[Schan-user] OpenVPN

Harry walk2sun at arcor.de
Sam Mai 6 01:48:46 CEST 2006


Am Freitag, 5. Mai 2006 22:44 schrieb Helmut Hullen:
> Hallo, Harry,
>
> Du meintest am 05.05.06 zum Thema Re: [Schan-user] OpenVPN:
> >> die OpenVPN-Verbindung zu unserem Schularktur kommt nicht zu
> >> Stande und die Fehlermeldungen helfen mir nicht weiter, ebenso
> >> wenig die Suche im Internet.
> >>
> >> Fri May 05 17:40:03 2006 WARNING: No server certificate
> >> verification method has been enabled.  See
> >> http://openvpn.net/howto.html#mitm for more info.
> >
> > Der erste Fehler bedingt alle folgenden. siehe : ^^^da oben nach
> >
> > ... und meckert weil er das TLS Handshake nicht ausfuehren kann,
> > Wie auch wenn Deine Kiste keine "Server Zertifikate" bereitstellt,
> > siehe erste Fehlermeldung.
>
> Wo ist der direkte Fehler (soweit sich das aus der Ferne sagen lässt):
> beim Server, beim Client oder bei der Kombination unverträglicher
> Verfahren?
Aus der Ferne betrachtet, ohne die aktuelle Konfiguration zu kennen;

Die Software ist sowohl auf dem Client als auch auf dem Server korrekt 
installiert. Zumindest was den Verbindungsaufbau bis zum Auftauchen des 
ersten Fehlers betrifft.

Entscheidend ist dies (Server):
WARNING: No server certificate verification method has been enabled.

und dies (Client):
TLS Error: TLS key negotiation failed to occur

Der Verweis auf:
http://openvpn.net/howto.html#mitm
ist nur eine moegliche Hilfestellung.

-------------------

Der Server kommt mit den Zertifikaten die ihm der Administrator oder Developer 
zur Verfuehung stellt nicht klar. Das kann mehrere Ursachen haben ...

Ich wuerde in dieser Reihenfolge die Serverzertifikate ueberpruefen:
1. Ist der eingetragene Certifikatsname im Serverzertifikat der DNS-Name? 
   Erforderlich bei RSA Certs. Ueberpruefen mit:
		getent hosts arktur # sofern der Server arktur heisst
		192.168.0.5     Arktur Arktur.europaschuledortmund.do.nw.schule.de
   Fuer diesen Arktur gilt:
CommonName = DNS-Name = Arktur.europaschuledortmund.do.nw.schule.de
Der Shortname arktur kann/sollte als alias im Zertifikat eingetragen sein.

2. Das Serverzertifikat darf kein Passwortschutz haben.

3. Das Serverzertifikat muss mode 600 haben.

4. Verwechselung von private/public key bei der Schluesselverteilung

5. Falsche Verzeichnissstruktur und/oder falscher public CA key.

6. Fehler bei der Zertifikatsgenerierung
   - bei RSA Zertifikaten muss das Serverzertifikat den Netscape Regeln 
     entsprechen. Die clients haben dies als Voreinstellung!!! Bei RSA.

7. Einheitlich nur RSA oder nur DSA keys.



Im Zweifelsfall die gesammte PKI loeschen und neu aufbauen. Am besten in einem 
anderen Verzeichniss oder auf einem separaten Rechner. Ich kenne die PKI von 
openvpn nicht im Detail, habe aber sehr gute Erfahrungen mit PYCA und TINYCA 
gemacht. ROCA werde ich demnaechst ausprobieren. Laeuft von einer Koppix-CD 
mit USB-Stick. Genau das richtige fuer kleine Installationen.

Alternativ:
Schick mir eine Dateiliste (ls -l) der Installation incl einer Auflistung 
aller Keyfiles. Natuerlich ohne die Dateien. Und einen ASCII-Export aller 
keys. Natuerlich ohne die Schluessel!! Die musst Du selbst vergleichen. 
Wenn Du sie mir schickst, denke daran, dass die dann KOMPROMITIERT sind.


> Der Server wurde nach der Anleitung in der c't 9/2005 eingerichtet.
Bestimmt nicht schlecht. Aber daran kann ich mich im Augenblick nicht 
erinnern. Obwohl ich sie bestimmt gelesen habe.

Gruss
	Harry

-- 

Gruß
	Harry Jede

_______________________________________________
schan-user mailing list
schan-user at listserv.heise.de
http://www.heise.de/bin/newsletter/listinfo/schan-user