PfSense 2.2 OpenVPN Remove Access
-
Доброго времени суток, мучаюсь с проблемой VPN приличное время, но всё по порядку.
Дано:
pfSense 2.2.4 спрятанный за 1 шлюзом с пробросом некоторых портов на на pfSense 2.2.4
Интернет –-> Шлюз ---> pfSense 2.2.4
Настройки openvpn сервера
Настройки экспорта клиента
Где 85.*** внешний ip адрес шлюза (не pfSense 2.2.4)
Все сертификат были сделаны по данному ролику http://www.youtube.com/watch?v=VdAHVSTl1ys (Так же было всё по нему настроено, но всё равно получил такую же ошибку)
Клиент Win 7 x86 OpenVPN GUI v7Журнал подключения
Sun Sep 13 22:09:03 2015 OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 4 2015
Sun Sep 13 22:09:03 2015 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
Enter Management Password:
Sun Sep 13 22:09:14 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Sep 13 22:09:15 2015 Attempting to establish TCP connection with [AF_INET]85.143.105.114:3400 [nonblock]
Sun Sep 13 22:09:16 2015 TCP connection established with [AF_INET]85.143.105.114:3400
Sun Sep 13 22:09:16 2015 TCPv4_CLIENT link local (bound): [undef]
Sun Sep 13 22:09:16 2015 TCPv4_CLIENT link remote: [AF_INET]85.143.105.114:3400
Sun Sep 13 22:09:16 2015 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
Sun Sep 13 22:09:16 2015 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=Mocsoc, L=Moscow, O=MISIS, emailAddress=spamsavant@yandex.ru, CN=VPN
Sun Sep 13 22:09:16 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Sep 13 22:09:16 2015 TLS Error: TLS object -> incoming plaintext read error
Sun Sep 13 22:09:16 2015 TLS Error: TLS handshake failed
Sun Sep 13 22:09:16 2015 Fatal TLS error (check_tls_errors_co), restarting
Sun Sep 13 22:09:16 2015 SIGUSR1[soft,tls-error] received, process restarting
Что нужно:
Заставить openVPN работать или указать на альтернативы
Что думаю
Скорее всего проблема в сертификате, и что pfSense работает ещё за 1 шлюзом, что указывает строчка error=unsupported certificate purpose
Как подправить правильно сертификат не знаю, в Ру нете решения не нашёл
P.S. Заранее большое спасибо -
Да, что-то не в порядке с сертификатами.
https://forum.pfsense.org/index.php?topic=52221.0
error=unsupported certificate purpose:
Which generally means you made the wrong sort of certificate for what you're trying to do. If that log is on the client side, the certificate on the server may not actually be a "server certificate" and if that log is on the server side, the client cert may not be a "user certificate"
Удалите все созданные сертификаты, пользователей, OVPN-сервер, создайте новый CA и проделайте все сначала.
Отключите (на время настройки) authentication of TLS packetsКак вариант - неправильно сработала client export utility.
На всякий случай - еще один мануал:
http://blog.stefcho.eu/pfsense-2-0-rc1-configuration-of-openvpn-server-for-rad-warrior-with-tls-and-user-authentication/ -
Спасибо, видел я этот мануал. Удалял и добавлял все сертификаты не по 1 разу. Думаю что косяк именно в том что сертификат выписывается для внутреннего использования, т.е. без учёта вышестоящего шлюза.
-
т.е. без учёта вышестоящего шлюза.
Что является шлюзом? На шлюзе просто проброшен порт 3400 для OVPN-сервера? Тогда шлюз абсолютно прозрачен как для OVPN-сервера, тск и для OVPN-клиента, и никаких мер для его "учета" принимать не надо.
Посмотрите\приведите лог сервера.