OpenVPN на базе TING, где ошибка для доменных пользователей?

Question

[Sergey Ryzhkin]

Есть система Traffic Inspector Next Generation на нем есть встроенный openvpn, который поднял для сотрудников на удаленке, если нужно срочно что-то сделать из дома. Проблема с подключением доменных пользователей - не работает подключение.
В логах TING выдается ошибка:

2023-04-06T22:30:13 openvpn[48645] 188.114.36.192:54832 TLS Error: TLS handshake failed
2023-04-06T22:30:13 openvpn[48645] 188.114.36.192:54832 TLS Error: TLS object -> incoming plaintext read error
2023-04-06T22:30:13 openvpn[48645] 188.114.36.192:54832 TLS_ERROR: BIO read tls_read_plaintext error
2023-04-06T22:30:13 openvpn[48645] 188.114.36.192:54832 OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
2023-04-06T22:30:13 openvpn[48645] 188.114.36.192:54832 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=RO, L=City, O=ORG, emailAddress=mail@mail.ru, CN=OVPN Server, serial=3

При этом если вбить логин и пароль пользователя, который сделан локально в TING, то проблемы нет, подключение происходит корректно, но у доменных выдается ошибка. На суппорт писать бесполезно, там одна не компетенция и ничем помочь не могут.
Кто использует данную систему и может быть сталкивался с данной ошибкой. Или может на чистом OpenVPN была у кого-то похожая ошибка? Без понятия что еще можно проверить.

Comments

[Alexey Dmitriev]

OpenVPN использует сертификаты, видимо при создании локальных пользователей создаются валидные для OpenVPN сертификаты, а при подключении из AD - нет.

[Sergey Ryzhkin]

Alexey Dmitriev, Это первое что пришло мне в голову, но как это проверить и исправить я не пойму. По факту в домене я только учетку завожу и у них нет каких-то отдельных персональных сертификатов по типу входа через токены и т.д.
На текущий момент в юзеры входят по логину и паролю.
Как мне проверить какие у них сертификаты создались и можно ли вообще их перевыпустить в правильном формате?
Или может просто на openvpn есть настройка, которая позволит игнорировать это. Может там стоит какая-то усиленная проверка, которой нет на сертификатах в домене.

[Valentin Barbolin]

CN=OVPN Server по хорошему тут должен быть прописал IP или доменное имя сервера OpenVPN, в зависимости от того что указано в кофиге клиента. Либо можно понизить уровень проверки сертификата.

[Sergey Ryzhkin]

Valentin Barbolin, там все прописано как надо - это я скрыл внешние адреса и названия. Спасибо!

Answer 1

[CityCat4]

certificate verify failed

Ни на какие мысли не наводит? Обычно проверка валидности не проходит из-за недоверенного СA, который эти сертификаты выпускал.

Comments

[Sergey Ryzhkin]

хм, намекаете на то, что можно попробовать загрузить сертификат с контроллера в TING?
Попробуем, спасибо.

[CityCat4]

Sergey Ryzhkin, Ну а чего бы и нет? Как-то же он отличает доверенных от недоверенных.

[Sergey Ryzhkin]

CityCat4, Добавил сертификаты доменного СА - не сработало.

Но я поглядел внимательно на ошибку. Собственно он почему-то не доверяет сам себе.
Вот эта строчка:

VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=RO, L=City, O=ORG, emailAddress=mail@mail.ru, CN=OVPN Server, serial=3

Относится к сертификату самого OpenVPN.

Т.е. в системе TING я создал внутренний СА по мануалу и потом этим СА подписал сертификат для вновь созданного сервера openvpn и получается что в ошибке фигурирует этот самый сертификат, что довольно странно.

[CityCat4]

Sergey Ryzhkin, Хм. А EKU какие указаны? Возможно, ему нужны какие-то другие EKU или еще какая информация, например IP адрес.

[Sergey Ryzhkin]

CityCat4,
X509v3 Extended Key Usage:
TLS Web Server Authentication, 1.3.6.1.5.5.8.2.2
X509v3 Key Usage:
Digital Signature, Key Encipherment

Ну тут все данные в двух сертификатах заполнялись согласно мануалу, поэтому довольно странно что выдается какая-то ошибка. Может действительно где-то адрес надо указать.
Спасибо, буду пробовать играться с настройками, скорее всего где-то галочку не поставили в мануале и следовательно я что-то не доделал.