Erro de opções: o parâmetro ca_file só pode ser especificado no modo TLS

0

Atualmente estou tentando configurar um cliente OpenVPN no meu Raspberry Pi. Eu continuo recebendo algumas mensagens de erro relacionadas ao TLS.

O syslog me dá isso:

Nov 23 08:34:56 raspberrypi ovpn-ersterclient[1370]: disabling NCP mode (-- 
ncp-disable) because not in P2MP client or server mode
Nov 23 08:34:56 raspberrypi ovpn-ersterclient[1370]: Options error: 
Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server 
or --tls-client is also specified.
Nov 23 08:34:56 raspberrypi ovpn-ersterclient[1370]: Use --help for more 
information.
Nov 23 08:34:56 raspberrypi systemd[1]: [email protected]: 
Control process exited, code=exited status=1
Nov 23 08:34:56 raspberrypi systemd[1]: Failed to start OpenVPN connection 
to ersterclient.
Nov 23 08:34:56 raspberrypi systemd[1]: [email protected]: Unit 
entered failed state.
Nov 23 08:34:56 raspberrypi systemd[1]: [email protected]: Failed 
with result 'exit-code'.

E o meu .conf tem esta aparência:

dev tun
proto udp
remote IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-128-CBC
auth SHA1
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
CERT
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
CERT
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN CERTIFICATE-----
CERT
-----END PRIVATE KEY-----
</key>
    
por Eymali 23.11.2018 / 11:26

1 resposta

0

Do Manual de referência do OpenVPN :

OpenVPN supports conventional encryption using a pre-shared secret key (Static Key mode) or public key security (SSL/TLS mode) using client & server certificates. OpenVPN also supports non-encrypted TCP/UDP tunnels.

Para operar no modo TLS, você precisa adicionar tls-server à configuração do servidor e tls-client à configuração do cliente junto com o certificado da CA, o certificado do servidor e a chave privada que você já possui.

Como alternativa, para trabalhar no modo de chave pré-compartilhada, você precisará remover todas as referências a certificados e chaves privadas dos arquivos de configuração e garantir que esteja usando a opção secret apontando para uma chave compartilhada.

Presumivelmente (embora eu não tenha tentado), se você remover ambos, você terminará com o túnel TCP / UDP não criptografado mencionado, o que não fornecerá nenhuma segurança.

    
por 23.11.2018 / 17:50