[Eisfair] openvpn Konfiguration

Jens Kluge jk2020 at web.de
Do Feb 18 20:34:20 CET 2016


Nachdem ich im Thread "E1 und VPN-Tunner pr vpnd 0.45" gelesen habe, 
dass das Paket openVPN zuverlässig funktionieren soll, möche ich dieses 
ausprobieren.

Da ich es vor allem mit iOS-Clients einsetzen will habe ich mir dazu 
folgenden Link angeschaut 
http://wiki.securepoint.de/index.php/OpenVPN_mit_iOS und ändere dabei 
die datei user.ovpn wie folgt ab:
Entsprechend dieser Anleitung hole ich mir die Zertifikate aus:

ls -al /etc/openvpn/keys
ca.crt -> /usr/local/openvpn/keys/ca.crt
crl.pem -> /usr/local/openvpn/keys/crl.pem
dh1024.pem -> /usr/local/openvpn/keys/dh1024.pem
openvpn.crt -> /usr/local/openvpn/keys/openvpn.crt
openvpn.key -> /usr/local/openvpn/keys/openvpn.key

und übertrage dise wie folgt in die Datei user.opvn:

<ca>
-----BEGIN CERTIFICATE-----
# hier setze ich das Zertificat aus ca.crt ein
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
# hier setze ich das Zertificat aus openvpn.crm ein
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
# hier setze ich das Zertificat aus openpvn.key ein
-----END PRIVATE KEY-----
</key>

Die Datei user.ovpn und user.p12 übertrage ich zum iOS-Client und 
verwende user.ovpn für das openvpn App.

Beim Versuch die vpn-Verbindung aufzubauen, sehe ich im log vom eisfair 
folgende Fehlermeldung:

Feb 18 20:17:40 eisfairOVPN_server[2798]: 82.113.121.198:37801 WARNING: 
normally if you use --mssfix and/or - 
   -fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Feb 18 20:17:45 eisfair OVPN_server[2798]: 82.113.121.198:37801 VERIFY 
ERROR: depth=0, error=unsupported certificate purpose: C=DE, ST=BAY, 
L=KH, O=privat, CN=openvpn, emailAddress=admin at xxx.xx
Feb 18 20:17:45 eisfairOVPN_server[2798]: 82.113.121.198:37801 
TLS_ERROR: BIO read tls_read_plaintext error: error:14089086:SSL 
routines:ssl3_get_client_certificate:certificate verify failed
Feb 18 20:17:45 eisfair OVPN_server[2798]: 82.113.121.198:37801 TLS 
Error: TLS object -> incoming plaintext read error
Feb 18 20:17:45 eisfair OVPN_server[2798]: 82.113.121.198:37801 TLS 
Error: TLS handshake failed

Jetzt habe ich Verständnisproblme zu den Easy-RAS Settings.
Ich habe diese natürlich abgeändert. Trotzdem erscheinen im log (bis auf 
die email Adresse) die alten Parameter.
OPENVPN2_COUNTRY = DE
OPENVPN2_PROVINCE = BAY
OPENVPN2_CITY = MUC
OPENVPN2_ORG = privat
OPENVPN2_EMAIL = admin at xxx.xx
OPENVPN2_EXPORTDIR = /

Ich bin davon ausgegangen, das openvpn folgende Dateine erzeugt:
ls -al /etc/openvpn/keys
ca.crt -> /usr/local/openvpn/keys/ca.crt
crl.pem -> /usr/local/openvpn/keys/crl.pem
dh1024.pem -> /usr/local/openvpn/keys/dh1024.pem
openvpn.crt -> /usr/local/openvpn/keys/openvpn.crt
openvpn.key -> /usr/local/openvpn/keys/openvpn.key

Habe ich hier ein Verständnisproblem wie die Zertifikate erzeugt werden?

Danke für eure Tipps.
Grüße
Jens


Mehr Informationen über die Mailingliste Eisfair