PfSense 2.2 OpenVPN Remove Access



  • Доброго времени суток, мучаюсь с проблемой VPN приличное время, но всё по порядку.
    Дано:
    pfSense 2.2.4 спрятанный за  1 шлюзом с пробросом некоторых портов на на pfSense 2.2.4
    Интернет –-> Шлюз ---> pfSense 2.2.4
    Настройки openvpn сервера

    Настройки экспорта клиента

    Где 85.*** внешний ip адрес шлюза (не  pfSense 2.2.4)
    Все сертификат были сделаны по данному ролику http://www.youtube.com/watch?v=VdAHVSTl1ys (Так же было всё по нему настроено, но всё равно получил такую же ошибку)
    Клиент Win 7 x86 OpenVPN GUI v7

    Журнал подключения
    Sun Sep 13 22:09:03 2015 OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 4 2015
    Sun Sep 13 22:09:03 2015 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
    Enter Management Password:
    Sun Sep 13 22:09:14 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Sun Sep 13 22:09:15 2015 Attempting to establish TCP connection with [AF_INET]85.143.105.114:3400 [nonblock]
    Sun Sep 13 22:09:16 2015 TCP connection established with [AF_INET]85.143.105.114:3400
    Sun Sep 13 22:09:16 2015 TCPv4_CLIENT link local (bound): [undef]
    Sun Sep 13 22:09:16 2015 TCPv4_CLIENT link remote: [AF_INET]85.143.105.114:3400
    Sun Sep 13 22:09:16 2015 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
    Sun Sep 13 22:09:16 2015 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=Mocsoc, L=Moscow, O=MISIS, emailAddress=spamsavant@yandex.ru, CN=VPN
    Sun Sep 13 22:09:16 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Sun Sep 13 22:09:16 2015 TLS Error: TLS object -> incoming plaintext read error
    Sun Sep 13 22:09:16 2015 TLS Error: TLS handshake failed
    Sun Sep 13 22:09:16 2015 Fatal TLS error (check_tls_errors_co), restarting
    Sun Sep 13 22:09:16 2015 SIGUSR1[soft,tls-error] received, process restarting
    Что нужно:
    Заставить openVPN работать или указать на альтернативы
    Что думаю
    Скорее всего проблема в сертификате, и что pfSense  работает ещё за 1 шлюзом, что указывает строчка error=unsupported certificate purpose
    Как подправить правильно сертификат не знаю, в Ру нете решения не нашёл
    P.S. Заранее большое спасибо



  • Да, что-то не в порядке с сертификатами.

    https://forum.pfsense.org/index.php?topic=52221.0

    error=unsupported certificate purpose:

    Which generally means you made the wrong sort of certificate for what you're trying to do. If that log is on the client side, the certificate on the server may not actually be a "server certificate" and if that log is on the server side, the client cert may not be a "user certificate"

    Удалите все созданные сертификаты, пользователей, OVPN-сервер, создайте новый CA и проделайте все сначала.
    Отключите (на время настройки) authentication of TLS packets

    Как вариант - неправильно сработала client export utility.

    На всякий случай - еще один мануал:
    http://blog.stefcho.eu/pfsense-2-0-rc1-configuration-of-openvpn-server-for-rad-warrior-with-tls-and-user-authentication/



  • Спасибо, видел я этот мануал. Удалял и добавлял все сертификаты не по 1 разу. Думаю что косяк именно в том что сертификат выписывается для внутреннего использования, т.е. без учёта вышестоящего шлюза.



  • т.е. без учёта вышестоящего шлюза.

    Что является шлюзом? На шлюзе просто проброшен порт 3400 для OVPN-сервера? Тогда шлюз абсолютно прозрачен как для OVPN-сервера, тск и для OVPN-клиента, и никаких мер для его "учета" принимать не надо.

    Посмотрите\приведите лог сервера.