OpenVPN Microtic или печаль клиента?

Question

[dobromin]

Такая вот у меня ситуевина, настроил openvpn сервер на микротике а подключиться не могу, ошибка

Mon May 21 21:14:00 2018 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Mon May 21 21:14:00 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Mon May 21 21:14:00 2018 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Enter Management Password:
Mon May 21 21:14:01 2018 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Mon May 21 21:14:01 2018 OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
Mon May 21 21:14:01 2018 Cannot load certificate file C:\Program Files\OpenVPN\config\cert\client.crt
Mon May 21 21:14:01 2018 Exiting due to fatal error

Первое как понял хочет чтоб использовал remote-cert-tls но пока не догнал как в гугле все это отключают, я даже не знаю как включить )
Второе слабая защита md не знаю где он ее взял, нет у меня этой md
и третья, нет сертификата.
В общем хер знает откуда такие данные, помогите разобраться не могу подключиться.

Настройки клиента

spoiler

dev tap
proto tcp-client
#persist-tun
#persist-key
cipher AES-256-CBC
#auth SHA256
auth SHA1
pull
tls-client
remote-cert-tls server
client
resolv-retry infinite
remote ip 2222 tcp
lport 0

#указываем имена публичного CA сертификата
ca "C:\\Program Files\\OpenVPN\\config\\cert\\ca.crt"
# публичного сертификата клиента
cert "C:\\Program Files\\OpenVPN\\config\\cert\\client.crt"
# и его закрытый ключ
key "C:\\Program Files\\OpenVPN\\config\\cert\\client.key"
ns-cert-type server
passtos
auth-user-pass "C:\\Program Files\\OpenVPN\\config\\cert\\onevpn.auth"

что касается

tls-client
remote-cert-tls server

В настройках клиента и с ними и без них одинаково.



Я не знаю может компьютер перезагрузить?

Comments

[Dmitry Tallmange]

Mictoric

спасибо, поржал

[Dmitry Tallmange]

Cannot load certificate file C:\Program Files\OpenVPN\config\cert\client.crt

не наталкивает на мысли?

[dobromin]

Dmitry Tallmange, )) сорян, глаза в кучу уже

[dobromin]

Dmitry Tallmange, думаешь не проверил?

[Dmitry Tallmange]

dobromin, и как проверка? Что с сертификатом?

Answer 1

[dobromin]

в общем суть в том что сертификат генерировал, в старой версии там md5 используется а подключался с нового клиента, там нет md5 так как не безопасен. поставил старый, проблема новая

ovpn debug error l2tp unknown unknown unknown unknown unknown unknown l2tp info unknown debug

Дубликат пакет дропинг, все дальше не идет, что с ним не так? где мои ошибки не могу понять.

Comments

[Ziptar]

Дубликат пакет дропинг

ожидаемое поведение, на работу не влияет

ovpn debug error l2tp unknown unknown unknown unknown unknown unknown l2tp info unknown debug

ни о чём не говорит, логи клиента нужны в этот момент

remote-cert-tls server

Заставляет клиент проверять валидность CN сертификата сервера. Для этого сертификат сервера должен обладать соответствующими EKU, и его резольвящееся dns-имя или ip-адрес должны соответствовать тому, что написано в CN.

ns-cert-type server

То же самое, что и предыдущее, разница в том, что этот метод позволяет использовать устаревшие Netscape Cert Types, вместо современных EKU.

lport 0

Это как?

dev tap

У вас клиент пытается работать в ethernet режиме, а в микротике выставлен ip-режим, т.е. tun

cipher AES-256-CBC

А на микротике галка только на AES-128 стоит.

[dobromin]

Константин Антонов,
AES-128 и AES-256
dev tap - исправил
lport 0 - убрал
remote-cert-tls server, remote-cert-tls server - оставил первое.
Результат тот же ничего совсем не поменялось, ошибки те же.

[Ziptar]

dobromin, логи клиента то будут?