vpnux Clientのproxy問題について(ssl)
255 views
Skip to first unread message
dog
Jul 28, 2021, 3:35:37 AM7/28/21
to OpenVPN Japan Users Group
社内ラインでvpnux Client経由してクラウドへ接続したいです。
社内httpプロキシの設定は必要ですので、下記リンクの詳細設定と同様にproxyを設定しましたが、エラーが発生しました。
ログを確認し、たぶんopenssl.exeがPROXYとTLSに接続できていないため、VPN接続できません。
実は、JDKの証明書問題もありまして、以下のリンクで解決ができました。
※eclipse.iniファイルの修正も必要です。
-Djavax.net.ssl.trustStore={jdkパス}\security\cacerts
javaと同様で、プロパティファイル等の設定で、openssl.exeがルート証明書を参照するように設定することは可能ですか。
よろしくお願いいたします。
Taro Yamazaki
Jul 28, 2021, 8:45:06 PM7/28/21
to openvpn-japa...@googlegroups.com
やまざきです。
ログを見ていないので何ともいえませんが、OpenVPNはCA証明書、クライアント証明書とも直接指定しますので、その証明書が正しければ問題は起きないはずです。
# OpenVPNの設定では、ルート証明書としてCA証明書を指定します(両者は同じものです)。
# それと別にルート証明書を設定する機能はありません。
まずはプロキシへの接続に失敗しているのか、VPNサーバーへの接続に失敗しているのか、あとはその原因をログやエラーメッセージ、サーバー側のログから切り分けていただくのが検証の起点になるかと思います。
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
Message has been deleted
Message has been deleted
dog
Jul 29, 2021, 12:56:32 AM7/29/21
to OpenVPN Japan Users Group
補足ですが。
①社内環境ではなく、自分の端末で
vpnux Clientを利用する場合(PROXY不要)、クラウドにうまく接続ができます。
②社内環境にて、2種類(A、B)の端末があります。ABのPROXYはほぼ一緒です。端末Aから接続できますが、端末Bの場合は接続できません。
添付PICの成功は端末A、失敗は端末B となります。(設定は同様で、「詳細設定」でPROXYを追加しました)
そもそも、B種類の端末の設定の問題かもしれませんが、何を修正するかをよくわかりません。。。
もしくは、JDKの設定方式と同様で、どこかに証明書をインストールする必要があるかもしれません。
不勉強で恐縮ではございますが、何かご存じの方がいらっしゃいましたら、ご教授ください。
Taro Yamazaki
Jul 29, 2021, 1:53:58 AM7/29/21
to openvpn-japa...@googlegroups.com
どの部分で証明書起因と考えられたのか掴み切れていませんが、ログを見る限りエラーはこちらです。
2021/07/14 16:05:35 Attempting to establish TCP connection with [AF_INET]PROXYURL:PROXYPORT [nonblock]
2021/07/14 16:05:36 >FATAL:Assertion failed at proxy.c:250 (strlen(p->up.username) > 0)
...
2021/07/14 16:05:36 Assertion failed at proxy.c:250 (strlen(p->up.username) > 0)
2021/07/14 16:05:36 Exiting due to fatal error
プロキシへの接続時にエラーが起きてOpenVPNが終了しています。プロキシなしの設定だと接続できるということですので、証明書ではなくプロキシに関連した問題と考えられます。
結果が異なる2つの端末がどちらもvpnux Clientであれば、「ほぼ一緒」というプロキシ設定の違いが関係している可能性が高いと思います。
エラーの文面からはプロキシ設定のユーザー名が正しくなさそうな雰囲気ですが、このエラーに関連してこのような報告もあります。ご参考まで。
https://community.openvpn.net/openvpn/ticket/1187
On 2021/07/29 13:56, dog wrote:
> 補足ですが。
>
> ①社内環境ではなく、自分の端末で vpnux Clientを利用する場合(PROXY不要)、クラウドにうまく接続ができます。
> ②社内環境にて、2種類(A、B)の端末があります。ABのPROXYはほぼ一緒です。端末Aから接続できますが、端末Bの場合は接続できません。
> 添付PICの成功は端末A、失敗は端末B となります。(設定は同様で、「詳細設定」でPROXYを追加しました)
>
> そもそも、B種類の端末の設定の問題かもしれませんが、何を修正するかをよくわかりません。。。
> もしくは、JDKの設定方式と同様で、どこかに証明書をインストールする必要があるかもしれません。
>
> 不勉強で恐縮ではございますが、何かご存じの方がいらっしゃいましたら、ご教授ください。
> 在2021年7月29日星期四 UTC+9 下午12:23:33<dog> 写道:
>
> やまざきさん
>
> ご回答ありがとうございます。ログを添付いたします。
>
> WireSharkでVPNパケットログも取りました。(添付いたしました)
> 成功の場合、ProtocolでTLSv1.2等もありますが、失敗の場合、ProtocolでTCPしかありません。
>
> ※実の個人情報をPROXYURL、PROXYPORT、FORWARDURL、FORWARDPORT等に変更しましたので、ご了承ください。
>
> 在2021年7月29日星期四 UTC+9 上午9:45:06<ta...@plum-systems.co.jp> 写道:
>
>
> やまざきです。
>
> ログを見ていないので何ともいえませんが、OpenVPNはCA証明書、クライアント証明書とも直接指定しますので、その証明書が正しければ問題は起きないはずです。
> # OpenVPNの設定では、ルート証明書としてCA証明書を指定します(両者は同じものです)。
> # それと別にルート証明書を設定する機能はありません。
>
> まずはプロキシへの接続に失敗しているのか、VPNサーバーへの接続に失敗しているのか、あとはその原因をログやエラーメッセージ、サーバー側のログから切り分けていただくのが検証の起点になるかと思います。
>
>
> On 2021/07/28 16:35, dog wrote:
> > 社内ラインでvpnux Client経由してクラウドへ接続したいです。
> > 社内httpプロキシの設定は必要ですので、下記リンクの詳細設定と同様にproxyを設定しましたが、エラーが発生しました。
> >
> > ログを確認し、たぶんopenssl.exeがPROXYとTLSに接続できていないため、VPN接続できません。
> >
> > 実は、JDKの証明書問題もありまして、以下のリンクで解決ができました。
> > https://jp.globalsign.com/support/faq/331.html <https://jp.globalsign.com/support/faq/331.html>
> > ログを確認し、たぶんopenssl.exeがPROXYとTLSに接続できていないため、VPN接続できません。
> >
> > 実は、JDKの証明書問題もありまして、以下のリンクで解決ができました。
> > ※eclipse.iniファイルの修正も必要です。
> > -Djavax.net.ssl.trustStore={jdkパス}\security\cacerts
> >
> > javaと同様で、プロパティファイル等の設定で、openssl.exeがルート証明書を参照するように設定することは可能ですか。
> >
> > よろしくお願いいたします。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> > このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com> <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com?utm_medium=email&utm_source=footer <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com?utm_medium=email&utm_source=footer>> にアクセスしてください。
> > -Djavax.net.ssl.trustStore={jdkパス}\security\cacerts
> >
> > javaと同様で、プロパティファイル等の設定で、openssl.exeがルート証明書を参照するように設定することは可能ですか。
> >
> > よろしくお願いいたします。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/f5b315f5-71af-41e7-b6a7-2980b0eb59a8n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/f5b315f5-71af-41e7-b6a7-2980b0eb59a8n%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
dog
Jul 31, 2021, 9:49:17 AM7/31/21
to OpenVPN Japan Users Group
やまざきさん
ご回答ありがとうございます。
ご連携頂いたリンクとちょっと違いますよね。。。
内部で確認しまして、以下の認識であります。
①PROXYからクラウドまでの証明書については、vpnux Clientのプロファイルで設定があります。(クラウドからもらいました。)
②自分の端末からPROXYまでのCA証明書は、端末とブラウザで設定がありますが、vpnux Client接続時には呼んでません。
※現在②のCA証明書ファイル⇒rootca.crt を持っています。
②の問題だと思います。単純に端末とブラウザに設定することではなく、設定ファイルやどこかにインストール等が必要ですよね。。。
vpnux Clientのプロファイルの詳細設定で、プロキシを使用しても、②のCA証明書を通らないので、接続ができません。
なので、vpnux Clientの場合、何か設定ファイルで②のCA証明書を設定する方法がありますでしょうか。
例えば、以下の案Aと案Bはいかがでしょうか。
案A:vpnux Clientのインストールフォルダ(C:\Program Files (x86)\vpnux Client)にて、「vpnuxClient.exe.config」という設定ファイルがあります。
ここで②のCA証明書を追加できますでしょうか。設定ファイルのメンテナンス方法を教えて頂ければと思います。
案B:以下のリンクを参考し、環境変数でOPENSSL_CONFを設定しました。すると、openssl.exeファイル実施時は設定したopenssl.cnfファイルを参考できそうです。であれば、openssl.cnfで②のCA証明書を追加できますでしょうか。設定ファイルのメンテナンス方法を教えて頂ければと思います。
案AB以外の②のCA証明書を設定する方法があってもご連携頂ければと思います。。。
不勉強で大変申し訳ありませんが、ご教授をお願いできればと思います。
Taro Yamazaki
Aug 2, 2021, 2:52:53 AM8/2/21
to openvpn-japa...@googlegroups.com
プロキシ認証 or プロキシとのSSL通信に証明書が必要(SSLプロキシ的な使い方?)、ということでしょうか?
だとするとOpenVPNは対応していないのではないかと思います。
OpenVPNの公式マニュアル (https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/) に該当する設定が存在するか、ご確認ください。もしなければOpenVPNでは設定できないので、vpnux Clientでも設定できません。
案A: 上記のようにOpenVPNに該当項目があれば、vpnux Clientの今後のアップデートで対応できる可能性はありますが、現時点では対応の可否は判断できません。
案B: OpenVPNはOpenSSL.exeを呼び出すことはない(OpenSSLの機能はDLL経由で利用します)ので、openssl.cnfの設定は適用されません。
>
>
> On 2021/07/29 13:56, dog wrote:
> > 補足ですが。
> >
> > ①社内環境ではなく、自分の端末で vpnux Clientを利用する場合(PROXY不要)、クラウドにうまく接続ができます。
> > ②社内環境にて、2種類(A、B)の端末があります。ABのPROXYはほぼ一緒です。端末Aから接続できますが、端末Bの場合は接続できません。
> > 添付PICの成功は端末A、失敗は端末B となります。(設定は同様で、「詳細設定」でPROXYを追加しました)
> >
> > そもそも、B種類の端末の設定の問題かもしれませんが、何を修正するかをよくわかりません。。。
> > もしくは、JDKの設定方式と同様で、どこかに証明書をインストールする必要があるかもしれません。
> >
> > 不勉強で恐縮ではございますが、何かご存じの方がいらっしゃいましたら、ご教授ください。
> > 在2021年7月29日星期四 UTC+9 下午12:23:33<dog> 写道:
> >
> > やまざきさん
> >
> > ご回答ありがとうございます。ログを添付いたします。
> >
> > WireSharkでVPNパケットログも取りました。(添付いたしました)
> > 成功の場合、ProtocolでTLSv1.2等もありますが、失敗の場合、ProtocolでTCPしかありません。
> >
> > ※実の個人情報をPROXYURL、PROXYPORT、FORWARDURL、FORWARDPORT等に変更しましたので、ご了承ください。
> >
> > 在2021年7月29日星期四 UTC+9 上午9:45:06<ta...@plum-systems.co.jp> 写道:
> >
> >
> > やまざきです。
> >
> > ログを見ていないので何ともいえませんが、OpenVPNはCA証明書、クライアント証明書とも直接指定しますので、その証明書が正しければ問題は起きないはずです。
> > # OpenVPNの設定では、ルート証明書としてCA証明書を指定します(両者は同じものです)。
> > # それと別にルート証明書を設定する機能はありません。
> >
> > まずはプロキシへの接続に失敗しているのか、VPNサーバーへの接続に失敗しているのか、あとはその原因をログやエラーメッセージ、サーバー側のログから切り分けていただくのが検証の起点になるかと思います。
> >
> >
> > On 2021/07/28 16:35, dog wrote:
> > > 社内ラインでvpnux Client経由してクラウドへ接続したいです。
> > > 社内httpプロキシの設定は必要ですので、下記リンクの詳細設定と同様にproxyを設定しましたが、エラーが発生しました。
> > > https://www.vpnux.jp/manual <https://www.vpnux.jp/manual> <https://www.vpnux.jp/manual <https://www.vpnux.jp/manual>>
>
> On 2021/07/29 13:56, dog wrote:
> > 補足ですが。
> >
> > ①社内環境ではなく、自分の端末で vpnux Clientを利用する場合(PROXY不要)、クラウドにうまく接続ができます。
> > ②社内環境にて、2種類(A、B)の端末があります。ABのPROXYはほぼ一緒です。端末Aから接続できますが、端末Bの場合は接続できません。
> > 添付PICの成功は端末A、失敗は端末B となります。(設定は同様で、「詳細設定」でPROXYを追加しました)
> >
> > そもそも、B種類の端末の設定の問題かもしれませんが、何を修正するかをよくわかりません。。。
> > もしくは、JDKの設定方式と同様で、どこかに証明書をインストールする必要があるかもしれません。
> >
> > 不勉強で恐縮ではございますが、何かご存じの方がいらっしゃいましたら、ご教授ください。
> > 在2021年7月29日星期四 UTC+9 下午12:23:33<dog> 写道:
> >
> > やまざきさん
> >
> > ご回答ありがとうございます。ログを添付いたします。
> >
> > WireSharkでVPNパケットログも取りました。(添付いたしました)
> > 成功の場合、ProtocolでTLSv1.2等もありますが、失敗の場合、ProtocolでTCPしかありません。
> >
> > ※実の個人情報をPROXYURL、PROXYPORT、FORWARDURL、FORWARDPORT等に変更しましたので、ご了承ください。
> >
> > 在2021年7月29日星期四 UTC+9 上午9:45:06<ta...@plum-systems.co.jp> 写道:
> >
> >
> > やまざきです。
> >
> > ログを見ていないので何ともいえませんが、OpenVPNはCA証明書、クライアント証明書とも直接指定しますので、その証明書が正しければ問題は起きないはずです。
> > # OpenVPNの設定では、ルート証明書としてCA証明書を指定します(両者は同じものです)。
> > # それと別にルート証明書を設定する機能はありません。
> >
> > まずはプロキシへの接続に失敗しているのか、VPNサーバーへの接続に失敗しているのか、あとはその原因をログやエラーメッセージ、サーバー側のログから切り分けていただくのが検証の起点になるかと思います。
> >
> >
> > On 2021/07/28 16:35, dog wrote:
> > > 社内ラインでvpnux Client経由してクラウドへ接続したいです。
> > > 社内httpプロキシの設定は必要ですので、下記リンクの詳細設定と同様にproxyを設定しましたが、エラーが発生しました。
> > >
> > > ログを確認し、たぶんopenssl.exeがPROXYとTLSに接続できていないため、VPN接続できません。
> > >
> > > 実は、JDKの証明書問題もありまして、以下のリンクで解決ができました。
> > > https://jp.globalsign.com/support/faq/331.html <https://jp.globalsign.com/support/faq/331.html> <https://jp.globalsign.com/support/faq/331.html <https://jp.globalsign.com/support/faq/331.html>>
> > > ログを確認し、たぶんopenssl.exeがPROXYとTLSに接続できていないため、VPN接続できません。
> > >
> > > 実は、JDKの証明書問題もありまして、以下のリンクで解決ができました。
> > > ※eclipse.iniファイルの修正も必要です。
> > > -Djavax.net.ssl.trustStore={jdkパス}\security\cacerts
> > >
> > > javaと同様で、プロパティファイル等の設定で、openssl.exeがルート証明書を参照するように設定することは可能ですか。
> > >
> > > よろしくお願いいたします。
> > >
> > > --
> > > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> > > このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com> <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com>> <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com?utm_medium=email&utm_source=footer <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com?utm_medium=email&utm_source=footer> <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com?utm_medium=email&utm_source=footer
> > > -Djavax.net.ssl.trustStore={jdkパス}\security\cacerts
> > >
> > > javaと同様で、プロパティファイル等の設定で、openssl.exeがルート証明書を参照するように設定することは可能ですか。
> > >
> > > よろしくお願いいたします。
> > >
> > > --
> > > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> <https://groups.google.com/d/msgid/openvpn-japan-users-group/6b446e1b-653d-4c01-ade7-438c69a35c89n%40googlegroups.com?utm_medium=email&utm_source=footer>>> にアクセスしてください。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> > このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/f5b315f5-71af-41e7-b6a7-2980b0eb59a8n%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/f5b315f5-71af-41e7-b6a7-2980b0eb59a8n%40googlegroups.com> <https://groups.google.com/d/msgid/openvpn-japan-users-group/f5b315f5-71af-41e7-b6a7-2980b0eb59a8n%40googlegroups.com?utm_medium=email&utm_source=footer <https://groups.google.com/d/msgid/openvpn-japan-users-group/f5b315f5-71af-41e7-b6a7-2980b0eb59a8n%40googlegroups.com?utm_medium=email&utm_source=footer>> にアクセスしてください。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/ed43222d-0c24-495d-81bb-13505d8516ebn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/ed43222d-0c24-495d-81bb-13505d8516ebn%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
Reply all
Reply to author
Forward
0 new messages