OpenVPN y Windows Vista problemas con Certificados



  • Hola Buenas Tardes…. tengo funcional una VPN usando OpenVPN, y con dos Cliente con Xp y todo camina bien... el problema sucede cuando quiero conectar otro cliente OpenVPN con una Lapto que tiene Windows Vista, cuando intento conectar se genera un error, segun, en los certificados. segui los mismos pasos que hice en el Equipo con Xp pero no funciona. tambien probe las dos ultimas versiones 2.0.9 y 2.1.1 pero nada...

    soy muy cuidadoso al tipiar los datos para generar las llaves y certificados en cliente. no se que sera.. voy a pegar un post del error mas tarde..

    ah busque mucho en inetrnet y enconter que puede ser la version del OpenVPN pero no es, ya instale la ultima. que Corra el OpenVPN como Administrador y ya lo hice.  ya de verdad estoy que doy format al equipo eh instalo XP. que no es lo que quiero.-

    Gracias por su Ayuda...........



  • estos son los errores que salen…

    VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=XX/ST=xxxxxx/L=xxxxxx/O=xxxxxx/CN=xxxxxxx.xxx/emailAddress=xxxxxxxxxxxxxxxxxxxx
    Mon Mar 29 20:29:39 2010 us=562000 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Mon Mar 29 20:29:39 2010 us=562000 TLS Error: TLS object -> incoming plaintext read error
    Mon Mar 29 20:29:39 2010 us=562000 TLS Error: TLS handshake failed
    Mon Mar 29 20:29:39 2010 us=562000 Fatal TLS error (check_tls_errors_co), restarting

    Las x estan los datos personales



  • podrias postear lz config de el archivo .ovpn que usas para conectarte? recuerda no postear informacion delicada



  • float
    port 1194
    dev tun
    dev-node TAP
    proto tcp-client
    remote xxxxx.xxx.xx 1194
    ping 10
    persist-tun
    persist-key
    tls-client
    ca ca.crt
    cert client.crt
    key client.key
    ns-cert-type server
    comp-lzo
    pull
    verb 4



  • algo mas extraño es que copio los certificados y llaves del equipo que esta funcionando y los pego en mi config del equipo en vista y me funciona, eso me hizo pensar que cualquier persona que pueda robar mis certificados y llaves se conecta facilmente con OpenVPN

    entonces que tan seguro es?



  • :) hola..

    1. es bueno que para cada equipo que quieras agregar a tu vpn crees llaves diferentes, es decir para que puedas tener control de la seguridad de tus usuarios vpn es importante que cada usuario tenga sus llaves o certificados, he hecho pruebas de varios usuarios usando la misma llave y pueden ingresar a la red , pero no se puede de manera simultanea, solo uno a la vez.

    2. por lo anterior cuando te roben un certificado tu puedes deshabilitarlo y asi no permites la entrada del usuario que usa tu certificado de seguridad

    3. hasta los momentos he hecho pruebas del openvpn en xp, vista y seven, en ninguno de los casos he tenido problemas, te recomiendo revisar la instalacion del openvpn en tu equipo que falla como primer paso



  • eso me hizo pensar que cualquier persona que pueda robar mis certificados y llaves se conecta facilmente con OpenVPN.

    Sí, claro. Esto es así en cualquier conexión basada en certificado y llave de cliente. Pero como te han dicho, los certificados pueden revocarse. Por eso en el lado servidor de OpenVPN hay una casilla para pegar los revoques.

    Emplea la última versión de pfSense y la del cliente OpenVPN, http://openvpn.net/index.php/open-source/downloads.html

    La configuración de cliente que tengo funcionando es:

    client
    dev tun
    proto tcp
    remote XXX.XXX.XXX.XXX 1194
    ping 10
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca primera_vpn.crt
    cert usuario.crt
    key usuario.key
    pull
    verb 3
    comp-lzo
    

    Hay que pensar que una conexión OpenVPN da acceso a toda la LAN. Si se quiere gestionar el acceso por redes hay que ir a [Interfaces] [assign] y añadir la/s interfase/s [tun0]. Hecho esto hay que habilitar la nueva OPT, cambiar el nombre si se desea y, sobretodo, poner como IP none. Terminados estos pasos tendremos la nueva interfase en [Rules] como cualquier otra. De esta manera podremos decidir qué tráfico puede ir de nuestra VPN a nuestra LAN u otras redes que tengamos.

    Si tenemos varias redes habrá que poner en [Custom Options] del servidor OpenVPN las rutas a enviar al cliente… push "route 192.168.2.0 255.255.255.0";push "route 192.168.3.0 255.255.255.0"



  • Como anteriormente te dicen deberias usar un certificado distinto paracada uno de tus clientes lo estas haciendo asi??

    En el caso de tu archivo .ovpn prueba eliminando esta linea tls-client y desabilita solo temporalmente la casilla comp-lzo y lo eliminas tambien del archivo .ovpn prueba y nos cuentas.

    Si lo que te preocupa es que alguien con acceso a tu equipo pueda robar tus certificados podrias encriptar la carpeta que los contiene nunca lo he probado pero es una posibilidad.



  • Gracias a todos por su aporte, gracias. logré solventar el problema con su ayuda. actualic la version del pfsense y los clientes VPN en windows. cree los certificados de nuevo y todo funcionó de manera correcta. gracias  de nuevo. y tambien use la configuracion del ovpn cliente del sr. bellera . gracias de nuevo a todos..saludos…muy amable. :D



  • puedes enseñar como hacer funcionar el open vpn en windows 7 ¿



  • Lamento informarte que no he probado openvpn en win…7. de todas maneras te recomiendo que tanto el pfsense como el open vpn sean las ultimas versiones.y tener en cuenta que las llaves deben crearse con permisos de administrador.

    y crear las llaves en un equipo con win...7, cada usuario debe tener una llave propia.



  • @johnnatan:

    algo mas extraño es que copio los certificados y llaves del equipo que esta funcionando y los pego en mi config del equipo en vista y me funciona, eso me hizo pensar que cualquier persona que pueda robar mis certificados y llaves se conecta facilmente con OpenVPN

    entonces que tan seguro es?

    Es comprensible tu preocupación, como así también es cierto que si tenés un certificado por cada persona que se conecta, tenés la posibilidad de revocar ese certificado para que no pueda conectarse más.

    Esta preocupación también la tengo yo, pero adicionalmente al tema de la revocación del certificado, estoy luchando hace varios meses para poder integrar la autenticación de ldap (contra mi dominio) adicionalmente al certificado. Es decir, un doble seguro, contar con el certificado de servidor y de la persona para la conexión y adicionalmente tener un usuario y password para validar al mismo.

    Tengo varios post realizando consultas sobre este tema pero al día de hoy no he tenido respuestas que me permitan terminar de configurar el escenario descripto.

    Por supuesto, que este escenario solo serviría para aquellas personas que cuenten con un usuario dentro de mi dominio y para todas aquellas que no, te exigiría que también le crees un usuario, pero este tema es para otro topic :)

    salu2



  • Una cosa es entrar en una red (cableada, WiFi o virtual) y la otra es formar parte de una serie de servicios (LDAP, Active Directory…)



  • Estimado Bellera, cierto es lo que dice, son dos cosas diferentes.

    Pero aun así, es un doble reaseguro, primero la de los certificados y luego la autenticación. Capaz mi redacción genera confusión, pero mi idea no es que con el authenticate de user/pass contra mi dominio automáticamente utilice todos los servicios de mi AD (para eso esta la vpn), sino mas bien, asegurarme que por mas que tenga el certificado y el mismo no este revocado, si tengo controlado a los usuarios contra el AD (situación que tengo mas controlada que los certificados) puede (adicionalmente a revocar el certificado), deshabilitar el usuario en el AD, por lo cual cualquiera de los dos métodos me permite seguir controlando quien ingresa y quien no.

    Aprovecho para consultarte, Usted ya pudo realizar autentícate contra LDAP en openvpn?

    Salu2


Log in to reply