CHR.Разделение CA и OpenVPN server.

Базовая функциональность RouterOS
CoffeePanda
Сообщения: 3
Зарегистрирован: 24 ноя 2020, 15:46

CHR.Разделение CA и OpenVPN server.

Сообщение CoffeePanda »

Добрый день. Помогите, пожалуйста советом.

Я изучаю микротик, сделал себе демостенд из двух CHR-6.47.4.

Пытаюсь реализовать следующую схему
На МКР1 - организую CA
На МКР2 - Openvpn с использованием сертификатов выданных CA

Я выпустил на МКР1 сертификат ca и подписал им сертификаты mkr2 и user
ca - key cert. sign , crl sign
mkr2 - digital signature, key encipherment,tls server
user - tls client


Экспортировал в PEM и импортировал в МКР2. Импортировал по очереди, сначала ca.crt , потом mkr2.crt и mkr2.key
В списке сертификатов ca обозначен LAT , а mkr2 KT
Сертификат mkr2 добавил в настройку openvpn

Сертификат ca.crt , user.crt и user.key с файлом конфига и файлом с логином паролем импортировал в openVPN connect

При попытке подключиться "tls_process_server_certificate:cerificate verify failed

Попробовал настроить openvpn на МКР1. Выпустил сертификат по аналогии с mkr2. Клиент подключается без проблем.

Сделал на МКР1 SCEP. На МКР2 подписал сертификат через SCEP. В настройке openvpn поставил новый сертификат подписанный через SCEP.

Галку с "Require Clinet Certificate" снимал\ставил.

Может есть у кого-нибудь идея? Заранее спасибо!
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: CHR.Разделение CA и OpenVPN server.

Сообщение Chupaka »

Приветствую.
CoffeePanda писал(а): 24 ноя 2020, 16:05 При попытке подключиться "tls_process_server_certificate:cerificate verify failed
А рядом больше ничего интересного? Я бы именно клиентскую сторону смотрел, для начала...
CoffeePanda
Сообщения: 3
Зарегистрирован: 24 ноя 2020, 15:46

Re: CHR.Разделение CA и OpenVPN server.

Сообщение CoffeePanda »

Chupaka писал(а): 24 ноя 2020, 19:19 Приветствую.
А рядом больше ничего интересного? Я бы именно клиентскую сторону смотрел, для начала...
Клиент windows 10 с openvpn connect.
В той же сети. К МКР1 подключается без проблем, к МКР2 ошибка.
Конфиг один и тот же.

Код: Выделить всё

client
dev tun
proto tcp
remote 192.168.0.144 1194
auth-nocache
ca ca.crt
cert user.crt
key user.key
remote-cert-tls server
cipher AES-256-CBC
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
auth-nocache
auth-user-pass
auth-user-pass auth.cfg
Попробую поставить 3 CHR и использовать его как клиент.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: CHR.Разделение CA и OpenVPN server.

Сообщение Chupaka »

Так вы лог на клиенте смотрели или нет?
CoffeePanda
Сообщения: 3
Зарегистрирован: 24 ноя 2020, 15:46

Re: CHR.Разделение CA и OpenVPN server.

Сообщение CoffeePanda »

Chupaka писал(а): 25 ноя 2020, 18:57 Так вы лог на клиенте смотрели или нет?
Да, конечно.

Код: Выделить всё

26.11.2020, 12:16:57 Connecting to [192.168.0.142]:1194 (192.168.0.142) via TCPv4
⏎26.11.2020, 12:16:57 Tunnel Options:V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client
⏎26.11.2020, 12:16:57 Creds: Username/Password
⏎26.11.2020, 12:16:57 Peer Info:
IV_VER=3.git::3e56f9a6
IV_PLAT=win
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_AUTO_SESS=1
IV_GUI_VER=OCWindows_3.2.1-1180
IV_SSO=openurl

⏎26.11.2020, 12:16:57 EVENT: RESOLVE ⏎26.11.2020, 12:16:57 EVENT: WAIT ⏎26.11.2020, 12:16:57 EVENT: CONNECTING ⏎26.11.2020, 12:16:57 EVENT: CERT_VERIFY_FAIL OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed⏎26.11.2020, 12:16:57 EVENT: DISCONNECTED ⏎26.11.2020, 12:16:57 Transport Error: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
⏎
Нагуглил про " error:1416F086:SSL routines"
Такое наблюдалось, когда сертификат сервера по ошибке имел одинаковые строки Эмитента и Субъекта, хотя и был подписан CA. Эмитент и Субъект идентичны в CA сертификате верхнего уровня, но они не могут быть идентичны в сертификате сервера.