OpenVPN y Windows Vista problemas con Certificados
-
estos son los errores que salen…
VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=XX/ST=xxxxxx/L=xxxxxx/O=xxxxxx/CN=xxxxxxx.xxx/emailAddress=xxxxxxxxxxxxxxxxxxxx
Mon Mar 29 20:29:39 2010 us=562000 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Mar 29 20:29:39 2010 us=562000 TLS Error: TLS object -> incoming plaintext read error
Mon Mar 29 20:29:39 2010 us=562000 TLS Error: TLS handshake failed
Mon Mar 29 20:29:39 2010 us=562000 Fatal TLS error (check_tls_errors_co), restartingLas x estan los datos personales
-
podrias postear lz config de el archivo .ovpn que usas para conectarte? recuerda no postear informacion delicada
-
float
port 1194
dev tun
dev-node TAP
proto tcp-client
remote xxxxx.xxx.xx 1194
ping 10
persist-tun
persist-key
tls-client
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
pull
verb 4 -
algo mas extraño es que copio los certificados y llaves del equipo que esta funcionando y los pego en mi config del equipo en vista y me funciona, eso me hizo pensar que cualquier persona que pueda robar mis certificados y llaves se conecta facilmente con OpenVPN
entonces que tan seguro es?
-
:) hola..
1. es bueno que para cada equipo que quieras agregar a tu vpn crees llaves diferentes, es decir para que puedas tener control de la seguridad de tus usuarios vpn es importante que cada usuario tenga sus llaves o certificados, he hecho pruebas de varios usuarios usando la misma llave y pueden ingresar a la red , pero no se puede de manera simultanea, solo uno a la vez.
2. por lo anterior cuando te roben un certificado tu puedes deshabilitarlo y asi no permites la entrada del usuario que usa tu certificado de seguridad
3. hasta los momentos he hecho pruebas del openvpn en xp, vista y seven, en ninguno de los casos he tenido problemas, te recomiendo revisar la instalacion del openvpn en tu equipo que falla como primer paso
-
eso me hizo pensar que cualquier persona que pueda robar mis certificados y llaves se conecta facilmente con OpenVPN.
Sí, claro. Esto es así en cualquier conexión basada en certificado y llave de cliente. Pero como te han dicho, los certificados pueden revocarse. Por eso en el lado servidor de OpenVPN hay una casilla para pegar los revoques.
Emplea la última versión de pfSense y la del cliente OpenVPN, http://openvpn.net/index.php/open-source/downloads.html
La configuración de cliente que tengo funcionando es:
client dev tun proto tcp remote XXX.XXX.XXX.XXX 1194 ping 10 resolv-retry infinite nobind persist-key persist-tun ca primera_vpn.crt cert usuario.crt key usuario.key pull verb 3 comp-lzoHay que pensar que una conexión OpenVPN da acceso a toda la LAN. Si se quiere gestionar el acceso por redes hay que ir a [Interfaces] [assign] y añadir la/s interfase/s [tun0]. Hecho esto hay que habilitar la nueva OPT, cambiar el nombre si se desea y, sobretodo, poner como IP none. Terminados estos pasos tendremos la nueva interfase en [Rules] como cualquier otra. De esta manera podremos decidir qué tráfico puede ir de nuestra VPN a nuestra LAN u otras redes que tengamos.
Si tenemos varias redes habrá que poner en [Custom Options] del servidor OpenVPN las rutas a enviar al cliente… push "route 192.168.2.0 255.255.255.0";push "route 192.168.3.0 255.255.255.0"
-
Como anteriormente te dicen deberias usar un certificado distinto paracada uno de tus clientes lo estas haciendo asi??
En el caso de tu archivo .ovpn prueba eliminando esta linea tls-client y desabilita solo temporalmente la casilla comp-lzo y lo eliminas tambien del archivo .ovpn prueba y nos cuentas.
Si lo que te preocupa es que alguien con acceso a tu equipo pueda robar tus certificados podrias encriptar la carpeta que los contiene nunca lo he probado pero es una posibilidad.
-
Gracias a todos por su aporte, gracias. logré solventar el problema con su ayuda. actualic la version del pfsense y los clientes VPN en windows. cree los certificados de nuevo y todo funcionó de manera correcta. gracias de nuevo. y tambien use la configuracion del ovpn cliente del sr. bellera . gracias de nuevo a todos..saludos…muy amable. :D
-
puedes enseñar como hacer funcionar el open vpn en windows 7 ¿
-
Lamento informarte que no he probado openvpn en win…7. de todas maneras te recomiendo que tanto el pfsense como el open vpn sean las ultimas versiones.y tener en cuenta que las llaves deben crearse con permisos de administrador.
y crear las llaves en un equipo con win...7, cada usuario debe tener una llave propia.
-
algo mas extraño es que copio los certificados y llaves del equipo que esta funcionando y los pego en mi config del equipo en vista y me funciona, eso me hizo pensar que cualquier persona que pueda robar mis certificados y llaves se conecta facilmente con OpenVPN
entonces que tan seguro es?
Es comprensible tu preocupación, como así también es cierto que si tenés un certificado por cada persona que se conecta, tenés la posibilidad de revocar ese certificado para que no pueda conectarse más.
Esta preocupación también la tengo yo, pero adicionalmente al tema de la revocación del certificado, estoy luchando hace varios meses para poder integrar la autenticación de ldap (contra mi dominio) adicionalmente al certificado. Es decir, un doble seguro, contar con el certificado de servidor y de la persona para la conexión y adicionalmente tener un usuario y password para validar al mismo.
Tengo varios post realizando consultas sobre este tema pero al día de hoy no he tenido respuestas que me permitan terminar de configurar el escenario descripto.
Por supuesto, que este escenario solo serviría para aquellas personas que cuenten con un usuario dentro de mi dominio y para todas aquellas que no, te exigiría que también le crees un usuario, pero este tema es para otro topic :)
salu2
-
Una cosa es entrar en una red (cableada, WiFi o virtual) y la otra es formar parte de una serie de servicios (LDAP, Active Directory…)
-
Estimado Bellera, cierto es lo que dice, son dos cosas diferentes.
Pero aun así, es un doble reaseguro, primero la de los certificados y luego la autenticación. Capaz mi redacción genera confusión, pero mi idea no es que con el authenticate de user/pass contra mi dominio automáticamente utilice todos los servicios de mi AD (para eso esta la vpn), sino mas bien, asegurarme que por mas que tenga el certificado y el mismo no este revocado, si tengo controlado a los usuarios contra el AD (situación que tengo mas controlada que los certificados) puede (adicionalmente a revocar el certificado), deshabilitar el usuario en el AD, por lo cual cualquiera de los dos métodos me permite seguir controlando quien ingresa y quien no.
Aprovecho para consultarte, Usted ya pudo realizar autentícate contra LDAP en openvpn?
Salu2
