Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Аутентификация OpenVPN по доменным уч.записям.

    Scheduled Pinned Locked Moved Russian
    14 Posts 3 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Guf-Rolex-X @pigbrother
      last edited by

      @pigbrother при подключении с локальной учетной записью все в порядке, второй сервер OpenVPN настраивал идентично, только в пункте Remote Access Server выбрал учетные записи из AD, в остальном все так же, почему не хочет подключаться не понятно.

      P 1 Reply Last reply Reply Quote 0
      • P
        pigbrother @Guf-Rolex-X
        last edited by

        @Guf-Rolex-X said in Аутентификация OpenVPN по доменным уч.записям.:

        OpenVPN настраивал идентично, только в пункте Remote Access Server выбрал учетные записи из AD,

        Эта ошибка возникает на этапе начала "рукопожатия" клиент->сервер, до какой либо аутентификации еще далеко.
        Посмотрите логи сервера, скорее всего никаких попыток подключения не увидите.
        Отключите от клиента интернет и с вероятностью 99,9% процента в логе клиента после 60 секунд ожидания будет:

        TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
        TLS Error: TLS handshake failed

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          @Guf-Rolex-X
          Либо TLS key не задан в конф-ции клиента. Или не задан обмен этим ключом там же.

          P 1 Reply Last reply Reply Quote 0
          • P
            pigbrother @werter
            last edited by pigbrother

            @werter said in Аутентификация OpenVPN по доменным уч.записям.:

            @Guf-Rolex-X
            Либо TLS key не задан в конф-ции клиента. Или не задан обмен этим ключом там же.

            В этом случае а логах сервера обычно идет идет ругань на тему HMAC.

            @pigbrother said in Аутентификация OpenVPN по доменным уч.записям.:

            Посмотрите логи сервера

            Это явно не было сделано.

            @pigbrother said in Аутентификация OpenVPN по доменным уч.записям.:

            причин для этого множество.

            Посыл был - аутентификация явно не при чем, в конфигурации сервера\клиента явно ошибка(и) и искать их - задача ТС.

            1 Reply Last reply Reply Quote 0
            • G
              Guf-Rolex-X
              last edited by Guf-Rolex-X

              здравствуйте! спасибо что отозвались, попробовал сменить режиме сервера (для теста) выбрал Remote acces (User Auth) в данном режиме сразу стала срабатывать аутентификация по доменным уч.записям, в случае с локальной базой выбран режим Remote acces (SSL/TLS+User Auth), если изменить на такой же режим то в журнале клиента: TCP/UDP: Incoming packet rejected from [AF_INET]IP:1194[2], expected peer address: [AF_INET]IP:1195 (allow this incoming source address/port by removing --remote or adding --float) откуда берется порт 1194 не пойму?, я же подключаюсь по порту 1195 так как указал его при настройке второго сервера, что бы был отличный от дефолтного, правило на порт 1195 на WAN интерфейсе имеется, из логов с pf:
              Mar 31 13:13:49 openvpn 46282 178.44.153.124:1194 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=Region, L=Gorod, O=Organizacion, emailAddress=mail.ru, CN=192.168.50.6
              Mar 31 13:13:49 openvpn 46282 178.44.153.124:1194 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
              Mar 31 13:13:49 openvpn 46282 178.44.153.124:1194 TLS_ERROR: BIO read tls_read_plaintext error
              Mar 31 13:13:49 openvpn 46282 178.44.153.124:1194 TLS Error: TLS object -> incoming plaintext read error
              Mar 31 13:13:49 openvpn 46282 178.44.153.124:1194 TLS Error: TLS handshake failed
              в статусе OpenVPN то же отображает подключение по порту 1194 а не 1195, что за?

              P 1 Reply Last reply Reply Quote 0
              • P
                pigbrother @Guf-Rolex-X
                last edited by pigbrother

                @Guf-Rolex-X said in Аутентификация OpenVPN по доменным уч.записям.:

                в статусе OpenVPN то же отображает подключение по порту 1194 а не 1195, что за?

                Не знаю, почему так.
                Реально используемые настройки сервера(клиента) удобно посмотреть тут:
                /var/etc/openvpn/serverX.conf (clientX.conf)
                Можно прямо из
                Diagnostics->Edit File

                У вас, похоже, еще и и ошибка с назначением сертификатов:

                @Guf-Rolex-X said in Аутентификация OpenVPN по доменным уч.записям.:

                VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=Region, L=Gorod, O=Organizacion, emailAddress=mail.ru, CN=192.168.50.6

                Для чего в качестве CN вы используете IP?

                G 2 Replies Last reply Reply Quote 0
                • G
                  Guf-Rolex-X @pigbrother
                  last edited by

                  @pigbrother вот и я не понимаю как так получается что указан порт один а подключается на другой, в настройках сервера server2.conf если посмотреть то указан lport 1195, пробовал менять на другие порты безрезультатно, попробовал сменить в настройках сервера с UDP на TCP, проверил доступность порта telnet-ом, порт открыт, пробую подключиться:
                  Wed Apr 01 13:04:51 2020 Attempting to establish TCP connection with [AF_INET]IP:1195 [nonblock]
                  Wed Apr 01 13:04:52 2020 TCP connection established with [AF_INET]IP:1195
                  Wed Apr 01 13:04:52 2020 TCP_CLIENT link local: (not bound)
                  Wed Apr 01 13:04:52 2020 TCP_CLIENT link remote: [AF_INET]IP:1195
                  Wed Apr 01 13:04:52 2020 Connection reset, restarting [0]
                  и постоянный рестарт, как попал IP-адрес в CN не знаю, по идее там должно быть имя, но думаю это не критично так как там что угодно можно написать, в сертификате реально сменить CN или только заново пересоздавать сертификат?

                  P 1 Reply Last reply Reply Quote 0
                  • P
                    pigbrother @Guf-Rolex-X
                    last edited by

                    @Guf-Rolex-X said in Аутентификация OpenVPN по доменным уч.записям.:

                    в сертификате реально сменить CN или только заново пересоздавать сертификат?

                    Заново издать.

                    1 Reply Last reply Reply Quote 0
                    • G
                      Guf-Rolex-X @pigbrother
                      last edited by Guf-Rolex-X

                      @pigbrother подскажите с чем может быть связана "ошибка с назначением сертификата", переиздал заново все сертификаты: CA сертификат, Серверный сертификат, Клиентский сертификат, CN указывал имя как с пробелом так и через дефис, все равно в логах ошибки
                      VERIFY ERROR: depth=0, error=unsupported certificate purpose
                      OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
                      TLS_ERROR: BIO read tls_read_plaintext error
                      TLS Error: TLS object -> incoming plaintext read error
                      TLS handshake failed
                      принципиально что бы совпадало имя pf и имя CN?

                      P 1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother @Guf-Rolex-X
                        last edited by

                        @Guf-Rolex-X said in Аутентификация OpenVPN по доменным уч.записям.:

                        принципиально что бы совпадало имя pf и имя CN?

                        Нет, не принципиально.

                        С подобными ошибками не встречался.

                        1 Reply Last reply Reply Quote 0
                        • G
                          Guf-Rolex-X
                          last edited by Guf-Rolex-X

                          доброго дня! разобрался, когда создавал второй сервер OpenVPN с другой подсетью и портом то в пункте Server certificate указывал этот же сертификат сервера т.е тот же который указан в первом сервер OpenVPN отсюда ошибка:
                          TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
                          TLS Error: TLS handshake failed

                          • скачивал конфигурацию для клиента с сертификатом сервера а не клиента, издал новый сертификат сервера и клиента и все заработало, что касается ошибки:
                            TCP/UDP: Incoming packet rejected from [AF_INET]IP:1194[2], expected peer address: [AF_INET]IP:1195 (allow this incoming source address/port by removing --remote or adding --float)
                            то в конфигурации клиента последней строчкой указал параметр "float", в общем сейчас подключаюсь по доменным уч.записям без проблем, всем спасибо за помощь.
                          1 Reply Last reply Reply Quote 0
                          • G
                            Guf-Rolex-X
                            last edited by

                            This post is deleted!
                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.