vpnux Clientのエラーについて質問をさせてください。
438 views
Skip to first unread message
ogi.s
Apr 23, 2023, 10:33:08 PM4/23/23
to OpenVPN Japan Users Group
ogi.sと申します。
上記手順に従い、VPNサーバーを構築しており、
vpnux Clientを起動したところ、下記エラーが発生しております。
WARNING: No server certificate verification method has been enabled.
ca.crt,User.crt,ta.key,User.keyに関しては問題なく配置が出来ているように確認出来ております。
※サーバー側も/etc/openvpn/serverに各ファイルを設置しており、server.conf内もそちらを参照するよう記述しています。
考えられる対処法をご教示いただけますと幸いです。
Taro Yamazaki
Apr 23, 2023, 11:09:24 PM4/23/23
to openvpn-japa...@googlegroups.com
ogi.sさま
やまざきです。
このメッセージは「サーバー証明書のチェックを行わない設定になっている」という通知のためのWarningですので、接続自体には影響ありません。サーバー証明書のチェックを行わなくても接続自体は可能です。
※ vpnux Clientのプロファイル設定にある「詳細設定」の「サーバー証明書のnsCertTypeを検証」をONにすると、サーバー証明書のチェックを有効にできます。
接続ができていないとなると別の原因が考えられます。
On 2023/04/24 11:33, ogi.s wrote:
> ogi.sと申します。
>
> http://www.yam-web.net/rocky8/openvpn/index.html
>
> 上記手順に従い、VPNサーバーを構築しており、
> vpnux Clientを起動したところ、下記エラーが発生しております。
>
> *
> *
> ca.crt,User.crt,ta.key,User.keyに関しては問題なく配置が出来ているように確認出来ております。
> ※サーバー側も/etc/openvpn/serverに各ファイルを設置しており、server.conf内もそちらを参照するよう記述しています。
>
> 考えられる対処法をご教示いただけますと幸いです。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/dbe6ab39-0441-4318-8f84-ff9b0281b46dn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/dbe6ab39-0441-4318-8f84-ff9b0281b46dn%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
ogi.s
Apr 24, 2023, 12:06:38 AM4/24/23
to OpenVPN Japan Users Group
やまざき様
お世話になります。
ogi.sです。
ご回答ありがとうございます。
いただいた手順のもと、接続を試みたところ、
下記エラーが発生しました。
2023/04/24 13:02:36 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
2023/04/24 13:02:36 Windows version 6.2 (Windows 8 or greater) 64bit
2023/04/24 13:02:36 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
2023/04/24 13:02:36 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:31198
2023/04/24 13:02:36 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
2023/04/24 13:02:36 >PASSWORD:Need 'Private Key' password
2023/04/24 13:02:36 Need password(s) from management interface, waiting...
2023/04/24 13:02:36 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:31198
2023/04/24 13:02:36 MANAGEMENT: CMD 'echo on'
2023/04/24 13:02:36 SUCCESS: 'Private Key' password entered, but not yet verified
2023/04/24 13:02:36 MANAGEMENT: CMD 'password [...]'
2023/04/24 13:02:36 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2023/04/24 13:02:36 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2023/04/24 13:02:36 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2023/04/24 13:02:36 TCP/UDP: Preserving recently used remote address: [AF_INET]”サーバーIPアドレス”:1194
2023/04/24 13:02:36 Socket Buffers: R=[65536->65536] S=[65536->65536]
2023/04/24 13:02:36 UDP link local (bound): [AF_INET][undef]:1194
2023/04/24 13:02:36 UDP link remote: [AF_INET]”サーバーIPアドレス”:1194
2023/04/24 13:02:36 Windows version 6.2 (Windows 8 or greater) 64bit
2023/04/24 13:02:36 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
2023/04/24 13:02:36 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:31198
2023/04/24 13:02:36 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
2023/04/24 13:02:36 >PASSWORD:Need 'Private Key' password
2023/04/24 13:02:36 Need password(s) from management interface, waiting...
2023/04/24 13:02:36 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:31198
2023/04/24 13:02:36 MANAGEMENT: CMD 'echo on'
2023/04/24 13:02:36 SUCCESS: 'Private Key' password entered, but not yet verified
2023/04/24 13:02:36 MANAGEMENT: CMD 'password [...]'
2023/04/24 13:02:36 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2023/04/24 13:02:36 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2023/04/24 13:02:36 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2023/04/24 13:02:36 TCP/UDP: Preserving recently used remote address: [AF_INET]”サーバーIPアドレス”:1194
2023/04/24 13:02:36 Socket Buffers: R=[65536->65536] S=[65536->65536]
2023/04/24 13:02:36 UDP link local (bound): [AF_INET][undef]:1194
2023/04/24 13:02:36 UDP link remote: [AF_INET]”サーバーIPアドレス”:1194
2023/04/24 13:02:36 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
2023/04/24 13:02:38 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
2023/04/24 13:02:38 read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
こちらの解消には、サーバー側の設定で、
何か変更が必要なのでしょうか?
2023年4月24日月曜日 12:09:24 UTC+9 ta...@plum-systems.co.jp:
Taro Yamazaki
Apr 24, 2023, 1:13:42 AM4/24/23
to openvpn-japa...@googlegroups.com
ogi.sさま
> read UDP: Connection reset by peer (WSAECONNRESET) (code=10054)
プロファイル設定でサーバーアドレス、プロトコル、ポート番号が正しく設定されているか、ファイアウォールでブロックされていないかなどをご確認ください。
やまざき
On 2023/04/24 13:06, ogi.s wrote:
> やまざき様
>
> お世話になります。
> ogi.sです。
>
> ご回答ありがとうございます。
>
> いただいた手順のもと、接続を試みたところ、
> 下記エラーが発生しました。
>
> 2023/04/24 13:02:36 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
> 2023/04/24 13:02:36 Windows version 6.2 (Windows 8 or greater) 64bit
> 2023/04/24 13:02:36 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
> 2023/04/24 13:02:36 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:31198
> >
> > 上記手順に従い、VPNサーバーを構築しており、
> > vpnux Clientを起動したところ、下記エラーが発生しております。
> >
> > * WARNING: No server certificate verification method has been enabled.*
> > *
> > *
> > ca.crt,User.crt,ta.key,User.keyに関しては問題なく配置が出来ているように確認出来ております。
> > ※サーバー側も/etc/openvpn/serverに各ファイルを設置しており、server.conf内もそちらを参照するよう記述しています。
> >
> > 考えられる対処法をご教示いただけますと幸いです。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> > このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/dbe6ab39-0441-4318-8f84-ff9b0281b46dn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/dbe6ab39-0441-4318-8f84-ff9b0281b46dn%40googlegroups.com> <https://groups.google.com/d/msgid/openvpn-japan-users-group/dbe6ab39-0441-4318-8f84-ff9b0281b46dn%40googlegroups.com?utm_medium=email&utm_source=footer <https://groups.google.com/d/msgid/openvpn-japan-users-group/dbe6ab39-0441-4318-8f84-ff9b0281b46dn%40googlegroups.com?utm_medium=email&utm_source=footer>> にアクセスしてください。
> > 上記手順に従い、VPNサーバーを構築しており、
> > vpnux Clientを起動したところ、下記エラーが発生しております。
> >
> > * WARNING: No server certificate verification method has been enabled.*
> > *
> > *
> > ca.crt,User.crt,ta.key,User.keyに関しては問題なく配置が出来ているように確認出来ております。
> > ※サーバー側も/etc/openvpn/serverに各ファイルを設置しており、server.conf内もそちらを参照するよう記述しています。
> >
> > 考えられる対処法をご教示いただけますと幸いです。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/5a6854df-dce1-46da-a45a-1f8914c1f186n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/5a6854df-dce1-46da-a45a-1f8914c1f186n%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
ogi.s
Apr 24, 2023, 1:45:28 AM4/24/23
to OpenVPN Japan Users Group
やまざき様
度々ご回答ありがとうございます。
>プロファイル設定でサーバーアドレス、プロトコル、ポート番号が正しく設定
こちらの”サーバーアドレス"はVPNサーバーとして利用しているRocky Linuxの静的IPアドレスの認識で問題ないでしょうか。
そうであれば、こちらに関しては問題なく設定を行っております。
>ファイアウォールでブロックされていないか
firewall-cmd --add-port=1194/udp --permanent
Warning: ALREADY_ENABLED: 1194:udpsuccess
こちらもポート1194は開放されています。
Taro Yamazaki
Apr 24, 2023, 1:58:54 AM4/24/23
to openvpn-japa...@googlegroups.com
ogi.sさま
OpenVPNサーバー側に何かログは出ていませんか?
もし出ていれば原因究明の手がかりになると思います。
# サーバーにログが出ていなければサーバーに接続できていないことになりますので、その場合はネットワーク接続ができていないか、OpenVPNサーバーが正常に動作していない可能性が高いと思います。
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/4e9c63d0-1583-4c47-a547-157cda2e2d1fn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/4e9c63d0-1583-4c47-a547-157cda2e2d1fn%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
ogi.s
Apr 24, 2023, 2:03:24 AM4/24/23
to OpenVPN Japan Users Group
やまざき様
ログを確認したところ、下記出力がございました。
cat openvpn.log
Options error: --server directive network/netmask combination is invalid
Use --help for more information.
Options error: --server directive network/netmask combination is invalid
Use --help for more information.
2023年4月24日月曜日 14:58:54 UTC+9 ta...@plum-systems.co.jp:
Taro Yamazaki
Apr 24, 2023, 2:09:06 AM4/24/23
to openvpn-japa...@googlegroups.com
ogi.sさま
> Options error: --server directive network/netmask combination is invalid
これだと当然クライアントは接続できませんので、OpenVPNサーバーが正常に動作していることを確認した上で、クライアントからの接続をお試しください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/3af66129-ee05-4759-8e93-9a793a5c86f0n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/3af66129-ee05-4759-8e93-9a793a5c86f0n%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
ogi.s
Apr 24, 2023, 2:31:57 AM4/24/23
to OpenVPN Japan Users Group
やまざき様
ありがとうございます。
server.conf内の下記設定の箇所が間違っている認識であっておりますでしょうか?
# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0
2023年4月24日月曜日 15:09:06 UTC+9 ta...@plum-systems.co.jp:
ogi.s
Apr 24, 2023, 10:47:41 PM4/24/23
to OpenVPN Japan Users Group
ご相談に乗っていただき、誠にありがとうございました。
server.confを編集したところ、
サーバーの起動とvpnux clientの起動が出来ました。
・・・が、vpnux clientから与えられるIPが想定していたネットワークのアドレスと異なり、
環境に対してVPN接続が出来ません。
2023/04/25 9:36:46 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 192.168.100.5
2023/04/25 9:36:46 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
2023/04/25 9:36:46 Route addition via IPAPI succeeded [adaptive]
2023/04/25 9:36:46 C:\WINDOWS\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 192.168.100.5
2023/04/25 9:36:46 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
2023/04/25 9:36:46 Route addition via IPAPI succeeded [adaptive]
2023/04/25 9:36:46 Initialization Sequence Completed
2023/04/25 9:36:46 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
2023/04/25 9:36:46 Route addition via IPAPI succeeded [adaptive]
2023/04/25 9:36:46 C:\WINDOWS\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 192.168.100.5
2023/04/25 9:36:46 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
2023/04/25 9:36:46 Route addition via IPAPI succeeded [adaptive]
2023/04/25 9:36:46 Initialization Sequence Completed
C:\WINDOWS\system32\route.exe
こちらのプログラムがアドレスを振っているように見られますが、
192.168.1.0 MASK 255.255.255.0のネットワーク内のアドレスを振り分ける設定方法がわかりません。
ご教授いただけますと幸いです。
2023年4月24日月曜日 15:31:57 UTC+9 ogi.s:
Taro Yamazaki
Apr 24, 2023, 11:32:15 PM4/24/23
to openvpn-japa...@googlegroups.com
ogi.sさま
想定しておられるネットワーク構成の詳細はわかりませんが、これまでのメールからTUN(ルーティング)での設定と推測します。
クライアントに割り当てられるVPNアドレスは server ディレクティブで設定したネットワークアドレス/ネットマスクから割り当てられます。
引用されているログですが、route コマンドはルーティングを設定するための処理で、ここに出てくるIPアドレスは割り当てられるIPアドレスとは必ずしも関係しません。
VPNアドレスの割り当ては、ログ内の「TAP-Windows driver to set a DHCP IP/netmask of ~」で始まるログで確認できます(vpnux Clientであれば通知や接続ウィンドウからも確認できます)。もし想定と異なるIPアドレスが割り当てられているのであれば、VPNサーバーでの server ディレクティブの設定をチェックしてください。
TUNの場合は適切なルーティング設定も必要になりますので、まずVPN対向側(サーバーのVPNアドレス)への疎通を確認し、つながっていることが確認できればその先(たとえばVPNサーバーが置かれているネットワークセグメントの別PCなど)、と段階を追って確認することをお勧めします。
若干古いですが、基本的な設定については https://www.openvpn.jp/document/how-to/#Expanding もご参照ください。
On 2023/04/25 11:47, ogi.s wrote:
> ご相談に乗っていただき、誠にありがとうございました。
>
> server.confを編集したところ、
> サーバーの起動とvpnux clientの起動が出来ました。
>
> ・・・が、vpnux clientから与えられるIPが想定していたネットワークのアドレスと異なり、
> 環境に対してVPN接続が出来ません。
>
> *2023/04/25 9:36:46 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
> 2023/04/25 9:36:46 Route addition via IPAPI succeeded [adaptive]
> *2023/04/25 9:36:46 C:\WINDOWS\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 192.168.100.5*
> 2023/04/25 9:36:46 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
> 2023/04/25 9:36:46 Route addition via IPAPI succeeded [adaptive]
> 2023/04/25 9:36:46 Initialization Sequence Completed
>
> *C:\WINDOWS\system32\route.exe
> 2023/04/25 9:36:46 Route addition via IPAPI succeeded [adaptive]
> 2023/04/25 9:36:46 Initialization Sequence Completed
>
> *こちらのプログラムがアドレスを振っているように見られますが、
> *192.168.1.0 MASK 255.255.255.0*のネットワーク内のアドレスを振り分ける設定方法がわかりません。
>
> ご教授いただけますと幸いです。
> 2023年4月24日月曜日 15:31:57 UTC+9 ogi.s:
>
> やまざき様
>
> ありがとうございます。
>
> server.conf内の下記設定の箇所が間違っている認識であっておりますでしょうか?
>
> # Configure server mode and supply a VPN subnet
> # for OpenVPN to draw client addresses from.
> # The server will take 10.8.0.1 for itself,
> # the rest will be made available to clients.
> # Each client will be able to reach the server
> # on 10.8.0.1. Comment this line out if you are
> # ethernet bridging. See the man page for more info.
> *server 10.8.0.0 255.255.255.0*
> ご教授いただけますと幸いです。
> 2023年4月24日月曜日 15:31:57 UTC+9 ogi.s:
>
> やまざき様
>
> ありがとうございます。
>
> server.conf内の下記設定の箇所が間違っている認識であっておりますでしょうか?
>
> # Configure server mode and supply a VPN subnet
> # for OpenVPN to draw client addresses from.
> # The server will take 10.8.0.1 for itself,
> # the rest will be made available to clients.
> # Each client will be able to reach the server
> # on 10.8.0.1. Comment this line out if you are
> # ethernet bridging. See the man page for more info.
> <https://groups.google.com/d/msgid/openvpn-japan-users-group/4e9c63d0-1583-4c47-a547-157cda2e2d1fn%40googlegroups.com?utm_medium=email&utm_source=footer <https://groups.google.com/d/msgid/openvpn-japan-users-group/4e9c63d0-1583-4c47-a547-157cda2e2d1fn%40googlegroups.com?utm_medium=email&utm_source=footer>>> にアクセスしてください。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> > このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/3af66129-ee05-4759-8e93-9a793a5c86f0n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/3af66129-ee05-4759-8e93-9a793a5c86f0n%40googlegroups.com> <https://groups.google.com/d/msgid/openvpn-japan-users-group/3af66129-ee05-4759-8e93-9a793a5c86f0n%40googlegroups.com?utm_medium=email&utm_source=footer <https://groups.google.com/d/msgid/openvpn-japan-users-group/3af66129-ee05-4759-8e93-9a793a5c86f0n%40googlegroups.com?utm_medium=email&utm_source=footer>> にアクセスしてください。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/a8a07990-af4e-45f1-b34a-02c00df93f18n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/a8a07990-af4e-45f1-b34a-02c00df93f18n%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
ogi.s
May 9, 2023, 3:24:53 AM5/9/23
to OpenVPN Japan Users Group
やまざき様
お世話になります。
ogi.sです。
先日は様々なアドバイスをいただき、誠にありがとうございました。
Serverディレクティブを確認したところ、設定に誤りがございました。
大変助かりました。
別件でのご質問なのですが、
新規ユーザーの追加を行い、クライアント端末よりOpenVPNを起動を行ったところ、
接続が行えずサーバーのログに下記エラーが発生しておりました。
Authenticate/Decrypt packet error: packet HMAC authentication failed
調べたところ、
tls-auth の鍵はサーバーとクライアントの両方で同じファイルを指定
とありましたので改めてファイルを再配置、起動を行っても同様のエラーが発生しました。
ta.keyの生成には下記手順で行っております。
証明書の作成
/usr/share/easy-rsa/3.0.8/easyrsa build-ca
暗号の作成
/usr/share/easy-rsa/3.0.8/easyrsa gen-dh
秘密鍵の作成
openvpn --genkey --secret ./pki/ta.key
公開鍵とサーバー証明書の作成
/usr/share/easy-rsa/3.0.8/easyrsa build-server-full server nopass
ネット上で色々検索してみたところ、
ハッシュ値に問題がありそうとの事でしたので確認を行いました。
※ハッシュ値はぼかしております
Client
[root@vpn]# openssl rsa -noout -modulus -in user.crt | openssl md5
unable to load Private Key
140688491837328:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY
(stdin)= d******************************e
[root@vpn]# openssl rsa -noout -modulus -in user.key | openssl md5
Enter pass phrase for nextone-user008.key:
(stdin)= f??????????????????????????????c
Server
[root@vpn]# openssl rsa -noout -modulus -in server.crt | openssl md5
unable to load Private Key
139864184883088:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY
(stdin)= d******************************e
[root@vpn]# openssl rsa -noout -modulus -in server.key | openssl md5
(stdin)= 4++++++++++++++++++++++++++++++6
crtの値は同一ですが、keyに整合性が無いことが原因だとは思いますが、
[root@vpn]# openssl rsa -noout -modulus -in user.crt | openssl md5
unable to load Private Key
140688491837328:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY
(stdin)= d******************************e
[root@vpn]# openssl rsa -noout -modulus -in user.key | openssl md5
Enter pass phrase for nextone-user008.key:
(stdin)= f??????????????????????????????c
Server
[root@vpn]# openssl rsa -noout -modulus -in server.crt | openssl md5
unable to load Private Key
139864184883088:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY
(stdin)= d******************************e
[root@vpn]# openssl rsa -noout -modulus -in server.key | openssl md5
(stdin)= 4++++++++++++++++++++++++++++++6
crtの値は同一ですが、keyに整合性が無いことが原因だとは思いますが、
こちらの解決方法が分からず、、、
何かアドバイスなどいただけますと幸いです。
2023年4月25日火曜日 12:32:15 UTC+9 ta...@plum-systems.co.jp:
Taro Yamazaki
May 9, 2023, 5:10:56 AM5/9/23
to openvpn-japa...@googlegroups.com
ogi.sさま
tls-auth の鍵は easy-rsa で作成される他の鍵や証明書とはまったく無関係です。
このコマンドで生成される ta.key が tls-auth の鍵になります。この鍵の生成に必要なのはこのコマンドのみです。
> openvpn --genkey --secret ./pki/ta.key
生成された鍵ファイルをサーバー、クライアントの両方に配置して tls-auth ディレクティブで指定します。
設定方法は https://www.openvpn.jp/document/how-to/#Security も参照してください。
# この方法で生成された鍵ファイルは「-----BEGIN OpenVPN Static key V1-----」という行が入ったテキストファイルになっていますので、それで判別できます。
試されているコマンドではサーバーやクライアントの証明書や秘密鍵など別々のファイルのハッシュを取っていますので、結果が異なるのは当然です。
「ハッシュ値に問題がありそう」の意味はファイルのハッシュ値とは多分違う意味で(出典がわからないので推測ですが)、tls-auth が正しく設定されていないため、VPN上で通信するデータのハッシュの整合が取れずに通信できない、という意味で使われているのではないかと思います。
やまざき
On 2023/05/09 16:24, ogi.s wrote:
> やまざき様
>
> お世話になります。
> ogi.sです。
>
> 先日は様々なアドバイスをいただき、誠にありがとうございました。
>
> Serverディレクティブを確認したところ、設定に誤りがございました。
>
> 大変助かりました。
>
>
>
>
> 別件でのご質問なのですが、
> 新規ユーザーの追加を行い、クライアント端末よりOpenVPNを起動を行ったところ、
> 接続が行えずサーバーのログに下記エラーが発生しておりました。
>
>
> 調べたところ、
> *tls-auth の鍵はサーバーとクライアントの両方で同じファイルを指定*
>
> とありましたので改めてファイルを再配置、起動を行っても同様のエラーが発生しました。
>
> ta.keyの生成には下記手順で行っております。
>
> 証明書の作成
> /usr/share/easy-rsa/3.0.8/easyrsa build-ca
> 暗号の作成
> /usr/share/easy-rsa/3.0.8/easyrsa gen-dh
> 秘密鍵の作成
> openvpn --genkey --secret ./pki/ta.key
> 公開鍵とサーバー証明書の作成
> /usr/share/easy-rsa/3.0.8/easyrsa build-server-full server nopass
>
> ネット上で色々検索してみたところ、
> ハッシュ値に問題がありそうとの事でしたので確認を行いました。
> ※ハッシュ値はぼかしております
>
> *Client
> とありましたので改めてファイルを再配置、起動を行っても同様のエラーが発生しました。
>
> ta.keyの生成には下記手順で行っております。
>
> 証明書の作成
> /usr/share/easy-rsa/3.0.8/easyrsa build-ca
> 暗号の作成
> /usr/share/easy-rsa/3.0.8/easyrsa gen-dh
> 秘密鍵の作成
> openvpn --genkey --secret ./pki/ta.key
> 公開鍵とサーバー証明書の作成
> /usr/share/easy-rsa/3.0.8/easyrsa build-server-full server nopass
>
> ネット上で色々検索してみたところ、
> ハッシュ値に問題がありそうとの事でしたので確認を行いました。
> ※ハッシュ値はぼかしております
>
>
> [root@vpn]# openssl rsa -noout -modulus -in user.crt | openssl md5
> unable to load Private Key
> 140688491837328:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY
> (stdin)= d******************************e
>
> [root@vpn]# openssl rsa -noout -modulus -in user.key | openssl md5
> Enter pass phrase for nextone-user008.key:
> (stdin)= f??????????????????????????????c
>
> Server
> [root@vpn]# openssl rsa -noout -modulus -in server.crt | openssl md5
> unable to load Private Key
> 139864184883088:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY
> (stdin)= d******************************e
>
> [root@vpn]# openssl rsa -noout -modulus -in server.key | openssl md5
> (stdin)= 4++++++++++++++++++++++++++++++6*
> [root@vpn]# openssl rsa -noout -modulus -in user.crt | openssl md5
> unable to load Private Key
> 140688491837328:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY
> (stdin)= d******************************e
>
> [root@vpn]# openssl rsa -noout -modulus -in user.key | openssl md5
> Enter pass phrase for nextone-user008.key:
> (stdin)= f??????????????????????????????c
>
> Server
> [root@vpn]# openssl rsa -noout -modulus -in server.crt | openssl md5
> unable to load Private Key
> 139864184883088:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY
> (stdin)= d******************************e
>
> [root@vpn]# openssl rsa -noout -modulus -in server.key | openssl md5
>
>
> crtの値は同一ですが、keyに整合性が無いことが原因だとは思いますが、
> こちらの解決方法が分からず、、、
>
> 何かアドバイスなどいただけますと幸いです。
>
>
>
> 2023年4月25日火曜日 12:32:15 UTC+9 ta...@plum-systems.co.jp:
>
>
> ogi.sさま
>
> 想定しておられるネットワーク構成の詳細はわかりませんが、これまでのメールからTUN(ルーティング)での設定と推測します。
>
> クライアントに割り当てられるVPNアドレスは server ディレクティブで設定したネットワークアドレス/ネットマスクから割り当てられます。
>
> 引用されているログですが、route コマンドはルーティングを設定するための処理で、ここに出てくるIPアドレスは割り当てられるIPアドレスとは必ずしも関係しません。
> VPNアドレスの割り当ては、ログ内の「TAP-Windows driver to set a DHCP IP/netmask of ~」で始まるログで確認できます(vpnux Clientであれば通知や接続ウィンドウからも確認できます)。もし想定と異なるIPアドレスが割り当てられているのであれば、VPNサーバーでの server ディレクティブの設定をチェックしてください。
>
> TUNの場合は適切なルーティング設定も必要になりますので、まずVPN対向側(サーバーのVPNアドレス)への疎通を確認し、つながっていることが確認できればその先(たとえばVPNサーバーが置かれているネットワークセグメントの別PCなど)、と段階を追って確認することをお勧めします。
> 若干古いですが、基本的な設定については https://www.openvpn.jp/document/how-to/#Expanding <https://www.openvpn.jp/document/how-to/#Expanding> もご参照ください。
>
> crtの値は同一ですが、keyに整合性が無いことが原因だとは思いますが、
> こちらの解決方法が分からず、、、
>
> 何かアドバイスなどいただけますと幸いです。
>
>
>
> 2023年4月25日火曜日 12:32:15 UTC+9 ta...@plum-systems.co.jp:
>
>
> ogi.sさま
>
> 想定しておられるネットワーク構成の詳細はわかりませんが、これまでのメールからTUN(ルーティング)での設定と推測します。
>
> クライアントに割り当てられるVPNアドレスは server ディレクティブで設定したネットワークアドレス/ネットマスクから割り当てられます。
>
> 引用されているログですが、route コマンドはルーティングを設定するための処理で、ここに出てくるIPアドレスは割り当てられるIPアドレスとは必ずしも関係しません。
> VPNアドレスの割り当ては、ログ内の「TAP-Windows driver to set a DHCP IP/netmask of ~」で始まるログで確認できます(vpnux Clientであれば通知や接続ウィンドウからも確認できます)。もし想定と異なるIPアドレスが割り当てられているのであれば、VPNサーバーでの server ディレクティブの設定をチェックしてください。
>
> TUNの場合は適切なルーティング設定も必要になりますので、まずVPN対向側(サーバーのVPNアドレス)への疎通を確認し、つながっていることが確認できればその先(たとえばVPNサーバーが置かれているネットワークセグメントの別PCなど)、と段階を追って確認することをお勧めします。
Reply all
Reply to author
Forward
0 new messages