2 votes

jrishaw avatar

Solution de contournement tls-remote pour openvpn sur Ubuntu 17.10

Demandé el 27 de Novembre, 2017
Quand la question a-t-elle été
4478 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de contourner l'option

--tls-remote

a été supprimé dans openvpn 2.4 donc mon fichier de configuration openvpn ne fonctionne plus.

J'ai essayé de rétrograder openvpn de la 2.4 dans Ubuntu 17.10 à la 2.3.4 :

apt remove openvpn
wget http://ftp.us.debian.org/debian/pool/main/o/openvpn/openvpn_2.3.4-5+deb8u2_amd64.deb
dpkg -i openvpn_2.3.4-5+deb8u2_amd64.deb

Mais il semble que la version 2.3 ne soit pas compatible avec Ubuntu 17.10 : le paquet est manquant. initscripts qui n'est pas installable sur 17.10.

Que puis-je faire pour que mon ancienne configuration fonctionne ? Ou puis-je modifier la configuration pour qu'elle fonctionne avec la 2.4 ? Voici la ligne incriminée :

tls-remote "/C=de/L=SomeTown/O=Something/CN=asg.myserver.de/emailAddress=administrator@myserver.de"
Demandé el 27 de Novembre, 2017 par jrishaw

Réponses

Trop de publicités?

3voto

Arronical avatar
Arronical Points 18815

La nouvelle option de configuration à utiliser est verify-x509-name il semble s'attendre à une liste séparée par des virgules et des espaces pour votre Distinguished Name (DN) :

verify-x509-name 'C=de, L=SomeTown, O=Something, CN=asg.myserver.de, emailAddress=administrator@myserver.de'

Ces informations proviennent du Page de manuel OpenVPN pour 2.4 dans la section Options du mode TLS. L'exemple présenté n'utilise que les parties C, ST, L et CN pour composer le DN, mais il semble qu'il devrait fonctionner avec d'autres composants du DN.

Répondu el 27 de Novembre, 2017 par Arronical (18815 Points )

0voto

jrishaw avatar
jrishaw Points 71

Vous devez remplacer le --tls-remote name avec le nouveau --verify-x509-name name type directive :

https://community.openvpn.net/openvpn/wiki/DeprecatedOptions#a--tls-remote

Donc, au lieu de la commande tls-remote, utilisez ceci :

verify-x509-name 'C=de, L=SomeTown, O=Something, CN=asg.myserver.de, emailAddress=administrator@myserver.de'

Bizarrement, cela n'a pas fonctionné sur mon système, j'ai eu une erreur :

VERIFY X509NAME ERROR: C=de, L=SomeTown, O=Something, CN=asg.myserver.de, emailAddress=administrator@myserver.de, must be C=de, L=SomeTown, O=Something, CN=asg.myserver.de, emailAddress=administrator@myserver.de

Ce qui semble un message vraiment étrange, alors j'ai essayé d'autres options et j'ai découvert que cela fonctionne avec le type name au lieu du type (par défaut) subject :

verify-x509-name asg.myserver.de name
Répondu el 27 de Novembre, 2017 par jrishaw (71 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X