OPENVPN blokace uzivatelu 2

[Michal Dobes]

Dalibor Kouřil napsal(a):
>>> Dobrý den, ještě jednou k blokaci uživatelů.
>>> Když jsem přidal do konfigurace odkaz crl-verify crl.pem tak to začne 
>>> házet v logu chyby a VPN nejede...
>>
>> Pokud se zakomentuje ten řádek, tak to jede?
> 
> ano, bez problémů. Takto to bylo původně, teď je potřeba blokovat nějaké 
> uživatele.

Tu chybovou hlášku to dá hned při startu nebo při připojení klienta?
Nezačne se hned spojovat nějaký klient při startu serveru, takže
to padá na následek spojení a pak to vypadá jako chyba startu serveru.
Co je v logu před tímto řádkem?

Pokud to způsobuje připojení klienta, tak to znamená, že to máte
blbě nakonfigurované a buď klient nepošle svůj certifikát (dá se to
tak nakonfigurovat) nebo ten certifikát má špatně nastavenou oblast
použití:
openssl verify -CAfile ca.crt -purpose sslclient certifikatklienta.crt

Máte v konfiguraci serveru použito něco jako "ns-cert-type client"
a jsou certifikáty klientů generovány s nějak rozumně nastavenou oblastí
použití (v openssl.cnf položky nsCertType/keyUsage/extendedKeyUsage)?

>> openssl vypíše obsah CRL listu korektně?
> 
>> openssl crl -text -noout -in crl.pem -CAfile openvpnca.pem
> 
> předpokládám, že na konci má být ca.crt a ne openvpnca.pem (ca.pem vůbec 
> nemám). napíše to Verify OK.

Ano, tam má být odkaz na používanou certifikační autoritu pro OpenVPN.

M.