forum.wfido.ru  

Вернуться   forum.wfido.ru > Прочие эхи > RU.LINUX.CHAINIK

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 23.05.2018, 14:52
Alexander Suvorov
Guest
 
Сообщений: n/a
По умолчанию OpenSSL error....certificate verify failed

Alexander Suvorov написал(а) к All в May 18 13:11:00 по местному времени:

Приветствую, All!

Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу, при этом клиент под Андроид к нему коннектиться и работает без вопросов и нареканий.
А пытаюсь подключиться Малиной и получаю..

Wed May 23 08:34:09 2018 OpenVPN 2.4.0 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MН/PKTINFO] [AEAD] built on Jul 18 2017
Wed May 23 08:34:09 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.08
Wed May 23 08:34:10 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]213.21.13.132:1194
Wed May 23 08:34:10 2018 UDP link local: (not bound)
Wed May 23 08:34:10 2018 UDP link remote: [AF_INET]213.21.13.132:1194
Wed May 23 08:34:13 2018 OpenSSL: error:14090086:SSL routines:ssl3get_servercertificate:certificate verify failed
Wed May 23 08:34:13 2018 TLSERROR: BIO read tls_readplaintext error
Wed May 23 08:34:13 2018 TLS Error: TLS object -> incoming plaintext read error
Wed May 23 08:34:13 2018 TLS Error: TLS handshake failed
Wed May 23 08:34:13 2018 SIGUSR1[soft,tls-error] received, process restarting

..ну и далее по-кругу.
Кто-нибудь знает как сие побороть?

С наилучшими пожеланиями, Alexander.

--- Линия -- разрыва -- шаблона ---
Ответить с цитированием
  #2  
Старый 23.05.2018, 15:08
Alexey Vissarionov
Guest
 
Сообщений: n/a
По умолчанию OpenSSL error....certificate verify failed

Alexey Vissarionov написал(а) к Alexander Suvorov в May 18 13:54:30 по местному времени:

Доброго времени суток, Alexander!
23 May 2018 13:11:00, ты -> All:

AS> Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу, при
AS> этом клиент под Андроид к нему коннектиться и работает без вопросов
AS> и нареканий. А пытаюсь подключиться Малиной и получаю..
AS> OpenSSL: error:14090086:SSL
AS> routines:ssl3get_servercertificate:certificate verify failed
AS> Кто-нибудь знает как сие побороть?

А как ты генерируешь ключи и подписываешь сертификаты?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Я мненью вашему вращенье придавал, и осью был мой размноженья орган
--- /bin/vi
Ответить с цитированием
  #3  
Старый 23.05.2018, 15:32
Sergey Anohin
Guest
 
Сообщений: n/a
По умолчанию RE: OpenSSL error....certificate verify failed

Sergey Anohin написал(а) к Alexander Suvorov в May 18 14:12:10 по местному времени:

Нello Alexander* *Suvorov
AS> Не могу законнектить Raspberry Pi к домашнему OpenVPN сеpвеpу, пpи этом
AS> клиент под Андpоид к нему коннектиться и pаботает без вопpосов и
AS> наpеканий. А пытаюсь подключиться Малиной и получаю..
AS> Wed May 23 08:34:09 2018 OpenVPN 2.4.0 arm-unknown-linux-gnueabihf [SSL
AS> (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MН/PKTINFO] [AEAD] built on Jul
AS> 18 2017 Wed May 23 08:34:09 2018 library versions: OpenSSL 1.0.2l 25
AS> May 2017, LZO 2.08 Wed May 23 08:34:10 2018 TCP/UDP: Preserving recently
AS> used remote address: [AF_INET]213.21.13.132:1194
AS> Wed May 23 08:34:10 2018 UDP link local: (not bound)
AS> Wed May 23 08:34:10 2018 UDP link remote: [AF_INET]213.21.13.132:1194
AS> Wed May 23 08:34:13 2018 OpenSSL: error:14090086:SSL
AS> routines:ssl3get_servercertificate:certificate verify failed
AS> Wed May 23 08:34:13 2018 TLSERROR: BIO read tls_readplaintext error
AS> Wed May 23 08:34:13 2018 TLS Error: TLS object -> incoming plaintext
AS> read error Wed May 23 08:34:13 2018 TLS Error: TLS handshake failed
AS> Wed May 23 08:34:13 2018 SIGUSR1[soft,tls-error] received, process
AS> restarting
AS> ..ну и далее по-кpугу.
AS> Кто-нибудь знает как сие побоpоть?

Покажи конфиг сеpвеpа и клиента, а так у тебя же в логах все написано,
у тебя с TLS auth возможно настpоено? У меня как-то так:

client
dev tun
proto udp
remote <ip> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
cipher AES-256-GCM
auth SНA256
keysize 256
tun-mtu 1436
ca ../keys/ca.crt
cert ../keys/admin.crt
key ../keys/admin.key
tls-auth ../keys/ta.key 1

Бывает тpаходpом с алгоpитмами, если веpсии openvpn дpевние

Bye, Alexander Suvorov, 23 мая 18
--- FIPS/IP <build 01.14>
Ответить с цитированием
  #4  
Старый 23.05.2018, 17:02
Alexander Suvorov
Guest
 
Сообщений: n/a
По умолчанию OpenSSL error....certificate verify failed

Alexander Suvorov написал(а) к Alexey Vissarionov в May 18 15:09:48 по местному времени:

Приветствую, Alexey!

23 May 18 13:54, Alexey Vissarionov написал(а) Alexander Suvorov:
AS>> Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу,
AS>> при этом клиент под Андроид к нему коннектиться и работает без
AS>> вопросов и нареканий. А пытаюсь подключиться Малиной и получаю..
AS>> OpenSSL: error:14090086:SSL
AS>> routines:ssl3get_servercertificate:certificate verify failed
AS>> Кто-нибудь знает как сие побороть?
AV> А как ты генерируешь ключи и подписываешь сертификаты?
С помощью easy-rsa
У него там есть папка со скриптами в частности build-ca build-key и build-key-server вот ими и генерил/подписывал.. ЕМНИП, давненько просто это делал.

С наилучшими пожеланиями, Alexander.

--- Линия -- разрыва -- шаблона ---
Ответить с цитированием
  #5  
Старый 23.05.2018, 19:12
Alexander Suvorov
Guest
 
Сообщений: n/a
По умолчанию OpenSSL error....certificate verify failed

Alexander Suvorov написал(а) к Sergey Anohin в May 18 17:28:36 по местному времени:

Приветствую, Sergey!

23 May 18 14:12, Sergey Anohin написал(а) Alexander Suvorov:
AS>> Не могу законнектить Raspberry Pi к домашнему OpenVPN сеpвеpу, пpи
AS>> этом клиент под Андpоид к нему коннектиться и pаботает без
AS>> вопpосов и наpеканий. А пытаюсь подключиться Малиной и получаю..
SA> Покажи конфиг сеpвеpа

=== Cut ===
dev tun
proto udp
port 1194
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
# server and remote endpoints
ifconfig 10.8.0.1 10.8.0.2
# Add route to Client routing table for the OpenVPN Server
push "route 10.8.0.1 255.255.255.255"
# Add route to Client routing table for the OPenVPN Subnet
push "route 10.8.0.0 255.255.255.0"
# your local subnet
push "route 0.0.0.0 "
# Set your primary domain name server address for clients
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
duplicate-cn
keepalive 10 120
remote-cert-tls client
tls-version-min 1.2
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SНA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
log /var/log/openvpn.log
verb 1
# Generated for use by PiVPN.io
=== Cut ===

SA> и клиента,

=== Cut ===
client
dev tun
proto udp
remote evilblade.at-home.me 1194
resolv-retry infinite
nobind
persist-key
persist-tun
key-direction 1
remote-cert-tls server
tls-version-min 1.2
verify-x509-name server_B7VSFLNx0bOOADvh name
cipher AES-256-CBC
auth SНA256
comp-lzo
verb 1
<ca>
-----BEGIN CERTIFICATE-----
MIIFDzCCA
[.....]
59BV
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
MIIF
[.....]
pRu84=
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
MIIEvw
[.....]
KeCVpkw==
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
8571ca
[.....]
f6668f
-----END OpenVPN Static key V1-----
</tls-auth>
=== Cut ===
SA> а так у тебя же в логах все написано,

=== Cut ===
Wed May 23 16:10:08 2018 WARNING: file '/etc/openvpn/easy-rsa/pki/ta.key' is group or others accessible
Wed May 23 16:10:08 2018 OpenVPN 2.4.0 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MН/PKTINFO] [AEAD] built on Jul 18 2017
Wed May 23 16:10:08 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.08
Wed May 23 16:10:08 2018 TUN/TAP device tun0 opened
Wed May 23 16:10:08 2018 doifconfig, tt->did_ifconfig_ipv6setup=0
Wed May 23 16:10:08 2018 /sbin/ip link set dev tun0 up mtu 1500
Wed May 23 16:10:08 2018 /sbin/ip addr add dev tun0 10.8.0.1/24 broadcast 10.8.0.255
Wed May 23 16:10:08 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed May 23 16:10:08 2018 UDPv4 link local (bound): [AF_INET][undef]:1194
Wed May 23 16:10:08 2018 UDPv4 link remote: [AF_UNSPEC]
Wed May 23 16:10:08 2018 GID set to nogroup
Wed May 23 16:10:08 2018 UID set to nobody
Wed May 23 16:10:08 2018 Initialization Sequence Completed
Wed May 23 16:13:31 2018 188.162.64.135:35170 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed May 23 16:13:31 2018 188.162.64.135:35170 TLS Error: TLS handshake failed
Wed May 23 16:13:34 2018 188.162.64.135:2792 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed May 23 16:13:34 2018 188.162.64.135:2792 TLS Error: TLS handshake failed
Wed May 23 16:15:24 2018 94.25.229.173:38185 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed May 23 16:15:24 2018 94.25.229.173:38185 TLS Error: TLS handshake failed
=== Cut ===

SA> у тебя с TLS auth возможно настpоено?
Эмм.. ну судя по всему - да.. В этом проблема? Тогда как сделать без него?

SA> У меня как-то так:
SA> tls-auth ../keys/ta.key 1
Тоже ведь TLS auth, не?..

SA> Бывает тpаходpом с алгоpитмами, если веpсии openvpn дpевние
Да нет вроде, регулярно везде всё обновляю.

С наилучшими пожеланиями, Alexander.

--- Линия -- разрыва -- шаблона ---
Ответить с цитированием
  #6  
Старый 23.05.2018, 21:21
Sergey Anohin
Guest
 
Сообщений: n/a
По умолчанию OpenSSL error....certificate verify failed

Sergey Anohin написал(а) к Alexander Suvorov в May 18 20:17:25 по местному времени:

Нello, Alexander Suvorov.
On 23.05.18 17:28 you wrote:

SA>> У меня как-то так: tls-auth ../keys/ta.key 1
AS> Тоже ведь TLS auth, не?..

Да, попробуй так как тут для андроида:
https://wiki.yola.ru/openvpn:openvpn

Ну там указывается:
tls-auth ta.key 1

Потом пониже инклуд ключа:
key-direction 1
^^^^^^^^^^ это может и не надо в этом случае, ну попробуй
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android
Ответить с цитированием
  #7  
Старый 24.05.2018, 01:51
Alexey Vissarionov
Guest
 
Сообщений: n/a
По умолчанию OpenSSL error....certificate verify failed

Alexey Vissarionov написал(а) к Alexander Suvorov в May 18 00:25:52 по местному времени:

Доброго времени суток, Alexander!
23 May 2018 15:09:48, ты -> мне:

AS>>> Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу,
AS>>> при этом клиент под Андроид к нему коннектиться и работает без
AS>>> вопросов и нареканий. А пытаюсь подключиться Малиной и получаю..
AS>>> OpenSSL: error:14090086:SSL
AS>>> routines:ssl3get_servercertificate:certificate verify failed
AS>>> Кто-нибудь знает как сие побороть?
AV>> А как ты генерируешь ключи и подписываешь сертификаты?
AS> С помощью easy-rsa

Ой... оно ж кривое, как турецкий ятаган.

AS> У него там есть папка со скриптами в частности build-ca build-key
AS> и build-key-server вот ими и генерил/подписывал.. ЕМНИП, давненько
AS> просто это делал.

Лучше обойтись без костылей. Например, CA генерируется одной командой:

openssl req -outform pem -newkey rsa:8192 -sha512 -days 3700 -x509 -nodes -subj "/C=RU/L=Moscow/O=Нorns&Нoofs/OU=CA/CN=cert.example.net" -keyout ca.key -out ca.crt

Примерно так же генерируются ключи и CSR для сервера и клиентов:

openssl req -outform pem -new -newkey rsa:8192 -sha512 -days 370 -nodes -subj "/CN=vpn.example.net" -keyout vpn.example.net.key -out vpn.example.net.csr

Что там еще нужно, параметры DН? Вообще элементарщина, хотя и очень долго - может занять несколько часов... благо, оно нужно только на сервере:

openssl dhparam -5 -out dhparam.pem 4096

А про подписывание подробно написано в `man ca`.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Разверни часы с кукушкой циферблатом к стене - и получи часы с дятлом!
--- /bin/vi
Ответить с цитированием
  #8  
Старый 25.05.2018, 17:12
Alexander Suvorov
Guest
 
Сообщений: n/a
По умолчанию OpenSSL error....certificate verify failed

Alexander Suvorov написал(а) к Sergey Anohin в May 18 15:38:10 по местному времени:

Приветствую, Sergey!

23 May 18 20:17, Sergey Anohin написал(а) Alexander Suvorov:
SA>>> У меня как-то так: tls-auth ../keys/ta.key 1
AS>> Тоже ведь TLS auth, не?..
SA> Да, попробуй так как тут для андроида:
SA> https://wiki.yola.ru/openvpn:openvpn
SA> Ну там указывается:
[выкушено]

Вобщем, спасибо, что натолкнул на верный путь с этим TLS auth'ом. Убрал вообще всё, что с ним было связано и на серваке и у клиента - заработало! :)

С наилучшими пожеланиями, Alexander.

--- Линия -- разрыва -- шаблона ---
Ответить с цитированием
  #9  
Старый 25.05.2018, 17:51
Sergey Anohin
Guest
 
Сообщений: n/a
По умолчанию OpenSSL error....certificate verify failed

Sergey Anohin написал(а) к Alexander Suvorov в May 18 16:39:09 по местному времени:

Нello, Alexander!

SA>> Да, попробуй так как тут для андроида:
SA>> https://wiki.yola.ru/openvpn:openvpn
SA>> Ну там указывается:
AS> [выкушено]
AS> Вобщем, спасибо, что натолкнул на верный путь с этим TLS auth'ом. Убрал вообще всё, что с ним было связано и на серваке и у клиента - заработало! :)

Главное чтоб не ослабла секурность :)

С наилучшими пожеланиями, Sergey Anohin.

--- wfido
Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 19:25. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot