[Eisfair] openvpn2 1.0.5?==?utf-8?Q? testing für eisfair1 relea?==?utf-8?Q?sed

Andreas Hager kw06 at firmahager.de
Fr Nov 3 08:52:50 CET 2017 

Hallo Olaf, 

kannst Du mir mal bitte helfen ? 

Ich habe einen debian-Server am Standort A und einen eisfair am Standort
B. 
Am Standort B habe ich vorige Woche openvpn updated auf openvpn2. 
Alle Einstellungen auf die neuen Parameter angepasst und danach eine
neue ca, neuen key, neues crt und neue p12 schreiben lassen. 
Damit zum Standort A, und diese vier Dateien auf den debian-Server
kopiert. 
Wenn ich den Tunnel starten will kommt aber folgendes log: 

TCP/UDP: Preserving recently used remote address:
[AF_INET]217.80.179.78:1194
Thu Nov  2 21:11:17 2017 Socket Buffers: R=[212992->212992]
S=[212992->212992]
Thu Nov  2 21:11:17 2017 UDP link local: (not bound)
Thu Nov  2 21:11:17 2017 UDP link remote: [AF_INET]xxx.yyy.zzz.78:1194
Thu Nov  2 21:11:17 2017 TLS: Initial packet from
[AF_INET]xxx.yyy.zzz.78:1194, sid=eccaf687 bd1a7d4f
Thu Nov  2 21:11:17 2017 VERIFY OK: depth=1, C=DE, ST=SA, L=xyz,
O=privat, CN=privat CA, emailAddress=zzz.de
Thu Nov  2 21:11:17 2017 Validating certificate key usage
Thu Nov  2 21:11:17 2017 ++ Certificate has key usage  00e0, expects
00a0
Thu Nov  2 21:11:17 2017 ++ Certificate has key usage  00e0, expects
0088
Thu Nov  2 21:11:17 2017 VERIFY KU ERROR
Thu Nov  2 21:11:17 2017 OpenSSL: error:14090086:SSL
routines:ssl3_get_server_certificate:certificate verify failed
Thu Nov  2 21:11:17 2017 TLS_ERROR: BIO read tls_read_plaintext error
Thu Nov  2 21:11:17 2017 TLS Error: TLS object -> incoming plaintext
read error
Thu Nov  2 21:11:17 2017 TLS Error: TLS handshake failed
Thu Nov  2 21:11:17 2017 SIGUSR1[soft,tls-error] received, process
restarting
Thu Nov  2 21:11:17 2017 Restart pause, 5 second(s)

Was ist denn VERIFY KU ? 

Stelle ich in der conf des Clients die Verschlüsselung auf ns-cert-type
zurück wird der Tunnel problemlos aufgebaut. 

Beide Rechner sind auf dem aktuellen Stand, also regelmäßige Updates.

Allerdings ist die p12 nicht wie in Deiner Doku in
/usr/local/openvpn/keys, sondern in /etc/openvpn. 
Ich verwende auch nicht diese Datei sondern die einzelnen Dateien (ca,
crt, key). Diese Dateien befinden sich ebenfalls in /etc/openvpn. 
Die Conf verweist auf diese Dateien. 

Hast Du eine Idee ? 

Andreas

Mehr Informationen über die Mailingliste Eisfair