C:\\Users\\polat\\OpenVPN\\config\\client.crt"
key "C:\\Users\\polat\\OpenVPN\\config\\client.key"
remote <openvpn server>
port 1194
dev tun
nobind
persist-key
persist-tun
resolv-retry infinite
remote-cert-tls server
cipher AES-256-CBC
route-metric 1
redirect-gateway def1


Eventueel kan ik ook de server (gewijzigde) server configu posten.

[ Voor 51% gewijzigd door c-nan op 21-12-2018 15:00 ]

EU DNS: 86.54.11.100

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq