物好き者

物好き者が行ったことを載せています。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

PageTop

OpenWRT10.03でのOpenVPN証明書接続が出来ませんでした

OpenWRT10.03でのOpenVPN静的証明書接続が出来ました と、 Windows版OpenVPNとdd-wrtのOpenVPNクライアントの接続2 は出来ましたので、OpenWRT10.03でのOpenVPN証明書接続を行ってみました。

Services>OpenVPNを開き、新しい設定名を入力し、プルダウンメニューからClient configuration for a routed multi-client VPN を選択し、AddEntryをクリックします。
Remote host name or ip address:OpenVPNサーバーIPを設定、Certificate authority:ca.crt、Local certificate:client1.crt、Local private key:client1.key をアップロードしました。

Save & Applyをクリックしてから、Services>OpenVPNを開きなおし、作成した設定名行のEnabledをチェックします。

Services>Initscriptsで、openvpnのEnableをクリックして、StartをクリックすることでOpenVPNが起動しますが、サーバーと接続されませんでした。

Web管理画面のStatus>System logを見ると、下記のようになっておりました。

Apr 10 17:49:41 OpenWrt daemon.warn openvpn(PKI_Client)[3553]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: Re-using SSL/TLS context
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: LZO compression initialized
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: Local Options hash (VER=V4): '41690919'
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: Expected Remote Options hash (VER=V4): '530fdded'
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: Socket Buffers: R=[114688->131072] S=[114688->131072]
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: UDPv4 link local: [undef]
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: UDPv4 link remote: 10.3.2.201:1194
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: TLS: Initial packet from 10.3.2.201:1194, sid=f6d2dc6a fcbdff95
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: VERIFY OK: depth=1, /C=JP/ST=CA/L=Tokyo/O=OpenVPN/OU=dd-wrt/CN=VirtualXP-43760/emailAddress=メールアドレス
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: Certificate does not have key usage extension
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: VERIFY KU ERROR
Apr 10 17:49:41 OpenWrt daemon.err openvpn(PKI_Client)[3553]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
Apr 10 17:49:41 OpenWrt daemon.err openvpn(PKI_Client)[3553]: TLS Error: TLS object -> incoming plaintext read error
Apr 10 17:49:41 OpenWrt daemon.err openvpn(PKI_Client)[3553]: TLS Error: TLS handshake failed
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: TCP/UDP: Closing socket
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: SIGUSR1[soft,tls-error] received, process restarting
Apr 10 17:49:41 OpenWrt daemon.notice openvpn(PKI_Client)[3553]: Restart pause, 2 second(s)


OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables とあるので、実行してみましたが、状況は変わりませんでした。
起動時に実行しないといけないので、設定に書き込む必要があるようです。
ただし、******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext と有るので、セキュリティが確保できないようです。
root@OpenWrt:/tmp/log# openvpn --script-security 2 --dev TUN
Sun Apr 11 18:27:06 2010 OpenVPN 2.1.1 mipsel-openwrt-linux [SSL] [LZO2] built on Mar 20 2010
Sun Apr 11 18:27:06 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Apr 11 18:27:06 2010 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sun Apr 11 18:27:06 2010 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Sun Apr 11 18:27:06 2010 I don't recognize device TUN as a tun or tap device
Sun Apr 11 18:27:06 2010 Exiting


dd-wrtでclient1.crtの内容を貼り付けた時は、-----BEGIN CERTIFICATE----- から -----END CERTIFICATE-----までの内容だけを貼り付けました。
client1.crtに頭には、Certificate: の内容が書かれているので、dd-wrtと同じように-----BEGIN CERTIFICATE----- から -----END CERTIFICATE-----までの内容のファイルを作成して読み込ませてみましたが、状況は変わりませんでした。

何か設定が必要なのでしょうか。

スポンサーサイト

PageTop

コメント


管理者にだけ表示を許可する
 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。