OPENVPN blokace uzivatelu 2

Dalibor Kouřil dalibork na sorbi.cz
Pátek Únor 10 14:48:00 CET 2006 

> Tu chybovou hlášku to dá hned při startu nebo při připojení klienta?
> Nezačne se hned spojovat nějaký klient při startu serveru, takže
> to padá na následek spojení a pak to vypadá jako chyba startu serveru.
> Co je v logu před tímto řádkem?

ano, hned se začnou připojovat klienti. Celý log (dál je to pořád dokola):

Fri Feb 10 14:34:57 2006 OpenVPN 2.0.1 i586-mandriva-linux-gnu [SSL] [LZO] [EPOLL] built on Dec  9 2005
Fri Feb 10 14:34:57 2006 WARNING: --keepalive option is missing from server config
Fri Feb 10 14:34:57 2006 TUN/TAP device tap0 opened
Fri Feb 10 14:34:57 2006 /sbin/ifconfig tap0 192.168.201.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.201.255
Fri Feb 10 14:34:57 2006 GID set to nobody
Fri Feb 10 14:34:57 2006 UID set to nobody
Fri Feb 10 14:34:57 2006 Listening for incoming TCP connection on [undef]:9999
Fri Feb 10 14:34:57 2006 TCPv4_SERVER link local (bound): [undef]:9999
Fri Feb 10 14:34:57 2006 TCPv4_SERVER link remote: [undef]
Fri Feb 10 14:34:57 2006 Initialization Sequence Completed
Fri Feb 10 14:34:59 2006 Re-using SSL/TLS context
Fri Feb 10 14:34:59 2006 LZO compression initialized
Fri Feb 10 14:34:59 2006 TCP connection established with 84.42.183.192:10783
Fri Feb 10 14:34:59 2006 TCPv4_SERVER link local: [undef]
Fri Feb 10 14:34:59 2006 TCPv4_SERVER link remote: 84.42.183.192:10783
Fri Feb 10 14:35:02 2006 84.42.183.192:10783 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Fri Feb 10 14:35:02 2006 84.42.183.192:10783 TLS Error: TLS object -> incoming plaintext read error
Fri Feb 10 14:35:02 2006 84.42.183.192:10783 TLS Error: TLS handshake failed
Fri Feb 10 14:35:02 2006 84.42.183.192:10783 Fatal TLS error (check_tls_errors_co), restarting
Fri Feb 10 14:35:03 2006 Re-using SSL/TLS context
Fri Feb 10 14:35:03 2006 LZO compression initialized
Fri Feb 10 14:35:03 2006 TCP connection established with 85.160.88.239:1433
Fri Feb 10 14:35:03 2006 TCPv4_SERVER link local: [undef]
Fri Feb 10 14:35:03 2006 TCPv4_SERVER link remote: 85.160.88.239:1433
Fri Feb 10 14:35:07 2006 Re-using SSL/TLS context
Fri Feb 10 14:35:07 2006 LZO compression initialized
Fri Feb 10 14:35:07 2006 TCP connection established with 84.42.183.192:10784
Fri Feb 10 14:35:07 2006 TCPv4_SERVER link local: [undef]
Fri Feb 10 14:35:07 2006 TCPv4_SERVER link remote: 84.42.183.192:10784
Fri Feb 10 14:35:09 2006 84.42.183.192:10784 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Fri Feb 10 14:35:09 2006 84.42.183.192:10784 TLS Error: TLS object -> incoming plaintext read error
Fri Feb 10 14:35:09 2006 84.42.183.192:10784 TLS Error: TLS handshake failed
Fri Feb 10 14:35:09 2006 84.42.183.192:10784 Fatal TLS error (check_tls_errors_co), restarting
Fri Feb 10 14:35:11 2006 85.160.88.239:1433 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Fri Feb 10 14:35:11 2006 85.160.88.239:1433 TLS Error: TLS object -> incoming plaintext read error
Fri Feb 10 14:35:11 2006 85.160.88.239:1433 TLS Error: TLS handshake failed
Fri Feb 10 14:35:11 2006 85.160.88.239:1433 Fatal TLS error (check_tls_errors_co), restarting
Fri Feb 10 14:35:16 2006 Re-using SSL/TLS context
Fri Feb 10 14:35:16 2006 LZO compression initialized
Fri Feb 10 14:35:16 2006 TCP connection established with 85.160.88.239:1434
Fri Feb 10 14:35:16 2006 TCPv4_SERVER link local: [undef]

Fri Feb 10 14:35:16 2006 TCPv4_SERVER link remote: 85.160.88.239:1434


>
> Pokud to způsobuje připojení klienta, tak to znamená, že to máte
> blbě nakonfigurované a buď klient nepošle svůj certifikát (dá se to
> tak nakonfigurovat) nebo ten certifikát má špatně nastavenou oblast
> použití:
> openssl verify -CAfile ca.crt -purpose sslclient certifikatklienta.crt
>
vrátí OK pro všechny vygenerované klientské certifikáty.

> Máte v konfiguraci serveru použito něco jako "ns-cert-type client"
> a jsou certifikáty klientů generovány s nějak rozumně nastavenou oblastí
> použití (v openssl.cnf položky nsCertType/keyUsage/extendedKeyUsage)?
>
jakmile přidám do konfigurace ns-cert-type client tak to začne dělat 
totéž, jako když
přidám volbu crl-verify .....
v openssl.conf mám všechny uvedené volby zakřížkované #
To bude asi ten problém, ne ?

>>> openssl vypíše obsah CRL listu korektně?
>>
>>
Ano

Další informace o konferenci Linux