Проблемы с OpenVPN client

Vasai	# 5 лет назад
Темы: 1 Сообщения: 3 Участник с: 01 сентября 2017	Добрый день! Мне предоставили доступ по ВПН, с виндовса с этим файлом конфигурации, и ключами подключение проходит нормально. Попробовал установить openvpn на arch и настроить подключение, но выдает ошибки, подскажите пожалуйста, как это исправить? [[email protected] openvpn]# openvpn /etc/openvpn/client/client.conf Fri Sep 1 10:42:21 2017 OpenVPN 2.4.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 24 2017 Fri Sep 1 10:42:21 2017 library versions: OpenSSL 1.1.0f 25 May 2017, LZO 2.10 Fri Sep 1 10:42:21 2017 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Fri Sep 1 10:42:21 2017 OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak Fri Sep 1 10:42:21 2017 Cannot load certificate file /etc/openvpn/certs/vasai.crt Fri Sep 1 10:42:21 2017 Exiting due to fatal error Файл конфигурации: `dev tun proto udp remote secret_ip port secret_port client resolv-retry infinite ca /etc/openvpn/certs/ca.crt cert /etc/openvpn/certs/vasai.crt key /etc/openvpn/certs/vasai.key auth MD5 cipher BF-CBC ns-cert-type server comp-lzo persist-key persist-tun auth-user-pass /etc/openvpn/certs/pass.txt auth-retry interact verb 3`

# 5 лет назад

Сообщения: 3

Участник с: 01 сентября 2017

Добрый день!

Мне предоставили доступ по ВПН, с виндовса с этим файлом конфигурации, и ключами подключение проходит нормально.
Попробовал установить openvpn на arch и настроить подключение, но выдает ошибки, подскажите пожалуйста, как это исправить?

[[email protected] openvpn]# openvpn /etc/openvpn/client/client.conf
Fri Sep  1 10:42:21 2017 OpenVPN 2.4.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 24 2017
Fri Sep  1 10:42:21 2017 library versions: OpenSSL 1.1.0f  25 May 2017, LZO 2.10
Fri Sep  1 10:42:21 2017 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Fri Sep  1 10:42:21 2017 OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
Fri Sep  1 10:42:21 2017 Cannot load certificate file /etc/openvpn/certs/vasai.crt
Fri Sep  1 10:42:21 2017 Exiting due to fatal error

Файл конфигурации:

dev tun
proto udp
remote secret_ip
port secret_port
client
resolv-retry infinite
ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/vasai.crt
key /etc/openvpn/certs/vasai.key
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
auth-user-pass /etc/openvpn/certs/pass.txt
auth-retry interact
verb 3

Velesich	# 5 лет назад
Темы: 14 Сообщения: 784 Участник с: 23 апреля 2013	Строка "Fri Sep 1 10:42:21 2017 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead." говорит что такой ключ не принято теперь указывать, а нужно использовать --remote-cert-tls А строка "Fri Sep 1 10:42:21 2017 Cannot load certificate file /etc/openvpn/certs/vasai.crt" говорит что такого сертификата там нет, или на нём стоят такие права, что openvpn не может этот файл прочитать.

Velesich

# 5 лет назад

Темы: 14

Сообщения: 784

Участник с: 23 апреля 2013

Строка "Fri Sep 1 10:42:21 2017 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead." говорит что такой ключ не принято теперь указывать, а нужно использовать --remote-cert-tls
А строка "Fri Sep 1 10:42:21 2017 Cannot load certificate file /etc/openvpn/certs/vasai.crt" говорит что такого сертификата там нет, или на нём стоят такие права, что openvpn не может этот файл прочитать.

Vasai	# 5 лет назад
Темы: 1 Сообщения: 3 Участник с: 01 сентября 2017	Velesich А строка "Fri Sep 1 10:42:21 2017 Cannot load certificate file /etc/openvpn/certs/vasai.crt" говорит что такого сертификата там нет, или на нём стоят такие права, что openvpn не может этот файл прочитать. Права на сертификат стоят 0600, владелец root группа network, сертификат находится в этой папке, пробовал даже давать права 777, все равно выдает эту ошибку. Возможно, что сертификат поврежден?

Vasai

# 5 лет назад

Темы: 1

Сообщения: 3

Участник с: 01 сентября 2017

Velesich
А строка "Fri Sep 1 10:42:21 2017 Cannot load certificate file /etc/openvpn/certs/vasai.crt" говорит что такого сертификата там нет, или на нём стоят такие права, что openvpn не может этот файл прочитать.

Права на сертификат стоят 0600, владелец root группа network, сертификат находится в этой папке, пробовал даже давать права 777, все равно выдает эту ошибку. Возможно, что сертификат поврежден?

alexxx	# 5 лет назад (отредактировано 5 лет назад)
Темы: 1 Сообщения: 149 Участник с: 29 октября 2006	Vasai Права на сертификат стоят 0600, владелец root группа network, сертификат находится в этой папке, пробовал даже давать права 777, все равно выдает эту ошибку. Возможно, что сертификат поврежден? Сертификат с правами 777 это явная компрометация этого сертификата. Правильно написанный софт не будет работать с сертификатом, имеющим такие права. Обычно, как вариант, достаточно просто сменить владельца сертификата на имя учётки, под которой работает этот софт.

alexxx

# 5 лет назад (отредактировано 5 лет назад)

Темы: 1

Сообщения: 149

Участник с: 29 октября 2006

Vasai
Права на сертификат стоят 0600, владелец root группа network, сертификат находится в этой папке, пробовал даже давать права 777, все равно выдает эту ошибку. Возможно, что сертификат поврежден?

Сертификат с правами 777 это явная компрометация этого сертификата. Правильно написанный софт не будет работать с сертификатом, имеющим такие права. Обычно, как вариант, достаточно просто сменить владельца сертификата на имя учётки, под которой работает этот софт.

Time_Lords	# 5 лет назад
Темы: 14 Сообщения: 172 Участник с: 19 февраля 2012	Офтоп. Если вы используете для настройки сети NetworkManager, то можете установить пакет networkmanager-openvpn и настроить соединение в том. В том числе если у вас есть файл с описанием сети формата .openvpn, вы сможете его импортировать в NetworkManager. Не воспринимайте данное предложение как решение ваших проблем, скорее всего ошибки останутся. Я лишь советую инструмент, который позволит вам проще настраивать соединение. По делу. Судя по всему у вас очень старый сертификат, сделанный с использованием md5. Учитывая то, что md5 не считается безопасным, ваш сертификат OpenVPN принимать не хочет. Об этом написана следующая строка: `OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak` Соответственно, если вы хотите в дальнейшем использовать этот сертификат и не можете выпустить новый, то вам необходимо снизить настройки безопасности у OpenVPN. К сожалению, я не знаю как это сделать и где это найти. Единственное, что я нашел, это решение такой проблемы для андроид клиента: смотрите раздел Weak (MD5) hashes in certificate signature (SSL_CTX_use_certificate md too weak).

Time_Lords

# 5 лет назад

Темы: 14

Сообщения: 172

Участник с: 19 февраля 2012

Офтоп.

Если вы используете для настройки сети NetworkManager, то можете установить пакет networkmanager-openvpn и настроить соединение в том. В том числе если у вас есть файл с описанием сети формата .openvpn, вы сможете его импортировать в NetworkManager. Не воспринимайте данное предложение как решение ваших проблем, скорее всего ошибки останутся. Я лишь советую инструмент, который позволит вам проще настраивать соединение.

По делу.

Судя по всему у вас очень старый сертификат, сделанный с использованием md5. Учитывая то, что md5 не считается безопасным, ваш сертификат OpenVPN принимать не хочет. Об этом написана следующая строка:

OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak

Соответственно, если вы хотите в дальнейшем использовать этот сертификат и не можете выпустить новый, то вам необходимо снизить настройки безопасности у OpenVPN. К сожалению, я не знаю как это сделать и где это найти.

Единственное, что я нашел, это решение такой проблемы для андроид клиента: смотрите раздел Weak (MD5) hashes in certificate signature (SSL_CTX_use_certificate md too weak).

Vasai	# 5 лет назад
Темы: 1 Сообщения: 3 Участник с: 01 сентября 2017	Time_Lords Соответственно, если вы хотите в дальнейшем использовать этот сертификат и не можете выпустить новый, то вам необходимо снизить настройки безопасности у OpenVPN. К сожалению, я не знаю как это сделать и где это найти. К сожалению, нет возможности выпустить новый сертификат. Спасибо буду искать, что-нибудь по этому вопросу. Так же посмотрю в сторону NetworkManager.

Vasai

# 5 лет назад

Темы: 1

Сообщения: 3

Участник с: 01 сентября 2017

Time_Lords
Соответственно, если вы хотите в дальнейшем использовать этот сертификат и не можете выпустить новый, то вам необходимо снизить настройки безопасности у OpenVPN. К сожалению, я не знаю как это сделать и где это найти.

К сожалению, нет возможности выпустить новый сертификат. Спасибо буду искать, что-нибудь по этому вопросу. Так же посмотрю в сторону NetworkManager.