新規作成したサーバでの接続エラーについて
135 views
Skip to first unread message
nakamura
Oct 22, 2024, 8:10:43 AM10/22/24
to OpenVPN Japan Users Group
はじめまして、お世話になっております。
「vpnux Client」を使用して接続した際に、「/var/log/openvpn」配下のログに以下のようなエラーが出ました。
OpenSSL: error:0A0000C7:SSL routines::peer did not return a certificate
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting
解決策などご存じの方がいましたらご教授お願い致します。
環境情報ややったことについては以下になります。
社内環境で使用しているVPNサーバをリプレイスするため以下OSでサーバを新規作成しました。
OS:Rocky Linux(version 9.4)
VPN接続の際に、ADサーバでのユーザーパスワード認証を行っています。
openvpnは以下をインストールしました。
openvpn.x86_64 2.5.9-2.el9
openvpn-auth-ldap.x86_64 2.0.4-7.el9
・証明書作成のため以下を実行しました。
①./easyrsa init-pki
②varsファイルの設定変更(以下の設定値を「3650」に変更)
set_var EASYRSA_CA_EXPIRE
set_var EASYRSA_CERT_EXPIRE
③./easyrsa build-ca
④./easyrsa build-client-full ********* nopass
⑤./easyrsa build-server-full ********* nopass
⑥./easyrsa gen-dh
※「*********」はサーバ名を設定
⑦pkiフォルダに作成された以下ファイルを「/etc/openvpn/」にコピー
ca.crt
dh.pem
*********.crt(サーバ証明書)
*********.key(サーバ証明書の秘密鍵)
※「*********」はサーバ名を設定
⑧ta.keyの作成
openvpn --genkey secret /etc/openvpn/ta.key
⑨confファイルは旧環境のファイルを編集して使用
編集内容はポートの設定、上記作成したファイルのパスを修正しました。
⑩サービスを起動
⑪ローカル環境から「vpnux Client」を使用して接続確認を行いました。
上記で作成した「ca.crt」、「ta.key」を設定しました。
「vpnux Client」を使用して接続した際に、「/var/log/openvpn」配下のログに以下のようなエラーが出ました。
OpenSSL: error:0A0000C7:SSL routines::peer did not return a certificate
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting
解決策などご存じの方がいましたらご教授お願い致します。
環境情報ややったことについては以下になります。
社内環境で使用しているVPNサーバをリプレイスするため以下OSでサーバを新規作成しました。
OS:Rocky Linux(version 9.4)
VPN接続の際に、ADサーバでのユーザーパスワード認証を行っています。
openvpnは以下をインストールしました。
openvpn.x86_64 2.5.9-2.el9
openvpn-auth-ldap.x86_64 2.0.4-7.el9
・証明書作成のため以下を実行しました。
①./easyrsa init-pki
②varsファイルの設定変更(以下の設定値を「3650」に変更)
set_var EASYRSA_CA_EXPIRE
set_var EASYRSA_CERT_EXPIRE
③./easyrsa build-ca
④./easyrsa build-client-full ********* nopass
⑤./easyrsa build-server-full ********* nopass
⑥./easyrsa gen-dh
※「*********」はサーバ名を設定
⑦pkiフォルダに作成された以下ファイルを「/etc/openvpn/」にコピー
ca.crt
dh.pem
*********.crt(サーバ証明書)
*********.key(サーバ証明書の秘密鍵)
※「*********」はサーバ名を設定
⑧ta.keyの作成
openvpn --genkey secret /etc/openvpn/ta.key
⑨confファイルは旧環境のファイルを編集して使用
編集内容はポートの設定、上記作成したファイルのパスを修正しました。
⑩サービスを起動
⑪ローカル環境から「vpnux Client」を使用して接続確認を行いました。
上記で作成した「ca.crt」、「ta.key」を設定しました。
以上、よろしくお願い致します。
Taro Yamazaki
Oct 22, 2024, 7:34:07 PM10/22/24
to openvpn-japa...@googlegroups.com
こんにちは、やまざきです。
ログからすると、一般的にはクライアント証明書が正しく提示されていないときに出るエラーと思われます。
証明書作成のために easyrsa build-client-full を実行されていますが、ここで作成されたクライアント証明書はvpnux Clientで正しく設定されているでしょうか?
問題の切り分けのため、(1) vpnux Clientで旧サーバーに接続、(2) OpenVPN(CUIまたはGUI)で新サーバーに接続、で正常に動作するかをお試しいただくのも良いと思います。
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
Message has been deleted
nakamura
Nov 5, 2024, 7:27:18 AM11/5/24
to OpenVPN Japan Users Group
やまざき様
返信ありがとうございます。
申し訳ありません、スレッドへの返信ができておらず返信が遅くなりました。
■証明書作成のために easyrsa build-client-full を実行されていますが、ここで作成されたクライアント証明書はvpnux Clientで正しく設定されているでしょうか?
→作業端末から旧サーバへ接続する際は「ca.crt」、「ta.key」しか設定していないためクライアント証明書は使用していない想定です。
■(1) vpnux Clientで旧サーバーに接続
・旧サーバですが旧サーバで作成された「ca.crt」、「ta.key」を設定した「vpnux Client」で接続できています。
・新サーバ作成した際に、旧サーバのopenvpn配下のファイル類を新サーバに持っていき、その証明書で新サーバに接続できることは確認できています。(ポート番号の設定を変更して確認しました。)
■(2) OpenVPN(CUIまたはGUI)で新サーバーに接続
・私の作業端末(windows11)にOpenVPNGUI(OpenVPN-2.6.12)を入れて試してみたのですが、私の不勉強で「.ovpn」ファイルの設定がよくわからず接続できませんでした。
また、OpenVPNGUIで接続する際はクライアント証明書が必要となるのでしょうか。
以下追加で質問になります。
①vpnux Clientのプロファイルの設定で、[証明書認証(PKI)を使用]にチェックを入れクライアント証明書の設定を行ってみて接続を試してみましたがVPNサーバのログで以下のようなエラーが出ました。
LDAP search failed: Operations error (000004DC: LdapErr: DSID-0C090CF4, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4563)
②「vpnux Client」の接続画面にある「秘密鍵パスワード」の入力欄について
この部分ですが、サーバで証明書作成した際に入力を行ったパスワードを使用する認識でよかったでしょうか。
こちらの解決策などご存じの方がいましたらご教授お願い致します。
返信ありがとうございます。
申し訳ありません、スレッドへの返信ができておらず返信が遅くなりました。
■証明書作成のために easyrsa build-client-full を実行されていますが、ここで作成されたクライアント証明書はvpnux Clientで正しく設定されているでしょうか?
→作業端末から旧サーバへ接続する際は「ca.crt」、「ta.key」しか設定していないためクライアント証明書は使用していない想定です。
■(1) vpnux Clientで旧サーバーに接続
・旧サーバですが旧サーバで作成された「ca.crt」、「ta.key」を設定した「vpnux Client」で接続できています。
・新サーバ作成した際に、旧サーバのopenvpn配下のファイル類を新サーバに持っていき、その証明書で新サーバに接続できることは確認できています。(ポート番号の設定を変更して確認しました。)
■(2) OpenVPN(CUIまたはGUI)で新サーバーに接続
・私の作業端末(windows11)にOpenVPNGUI(OpenVPN-2.6.12)を入れて試してみたのですが、私の不勉強で「.ovpn」ファイルの設定がよくわからず接続できませんでした。
また、OpenVPNGUIで接続する際はクライアント証明書が必要となるのでしょうか。
以下追加で質問になります。
①vpnux Clientのプロファイルの設定で、[証明書認証(PKI)を使用]にチェックを入れクライアント証明書の設定を行ってみて接続を試してみましたがVPNサーバのログで以下のようなエラーが出ました。
LDAP search failed: Operations error (000004DC: LdapErr: DSID-0C090CF4, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4563)
②「vpnux Client」の接続画面にある「秘密鍵パスワード」の入力欄について
この部分ですが、サーバで証明書作成した際に入力を行ったパスワードを使用する認識でよかったでしょうか。
こちらの解決策などご存じの方がいましたらご教授お願い致します。
2024年10月23日水曜日 8:34:07 UTC+9 ta...@plum-systems.co.jp:
Taro Yamazaki
Nov 5, 2024, 7:30:35 PM11/5/24
to openvpn-japa...@googlegroups.com
やまざきです。
新サーバーと旧サーバーではサーバーの設定ファイルは同一でしょうか?
旧サーバーでは接続可、新サーバーで不可だとすると、両者のサーバー設定の違いがある可能性が高いと思われます。
新サーバーの接続時にクライアント証明書の設定有無で挙動が変わっているところを見ても、クライアント証明書関連の設定を改めて確認いただいた方が良いと思います。両者の設定ファイルで差分を取るなどしてご確認ください。
> ①vpnux Clientのプロファイルの設定で、[証明書認証(PKI)を使用]にチェックを入れクライアント証明書の設定を行ってみて接続を試してみましたがVPNサーバのログで以下のようなエラーが出ました。
> LDAP search failed: Operations error (000004DC: LdapErr: DSID-0C090CF4, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4563)
LDAP認証の設定をご確認ください。
> ②「vpnux Client」の接続画面にある「秘密鍵パスワード」の入力欄について
> この部分ですが、サーバで証明書作成した際に入力を行ったパスワードを使用する認識でよかったでしょうか。
nopass オプションを付けた場合はパスワードなしになります。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションを表示するには、https://groups.google.com/d/msgid/openvpn-japan-users-group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
Message has been deleted
nakamura
Nov 10, 2024, 7:30:30 PM11/10/24
to OpenVPN Japan Users Group
やまざき様
返信ありがとうございます。
ファイル類は旧サーバの「openvpn」フォルダを新サーバへコピーしたため同じものを使用しています。
証明書類は新サーバで作成したものを「openvpn」フォルダに配置しています。
confファイルは以下の設定を変更しました。それ以外は同じになります。
また確認の際にconfファイルの設定で、現サーバは有効化で新サーバはコメントアウトされていた「client-cert-not-required」を有効化し設定変更して再度接続確認してみましたが前回と同じLDAPのエラーが出ました。
変更内容
・ポート番号
・cert、keyのパス設定(現新パスは同じで名称のみの変更)
・プラグインファイルのパス修正
(/usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so → /usr/lib64/openvpn/plugins/openvpn-auth-ldap.so)
・オプションの変更
(client-cert-not-required → verify-client-cert none)
> メッセージからすると、これはVPNサーバー側でLDAP認証をする際にバインドに失敗しているために出ているエラーと思われます。
> LDAP認証の設定をご確認ください。
ありがとうございます。確認してみます。
以上になります。
2024年11月6日水曜日 9:30:35 UTC+9 ta...@plum-systems.co.jp:
nakamura
Nov 21, 2024, 6:02:27 AM11/21/24
to OpenVPN Japan Users Group
追加質問になります。
添付しているファイルの設定で、バージョンの違いによる影響などはあるでしょうか?
何かお気づきの点がありましたらご教授願いたいです。
現環境には以下を導入しています。
openvpn-2.4.7-1.el7.x86_64
openvpn-auth-ldap-2.0.3-16.el7.x86_64
新環境には以下を導入しています。
openvpn-2.5.9-2.el9.x86_64
openvpn-auth-ldap-2.0.4-7.el9.x86_64
設定ファイルは添付しているファイルの設定で行っています。
※XXXで情報を伏せています。
・ldap.conf
→旧環境の設定のままです。
・vpnadserver.conf
→前回までに投稿した内容のみ変更しています。
添付しているファイルの設定で、バージョンの違いによる影響などはあるでしょうか?
何かお気づきの点がありましたらご教授願いたいです。
現環境には以下を導入しています。
openvpn-2.4.7-1.el7.x86_64
openvpn-auth-ldap-2.0.3-16.el7.x86_64
新環境には以下を導入しています。
openvpn-2.5.9-2.el9.x86_64
openvpn-auth-ldap-2.0.4-7.el9.x86_64
設定ファイルは添付しているファイルの設定で行っています。
※XXXで情報を伏せています。
・ldap.conf
→旧環境の設定のままです。
・vpnadserver.conf
→前回までに投稿した内容のみ変更しています。
2024年11月11日月曜日 9:30:30 UTC+9 nakamura:
Taro Yamazaki
Nov 26, 2024, 8:10:57 PM11/26/24
to openvpn-japa...@googlegroups.com
やまざきです。
LDAPのエラーは解消しているでしょうか?
まだ出ているようでしたら、LDAPサーバーへの接続に失敗しているか、LDAPサーバーでのユーザー認証に失敗しているかのいずれかの可能性が高いと思います。
まずはLDAPとOpenVPNと切り離して、VPNサーバーからLDAPで(LDAP用のツールやコマンドなどで)正常に認証ができるかどうか、試してみていただくのがよいと思います。
あとは設定ファイルの verb
の値を上げてみてログの詳細度を上げると、ログから得られる情報が手がかりになるかもしれません。
On 2024/11/21 20:02, nakamura wrote:
>
> 添付しているファイルの設定で、バージョンの違いによる影響などはあるでしょ
> うか?
> group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com>>
> <https://groups.google.com/d/msgid/openvpn-japan-users-
> group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com?
> utm_medium=email&utm_source=footer <https://groups.google.com/d/
> msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-
> a7f5-32f74a3f34ecn%40googlegroups.com?
> utm_medium=email&utm_source=footer> <https://groups.google.com/
> d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-
> a7f5-32f74a3f34ecn%40googlegroups.com?
> utm_medium=email&utm_source=footer <https://groups.google.com/d/
> msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-
> a7f5-32f74a3f34ecn%40googlegroups.com?
> utm_medium=email&utm_source=footer>>> にアクセスしてください。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users
> Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止する
> には openvpn-japan-user...@googlegroups.com <mailto:openvpn-
> japan-user...@googlegroups.com> にメールを送信してください。
> > このディスカッションを表示するには、https://
> groups.google.com/d/msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com
> <https://groups.google.com/d/msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com>
> <https://groups.google.com/d/msgid/openvpn-japan-users-
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users
> Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止する
> には openvpn-japan-user...@googlegroups.com <mailto:openvpn-
> japan-user...@googlegroups.com> にメールを送信してください。
> > このディスカッションを表示するには、https://
> groups.google.com/d/msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com
> <https://groups.google.com/d/msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com>
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com?
> utm_medium=email&utm_source=footer <https://groups.google.com/d/
> msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com?
> utm_medium=email&utm_source=footer>> にアクセスしてください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com <mailto:openvpn-
> japan-users-gr...@googlegroups.com> にメールを送信してください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com <mailto:openvpn-
> このディスカッションを表示するには、https://groups.google.com/d/msgid/
> openvpn-japan-users-group/20b58a03-092b-42b7-
> b38a-39e226120455n%40googlegroups.com <https://groups.google.com/d/
> msgid/openvpn-japan-users-group/20b58a03-092b-42b7-
> b38a-39e226120455n%40googlegroups.com?
> utm_medium=email&utm_source=footer> にアクセスしてください。
nakamura
Nov 28, 2024, 5:09:46 AM11/28/24
to OpenVPN Japan Users Group
やまざき様 返信ありがとうございます。
2024年11月27日水曜日 10:10:57 UTC+9 ta...@plum-systems.co.jp:
Reply all
Reply to author
Forward
0 new messages