[Eisfair] openvpn Konfiguration
Olaf Jaehrling
eisfair at ojaehrling.de
Fr Feb 19 13:02:09 CET 2016
Hallo Jens,
Am 18.02.2016 um 20:34 schrieb Jens Kluge:
>
> Nachdem ich im Thread "E1 und VPN-Tunner pr vpnd 0.45" gelesen habe, dass das Paket openVPN zuverlässig funktionieren soll, möche ich dieses ausprobieren.
>
> Da ich es vor allem mit iOS-Clients einsetzen will habe ich mir dazu folgenden Link angeschaut http://wiki.securepoint.de/index.php/OpenVPN_mit_iOS und ändere dabei die datei user.ovpn wie folgt ab:
> Entsprechend dieser Anleitung hole ich mir die Zertifikate aus:
>
> ls -al /etc/openvpn/keys
> ca.crt -> /usr/local/openvpn/keys/ca.crt
> crl.pem -> /usr/local/openvpn/keys/crl.pem
> dh1024.pem -> /usr/local/openvpn/keys/dh1024.pem
> openvpn.crt -> /usr/local/openvpn/keys/openvpn.crt
> openvpn.key -> /usr/local/openvpn/keys/openvpn.key
Was ist in /usr/local/openvpn/keys/
>
> und übertrage dise wie folgt in die Datei user.opvn:
>
> <ca>
> -----BEGIN CERTIFICATE-----
> # hier setze ich das Zertificat aus ca.crt ein
> -----END CERTIFICATE-----
> </ca>
>
> <cert>
> -----BEGIN CERTIFICATE-----
> # hier setze ich das Zertificat aus openvpn.crm ein
> -----END CERTIFICATE-----
> </cert>
>
> <key>
> -----BEGIN PRIVATE KEY-----
> # hier setze ich das Zertificat aus openpvn.key ein
> -----END PRIVATE KEY-----
> </key>
>
> Die Datei user.ovpn und user.p12 übertrage ich zum iOS-Client und verwende user.ovpn für das openvpn App.
Das sieht gut aus.
>
> Beim Versuch die vpn-Verbindung aufzubauen, sehe ich im log vom eisfair folgende Fehlermeldung:
>
> Feb 18 20:17:40 eisfairOVPN_server[2798]: 82.113.121.198:37801 WARNING: normally if you use --mssfix and/or - -fragment, you should also set --tun-mtu 1500 (currently it is 1400)
> Feb 18 20:17:45 eisfair OVPN_server[2798]: 82.113.121.198:37801 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=DE, ST=BAY, L=KH, O=privat, CN=openvpn, emailAddress=admin at xxx.xx
> Feb 18 20:17:45 eisfairOVPN_server[2798]: 82.113.121.198:37801 TLS_ERROR: BIO read tls_read_plaintext error: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
> Feb 18 20:17:45 eisfair OVPN_server[2798]: 82.113.121.198:37801 TLS Error: TLS object -> incoming plaintext read error
> Feb 18 20:17:45 eisfair OVPN_server[2798]: 82.113.121.198:37801 TLS Error: TLS handshake failed
>
> Jetzt habe ich Verständnisproblme zu den Easy-RAS Settings.
Hast du da ca vor deinen Änderungen erstellt pder danach? Ich müsste bei mir jetzt erstmal schauen.
>
> Ich bin davon ausgegangen, das openvpn folgende Dateine erzeugt:
> ls -al /etc/openvpn/keys
> ca.crt -> /usr/local/openvpn/keys/ca.crt
> crl.pem -> /usr/local/openvpn/keys/crl.pem
> dh1024.pem -> /usr/local/openvpn/keys/dh1024.pem
> openvpn.crt -> /usr/local/openvpn/keys/openvpn.crt
> openvpn.key -> /usr/local/openvpn/keys/openvpn.key
Jupp, sowie die user.* Dateien unter /usr/local/openvpn/keys/
>
Was steht denn in der user.ovpn? Kannst due mir die mal (ohne die Zertifikate) per PM schicken?
Ich weiß, dass ich damal mit dem Verify auf die Gusche gefallen bin, deshalb öffne mal die Datei
/etc/openvpn/verify
mit deinem Lieblingseditor und füge unter
#!/bin/bash
exit 0
ein
Damit können wir zumindest da den Fehler ausschließen.
Gruß
Olaf
Mehr Informationen über die Mailingliste Eisfair