OpenVPN falha no certificado auto-assinado sobre o udp, funciona sobre o tcp

6

Eu tenho o seguinte server.conf:

# OpenVPN 2.x config

proto tcp

port 1194
dev tun-vpn
dev-type tun

server 10.8.0.0 255.255.0.0
push "route 172.16.0.0 255.255.0.0"
push "dhcp-option DOMAIN mydom.com"
push "dhcp-option DNS 172.16.1.1"

# Certificates
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
tls-server

# Diffie hellman parameters
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Connection settings
comp-lzo
ping 10
ping-restart 120

# Server security
persist-key
persist-tun
user nobody
group nogroup

# Logging
status openvpn-status.log
verb 4
mute 10

E a seguinte configuração do cliente:

# OpenVPN 2.x client config
client

dev tun

proto tcp

remote vpn.mydom.com 1194

resolv-retry infinite

nobind

persist-key
persist-tun

mute-replay-warnings

ca ca.crt
cert michaelc.crt
key michaelc.key

#ns-cert-type server

comp-lzo
ping 10
ping-restart 60

verb 3

Essas configurações funcionam bem, mas se eu quiser usar o UDP em vez do TCP, recebo o seguinte log:

Thu May 24 22:30:16 2012 UDPv4 link local: [undef]
Thu May 24 22:30:16 2012 UDPv4 link remote: [AF_INET]x.x.x.x:1194
Thu May 24 22:30:16 2012 TLS: Initial packet from [AF_INET]x.x.x.x:1194, sid=e63bd705 392de807
Thu May 24 22:30:16 2012 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=NL/ST=Zuid_Holland/L=_s-Gravendeel/O=Visser__s-Gravendeel_Holding_B.V./CN=Visser__s-Gravendeel_Holding_B.V._CA/[email protected]
Thu May 24 22:30:16 2012 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu May 24 22:30:16 2012 TLS Error: TLS object -> incoming plaintext read error
Thu May 24 22:30:16 2012 TLS Error: TLS handshake failed
Thu May 24 22:30:16 2012 TCP/UDP: Closing socket
Thu May 24 22:30:16 2012 SIGUSR1[soft,tls-error] received, process restarting
Thu May 24 22:30:16 2012 Restart pause, 2 second(s)

Eu verifiquei os certificados em relação ao ca.crt e ambos server.crt e michaelc.crt são certificados válidos assinados com ca.crt.

Além disso, como eles funcionam sobre TCP, minha suposição seria que os certificados são perfeitamente válidos. Eu posso imaginar a conexão sendo ruim (embora seja DSL em uma extremidade e fibra de negócios na outra extremidade), mas isso é solucionável? Eu também tentei gerar novos certificados (CA, servidor e cliente), mas isso dá exatamente o mesmo erro. Espero que alguém possa me dar algumas dicas.

    
por mycroes 24.05.2012 / 22:52

1 resposta

2

Felizmente, descobri a questão, infelizmente foi meu erro. Há pouco tempo, eu estava testando VPN sobre UDP em outro servidor e, portanto, tinha conexões UDP na porta 1194 redirecionadas para o outro servidor. O outro servidor ainda tinha o OpenVPN em execução, com um certificado muito semelhante. Então, na verdade, o erro estava correto e foi causado pela conexão com um servidor diferente ao se conectar usando o UDP. Embora eu me sinta estúpido em cometer esse erro, estou feliz por ter descoberto o que deu errado.

    
por 31.05.2012 / 20:10