Hallo,
ich verwende Zentyal (Ubuntu) als Server. Hier gibt es ein Web-IF, welches mir die Konfiguration für OpenVPN erzeugt. Man kann sich sogar ein Paket mit den Zertifikaten und der *.conf herunterladen
Jetzt habe ich OpenVPN auf dem Android-Handy runtergeladen. Hier kann man eine *.conf einlesen. Leider scheint dies nur für Konfigurationsdateien zu funktionieren, in denen die Zertifikate 'inline', also in der *.conf enthalten sind.
Ich habe also die Zertifikate manuell in die Konfigurationsdatei eingefügt.
Also:
<ca>
Zertifikat
</ca>
usw.
Das lässt sich dann auch im Handy importieren.
Verbinde ich jetzt, so gibt es aber dennoch einen Fehler:
Sun Apr 14 11:59:47 2013 109.47.0.125:32843 VERIFY OK: depth=1, /C=DE/L=Weyhe/O=FamilieFriedel/CN=Certification_Authority_Certificate
Sun Apr 14 11:59:47 2013 109.47.0.125:32843 VERIFY X509NAME ERROR: /C=DE/L=W/O=FamilieFri/CN=HomeServerVPN, must be vpn-HomeserverOpenVPN
Sun Apr 14 11:59:47 2013 109.47.0.125:32843 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sun Apr 14 11:59:47 2013 109.47.0.125:32843 TLS Error: TLS object -> incoming plaintext read error
Sun Apr 14 11:59:47 2013 109.47.0.125:32843 TLS Error: TLS handshake failed
Sun Apr 14 11:59:47 2013 109.47.0.125:32843 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Apr 14 12:01:32 2013 MULTI: multi_create_instance called
Sun Apr 14 12:01:32 2013 109.47.0.125:61698 Re-using SSL/TLS context
Sun Apr 14 12:01:32 2013 109.47.0.125:61698 LZO compression initialized
Sun Apr 14 12:01:32 2013 109.47.0.125:61698 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 14 12:01:32 2013 109.47.0.125:61698 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 14 12:01:32 2013 109.47.0.125:61698 Local Options hash (VER=V4): '530fdded'
Sun Apr 14 12:01:32 2013 109.47.0.125:61698 Expected Remote Options hash (VER=V4): '41690919'
Sun Apr 14 12:01:32 2013 109.47.0.125:61698 TLS: Initial packet from [AF_INET]109.47.0.125:61698 (via [AF_INET]192.168.178.3%br1), sid=df7c9506 1765c591
Sun Apr 14 12:01:36 2013 read UDPv4 [CMSG=8|ECONNREFUSED]: Connection refused (code=111)
Alles anzeigen
Ich denke, diese zwei Zeilen sind schon das Problem:
Sun Apr 14 11:59:47 2013 109.47.0.125:32843 VERIFY OK: depth=1, /C=DE/L=Weyhe/O=FamilieFriedel/CN=Certification_Authority_Certificate
Sun Apr 14 11:59:47 2013 109.47.0.125:32843 VERIFY X509NAME ERROR: /C=DE/L=W/O=FamilieFri/CN=HomeServerVPN, must be vpn-HomeserverOpenVPN
Dieses Zertifikat scheint also ein falsches zu sein, oder?
Jetzt habe ich es mal in Windows ausprobiert:
Besonders komisch: Im log vom Windows-Client besteht das Problem nicht..
Sun Apr 14 13:28:03 2013 VERIFY OK: depth=1, /C=DE/L=Weyhe/O=FamilieFriedel/CN=Certification_Authority_Certificate
Sun Apr 14 13:28:03 2013 VERIFY X509NAME OK: /C=DE/L=W/O=FamilieFri/CN=vpn-HomeserverOpenVPN
Sun Apr 14 13:28:03 2013 VERIFY OK: depth=0, /C=DE/L=W/O=FamilieFri/CN=vpn-HomeserverOpenVPN
Der Server meckert aber:
Sun Apr 14 13:32:12 2013 88.71.34.135:57102 TLS: Initial packet from [AF_INET]88.71.34.135:57102 (via [AF_INET]192.168.178.3%br1), sid=071e8a85 503b28e6
Sun Apr 14 13:32:12 2013 88.71.34.135:57102 CRL: CRL /var/lib/zentyal/CA/crl/latest.pem is from a different issuer than the issuer of certificate /C=DE/L=Weyhe/O=FamilieFriedel/CN=Certification_Authority_Certificate
Sun Apr 14 13:32:12 2013 88.71.34.135:57102 VERIFY OK: depth=1, /C=DE/L=W/O=FamilieFri/CN=Certification_Authority_Certificate
Sun Apr 14 13:32:12 2013 88.71.34.135:57102 VERIFY X509NAME ERROR: /C=DE/L=W/O=FamilieFri/CN=HomeServerVPN, must be vpn-HomeserverOpenVPN
Sun Apr 14 13:32:12 2013 88.71.34.135:57102 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Gruß&Danke,
Hendrik