Всё, скоро крыша поедет. Пересоздал всё по новой, когда генерировал сертификат для сервера, указал имя сервера, в моём случае: server_new (так называется серверная машина), когда генерировал для клиента, указал comp-1 (так называется клиентская машина), всё равно не работает (((
Кстати, на клиенте: tap windows adapter v9, говорит, что сетевой кабель не подключен, он будет подключен, как только соединится с сервером?
Есть у меня подозрение, что косяк в генерации ключей.
Всё удалил, по новой поставил, всё равно такая же ерунда (((
Сообщение оказалось полезным? Поблагодарите автора, нажав ссылку Полезное сообщение чуть ниже.
Источник
OpenVPN Support Forum
Community Support Forum
WARNING: No server certificate verification method has been enabled
WARNING: No server certificate verification method has been enabled
Post by radvla » Mon May 01, 2017 10:10 am
I am trying to build one openvpn network with a server and a remote client.Both are linux computer and use ubuntu.
Server tunnel has been activated properly
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Nonetheless the client.ovpn and the server.conf have a certification file.
client ca /etc/openvpn/ca.crt dev tun proto udp dh /etc/openvpn/dh2048.pem remote 92.222.86.41 1194 resolv-retry infinite nobind persist-key persist-tun cert /etc/openvpn/ServerRemoto1.crt key /etc/openvpn/ServerRemoto1.key comp-lzo verb 4 float
port 1194 proto udp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh2048.pem server 10.10.10.0 255.255.255.0 crl-verify /etc/openvpn/01.pem ifconfig-pool-persist /etc/openvpn/ipp.txt route «192.168.0.0 255.255.255.0» cipher DES-CFB user root group nogroup status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 3 mute 20
I NEED URGENT HELP.
thank you to mercy son
Re: WARNING: No server certificate verification method has been enabled
Post by radvla » Mon May 01, 2017 10:34 am
Re: WARNING: No server certificate verification method has been enabled
Post by TiTex » Mon May 01, 2017 3:05 pm
server config remote-cert-tls client
Re: WARNING: No server certificate verification method has been enabled
Post by radvla » Tue May 02, 2017 8:49 am
THANKs but connection do not work.
Tue May 2 07:42:14 2017 [VDF] Peer Connection Initiated with [AF_INET]92.222.86.41:1194Tue May 2 07:42:17 2017 SENT CONTROL [VDF]: ‘PUSH_REQUEST’ (status=1) Tue May 2 07:42:17 2017 AUTH: Received control message: AUTH_FAILED T ue May 2 07:42:17 2017 SIGTERM[soft,auth-failure] received, process exiting
Before that i get confirmation messages about certificates and keys that seems to be OK:
Не подключаются клиенты (linux) к OpenVPN серверу на микротике.
Сертификаты для сервера и клиентов созданы? Сертификат сервера в микротык импортирован? Клиентские сертификаты клиентам розданы? ca.crt и серверу, и клиентам роздан?
Да. Все сертификаты на местах.
А кроме этого ворнинга какая-нибудь еще ругань есть? Микротык в log print что-нибудь говорит?
Если я все правильно понимаю, то клиенту недоступен либо чем-то не нравится ca.crt.
понять бы, чем не нравится..
Может все-таки конфиги покажем?
Микротик настраивался по статье на хабре.
Клиентский конфиг и примеры рабочих корневого и клиентского сертификатов можете скинуть?
Вообще они немного разные, но как минимум ns-cert-type server пробовали раскоментировать?
Клиентский конфиг и примеры рабочих корневого и клиентского сертификатов можете скинуть?
И ключи от квартиры где деньги лежат?
да. результат тот же.
Посмотрите от кого запускается openvpn может ему /etc/openvpn/ca.crt не доступен.
Я и имел ввиду сгенерировать новые, но с теми же параметрами (nsCertType, keyUsage,keyCertSign, authorityKeyIdentifier, и.т.д) как у рабочих.
запускал и от рута и от обычного пользователя.
btw не нулевая вероятность. Сам не сталкивался, но читал про такое. Хотя больше предполагаю, что проблема была как обычно в самом конфиге (устаревшие/изменившие поведение/добавленные параметры). Вы лог клиента не пробовали читать?
Возможно в самом openvpn (мы же только догадываемся) захаркоден конкретный юзвер:группа, например openvpn:openvpn. Вообще микротик насколько я слышал, та еще пакость во многих частях. Попробуйте все-таки полностью хотя по одной из инструкций сделать (они реально разные) а у вас если смотреть наискосок вроде как помесь уже.
Как уже выше писал dexpl проблема явно в одном:
Fri Jun 10 21:46:52 2016 TLS_ERROR: BIO read tls_read_plaintext error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Что вы сделали не так, честно говоря я хз. Сливаюсь. Может знатоки микротика подтянуться, не нулевая вероятность что вы совсем не ca.crt выложили или не в том формате.
У меня эта проблема вылезла, после того как обновился openvpn-клиент в федоре. Теперь не могу к серверам на микротиках подключаться. А вот к старому серверу на линуксе вполне ок. Буду разбираться.
No server certificate verification method has been enabled.
No server certificate verification method has been enabled.
Post by LonelyPixel » Thu May 31, 2018 9:07 am
When connecting to my OpenVPN server, I get this message on the client in red colour:
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
I have read that page and acknowledged it. The certificates already have the appropriate settings. How can I make this red line go away?
Re: No server certificate verification method has been enabled.
Post by TinCanTech » Thu May 31, 2018 11:27 am
The HOWTO wrote: Now add the following line to your client configuration:
Re: No server certificate verification method has been enabled.
Post by LonelyPixel » Thu May 31, 2018 12:53 pm
Re: No server certificate verification method has been enabled.
Post by TinCanTech » Thu May 31, 2018 1:15 pm
Re: No server certificate verification method has been enabled.
Post by LonelyPixel » Thu May 31, 2018 5:19 pm
If there is no documentation, I’d be annoyed about it not being there. If there’s a documentation that’s hard to find, use and understand, I’d be annoyed about it being hard to find, use and understand. Please understand that incomplete efforts cannot beat psychology. You can’t sell a product by arguing that you couldn’t do it any better. I’m just giving you feedback on that, other’s won’t and turn somewhere else. I guess you still don’t care because we’re all not paying any money.
And yes, deleting the outdated part of the documentation might indeed be helpful! It just doesn’t look too professional if I turn to the forums about a documentation page from a prominent FAQ list only to hear that it’s long outdated. You see where my impression comes from?
Re: No server certificate verification method has been enabled.
Не было. Сейчас вставил. Есть ошибки. Вот лог OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Tue Jun 24 17:14:55 2008 Control Channel Authentication: using ‘ta.key’ as a OpenVPN static key file Tue Jun 24 17:14:55 2008 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication Tue Jun 24 17:14:55 2008 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication Tue Jun 24 17:14:55 2008 LZO compression initialized Tue Jun 24 17:14:55 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ] Tue Jun 24 17:14:55 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ] Tue Jun 24 17:14:55 2008 Local Options hash (VER=V4): ’89f33c77′ Tue Jun 24 17:14:55 2008 Expected Remote Options hash (VER=V4): ‘9de5f9b6’ Tue Jun 24 17:14:55 2008 Attempting to establish TCP connection with 212.45.5.36:1194 Tue Jun 24 17:14:55 2008 TCP connection established with 212.45.5.36:1194 Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link local: [undef] Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194 Tue Jun 24 17:14:55 2008 TLS: Initial packet from 212.45.5.36:1194, sid=b1251a72 e299c6bf Tue Jun 24 17:14:55 2008 Authenticate/Decrypt packet error: packet HMAC authentication failed Tue Jun 24 17:14:55 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194 Tue Jun 24 17:14:55 2008 Fatal TLS error (check_tls_errors_co), restarting Tue Jun 24 17:14:55 2008 TCP/UDP: Closing socket Tue Jun 24 17:14:55 2008 SIGUSR1[soft,tls-error] received, process restarting
Не знаю, что такое TLS и что за ошибки с этим связанные?
Re: Connect client-Server
Сообщение IMB » 24.06.2008 17:33
Re: Connect client-Server
Сообщение vei » 25.06.2008 12:42
Re: Connect client-Server
Сообщение IMB » 25.06.2008 14:37
Re: Connect client-Server
Сообщение vei » 25.06.2008 16:03
Re: Connect client-Server
Сообщение vei » 25.06.2008 17:39
Re: Connect client-Server
Сообщение IMB » 25.06.2008 18:36
Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.
По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?
Re: Connect client-Server
Сообщение vei » 25.06.2008 19:22
Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.
По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?
Полезное сообщение чуть ниже.
