Openvpn.

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Openvpn.

Messagepar mathieu.labonte » 19 Juil 2008 01:27

Bonjour,
Je tente de configurer une connexion VPN entre un serveur openvpn sous linux et plusieurs clients.
Pour l'instant je tente de configurer un client windows xp et j'ai quelques problème.

Voici les erreurs que ça me donne:
Code: Tout sélectionner
Fri Jul 18 19:05:49 2008 us=773350 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Fri Jul 18 19:05:49 2008 us=773439 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Jul 18 19:05:49 2008 us=773450 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Jul 18 19:05:49 2008 us=791564 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jul 18 19:05:49 2008 us=794611 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Fri Jul 18 19:05:49 2008 us=794645 Local Options String: 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Fri Jul 18 19:05:49 2008 us=794656 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Fri Jul 18 19:05:49 2008 us=794679 Local Options hash (VER=V4): '3514370b'
Fri Jul 18 19:05:49 2008 us=794691 Expected Remote Options hash (VER=V4): '239669a8'
Fri Jul 18 19:05:49 2008 us=794715 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jul 18 19:05:49 2008 us=794729 UDPv4 link local (bound): [undef]:1194
Fri Jul 18 19:05:49 2008 us=794738 UDPv4 link remote: ***.***.***.***:1194
Fri Jul 18 19:05:50 2008 us=86268 TLS: Initial packet from ***.***.***.***:1194, sid=8fa29fed fdeaa232
Fri Jul 18 19:05:51 2008 us=649369 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain:
Fri Jul 18 19:05:51 2008 us=649689 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Jul 18 19:05:51 2008 us=650209 TLS Error: TLS object -> incoming plaintext read error
Fri Jul 18 19:05:51 2008 us=650236 TLS Error: TLS handshake failed
Fri Jul 18 19:05:51 2008 us=650442 TCP/UDP: Closing socket
Fri Jul 18 19:05:51 2008 us=650925 SIGUSR1[soft,tls-error] received, process restarting
Fri Jul 18 19:05:51 2008 us=650955 Restart pause, 2 second(s)


Voici mes fichiers de configs :
Server.conf :
Code: Tout sélectionner
tls-server
local ***.***.***.***
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
keepalive 10 120
cipher BF-CBC        # Blowfish (default)
#comp-lzo
max-clients 100
persist-key
persist-tun
status openvpn-status.log
verb 5


client :
Code: Tout sélectionner
tls-client
client
dev tun
proto udp
remote ***.***.***.***1194
ca 6.crt
cert 6.crt
key 6.key
cipher BF-CBC
persist-key
persist-tun
verb 5


J'ai chercher sur google mon message d'erreur(TLS Error: TLS object -> incoming plaintext read error) et je n'ai toujours rien trouver. Si quelqu'un ici pourrais me donner un coup de pouce j'apprécierais!
Merci
mathieu.labonte
Matelot
Matelot
 
Messages: 2
Inscrit le: 07 Juil 2008 21:56

Messagepar HaM » 19 Juil 2008 02:33

Salut,
D'apres ton fichiers de conf, le certificat root du client n'est pas le bon ...
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar mathieu.labonte » 21 Juil 2008 21:37

Que veux-tu dire?
J'ai suivi pas à pas le howto de OpenVpn pour crée les certificats.
Merci
mathieu.labonte
Matelot
Matelot
 
Messages: 2
Inscrit le: 07 Juil 2008 21:56

Messagepar HaM » 21 Juil 2008 21:42

Dans le fichier de configuration de ton client la ligne suivante est fausse:
Code: Tout sélectionner
ca 6.crt
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron