新規作成したサーバでの接続エラーについて

135 views
Skip to first unread message

nakamura

unread,
Oct 22, 2024, 8:10:43 AM10/22/24
to OpenVPN Japan Users Group
はじめまして、お世話になっております。
「vpnux Client」を使用して接続した際に、「/var/log/openvpn」配下のログに以下のようなエラーが出ました。
 OpenSSL: error:0A0000C7:SSL routines::peer did not return a certificate
 TLS_ERROR: BIO read tls_read_plaintext error
 TLS Error: TLS object -> incoming plaintext read error
 TLS Error: TLS handshake failed
 Fatal TLS error (check_tls_errors_co), restarting

解決策などご存じの方がいましたらご教授お願い致します。


環境情報ややったことについては以下になります。
社内環境で使用しているVPNサーバをリプレイスするため以下OSでサーバを新規作成しました。
 OS:Rocky Linux(version 9.4)

VPN接続の際に、ADサーバでのユーザーパスワード認証を行っています。

openvpnは以下をインストールしました。
 openvpn.x86_64                         2.5.9-2.el9
 openvpn-auth-ldap.x86_64               2.0.4-7.el9

・証明書作成のため以下を実行しました。
①./easyrsa init-pki
②varsファイルの設定変更(以下の設定値を「3650」に変更)
 set_var EASYRSA_CA_EXPIRE
 set_var EASYRSA_CERT_EXPIRE
③./easyrsa build-ca
④./easyrsa build-client-full ********* nopass
⑤./easyrsa build-server-full ********* nopass
⑥./easyrsa gen-dh
※「*********」はサーバ名を設定

⑦pkiフォルダに作成された以下ファイルを「/etc/openvpn/」にコピー
 ca.crt
 dh.pem
 *********.crt(サーバ証明書)
 *********.key(サーバ証明書の秘密鍵)
※「*********」はサーバ名を設定

⑧ta.keyの作成
 openvpn --genkey secret /etc/openvpn/ta.key

⑨confファイルは旧環境のファイルを編集して使用
 編集内容はポートの設定、上記作成したファイルのパスを修正しました。

⑩サービスを起動

⑪ローカル環境から「vpnux Client」を使用して接続確認を行いました。
 上記で作成した「ca.crt」、「ta.key」を設定しました。

以上、よろしくお願い致します。

Taro Yamazaki

unread,
Oct 22, 2024, 7:34:07 PM10/22/24
to openvpn-japa...@googlegroups.com

こんにちは、やまざきです。

ログからすると、一般的にはクライアント証明書が正しく提示されていないときに出るエラーと思われます。
証明書作成のために easyrsa build-client-full を実行されていますが、ここで作成されたクライアント証明書はvpnux Clientで正しく設定されているでしょうか?

問題の切り分けのため、(1) vpnux Clientで旧サーバーに接続、(2) OpenVPN(CUIまたはGUI)で新サーバーに接続、で正常に動作するかをお試しいただくのも良いと思います。
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。

Message has been deleted

nakamura

unread,
Nov 5, 2024, 7:27:18 AM11/5/24
to OpenVPN Japan Users Group
やまざき様

返信ありがとうございます。
申し訳ありません、スレッドへの返信ができておらず返信が遅くなりました。

■証明書作成のために easyrsa build-client-full を実行されていますが、ここで作成されたクライアント証明書はvpnux Clientで正しく設定されているでしょうか?
→作業端末から旧サーバへ接続する際は「ca.crt」、「ta.key」しか設定していないためクライアント証明書は使用していない想定です。

■(1) vpnux Clientで旧サーバーに接続
・旧サーバですが旧サーバで作成された「ca.crt」、「ta.key」を設定した「vpnux Client」で接続できています。
・新サーバ作成した際に、旧サーバのopenvpn配下のファイル類を新サーバに持っていき、その証明書で新サーバに接続できることは確認できています。(ポート番号の設定を変更して確認しました。)

■(2) OpenVPN(CUIまたはGUI)で新サーバーに接続
・私の作業端末(windows11)にOpenVPNGUI(OpenVPN-2.6.12)を入れて試してみたのですが、私の不勉強で「.ovpn」ファイルの設定がよくわからず接続できませんでした。
 また、OpenVPNGUIで接続する際はクライアント証明書が必要となるのでしょうか。

以下追加で質問になります。
①vpnux Clientのプロファイルの設定で、[証明書認証(PKI)を使用]にチェックを入れクライアント証明書の設定を行ってみて接続を試してみましたがVPNサーバのログで以下のようなエラーが出ました。
 LDAP search failed: Operations error (000004DC: LdapErr: DSID-0C090CF4, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4563)

②「vpnux Client」の接続画面にある「秘密鍵パスワード」の入力欄について
 この部分ですが、サーバで証明書作成した際に入力を行ったパスワードを使用する認識でよかったでしょうか。

こちらの解決策などご存じの方がいましたらご教授お願い致します。

2024年10月23日水曜日 8:34:07 UTC+9 ta...@plum-systems.co.jp:

Taro Yamazaki

unread,
Nov 5, 2024, 7:30:35 PM11/5/24
to openvpn-japa...@googlegroups.com

やまざきです。

新サーバーと旧サーバーではサーバーの設定ファイルは同一でしょうか?
旧サーバーでは接続可、新サーバーで不可だとすると、両者のサーバー設定の違いがある可能性が高いと思われます。
新サーバーの接続時にクライアント証明書の設定有無で挙動が変わっているところを見ても、クライアント証明書関連の設定を改めて確認いただいた方が良いと思います。両者の設定ファイルで差分を取るなどしてご確認ください。

> ①vpnux Clientのプロファイルの設定で、[証明書認証(PKI)を使用]にチェックを入れクライアント証明書の設定を行ってみて接続を試してみましたがVPNサーバのログで以下のようなエラーが出ました。
>  LDAP search failed: Operations error (000004DC: LdapErr: DSID-0C090CF4, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4563)

メッセージからすると、これはVPNサーバー側でLDAP認証をする際にバインドに失敗しているために出ているエラーと思われます。
LDAP認証の設定をご確認ください。

> ②「vpnux Client」の接続画面にある「秘密鍵パスワード」の入力欄について
>  この部分ですが、サーバで証明書作成した際に入力を行ったパスワードを使用する認識でよかったでしょうか。

はい、easyrsaコマンドでクライアント証明書を作成した時に設定したパスワードになります。
nopass オプションを付けた場合はパスワードなしになります。
> > このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com> <https://groups.google.com/d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com?utm_medium=email&utm_source=footer <https://groups.google.com/d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com?utm_medium=email&utm_source=footer>> にアクセスしてください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションを表示するには、https://groups.google.com/d/msgid/openvpn-japan-users-group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。

Message has been deleted

nakamura

unread,
Nov 10, 2024, 7:30:30 PM11/10/24
to OpenVPN Japan Users Group
やまざき様 返信ありがとうございます。
ファイル類は旧サーバの「openvpn」フォルダを新サーバへコピーしたため同じものを使用しています。
証明書類は新サーバで作成したものを「openvpn」フォルダに配置しています。
confファイルは以下の設定を変更しました。それ以外は同じになります。  
また確認の際にconfファイルの設定で、現サーバは有効化で新サーバはコメントアウトされていた「client-cert-not-required」を有効化し設定変更して再度接続確認してみましたが前回と同じLDAPのエラーが出ました。 変更内容 ・ポート番号 ・cert、keyのパス設定(現新パスは同じで名称のみの変更) ・プラグインファイルのパス修正 (/usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so → /usr/lib64/openvpn/plugins/openvpn-auth-ldap.so) ・オプションの変更 (client-cert-not-required → verify-client-cert none)
> メッセージからすると、これはVPNサーバー側でLDAP認証をする際にバインドに失敗しているために出ているエラーと思われます。 > LDAP認証の設定をご確認ください。 ありがとうございます。確認してみます。 以上になります。

2024年11月6日水曜日 9:30:35 UTC+9 ta...@plum-systems.co.jp:

nakamura

unread,
Nov 21, 2024, 6:02:27 AM11/21/24
to OpenVPN Japan Users Group
追加質問になります。

添付しているファイルの設定で、バージョンの違いによる影響などはあるでしょうか?
何かお気づきの点がありましたらご教授願いたいです。

現環境には以下を導入しています。
openvpn-2.4.7-1.el7.x86_64
openvpn-auth-ldap-2.0.3-16.el7.x86_64

新環境には以下を導入しています。
openvpn-2.5.9-2.el9.x86_64
openvpn-auth-ldap-2.0.4-7.el9.x86_64

設定ファイルは添付しているファイルの設定で行っています。
※XXXで情報を伏せています。

・ldap.conf
→旧環境の設定のままです。

・vpnadserver.conf
→前回までに投稿した内容のみ変更しています。

2024年11月11日月曜日 9:30:30 UTC+9 nakamura:
vpnadserver.conf
ldap.conf

Taro Yamazaki

unread,
Nov 26, 2024, 8:10:57 PM11/26/24
to openvpn-japa...@googlegroups.com

やまざきです。

LDAPのエラーは解消しているでしょうか?
まだ出ているようでしたら、LDAPサーバーへの接続に失敗しているか、LDAPサーバーでのユーザー認証に失敗しているかのいずれかの可能性が高いと思います。
まずはLDAPとOpenVPNと切り離して、VPNサーバーからLDAPで(LDAP用のツールやコマンドなどで)正常に認証ができるかどうか、試してみていただくのがよいと思います。

あとは設定ファイルの verb
の値を上げてみてログの詳細度を上げると、ログから得られる情報が手がかりになるかもしれません。


On 2024/11/21 20:02, nakamura wrote:
> 追加質問になります。
>
> 添付しているファイルの設定で、バージョンの違いによる影響などはあるでしょ
> うか?
> <https://groups.google.com/d/msgid/openvpn-japan-users-
> group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com>>
> <https://groups.google.com/d/msgid/openvpn-japan-users-
> group/463d6005-9f4d-45b6-a7f5-32f74a3f34ecn%40googlegroups.com?
> utm_medium=email&utm_source=footer <https://groups.google.com/d/
> msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-
> a7f5-32f74a3f34ecn%40googlegroups.com?
> utm_medium=email&utm_source=footer> <https://groups.google.com/
> d/msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-
> a7f5-32f74a3f34ecn%40googlegroups.com?
> utm_medium=email&utm_source=footer <https://groups.google.com/d/
> msgid/openvpn-japan-users-group/463d6005-9f4d-45b6-
> a7f5-32f74a3f34ecn%40googlegroups.com?
> utm_medium=email&utm_source=footer>>> にアクセスしてください。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users
> Group」に登録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止する
> には openvpn-japan-user...@googlegroups.com <mailto:openvpn-
> japan-user...@googlegroups.com> にメールを送信してください。
> > このディスカッションを表示するには、https://
> groups.google.com/d/msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com
> <https://groups.google.com/d/msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com>
> <https://groups.google.com/d/msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com?
> utm_medium=email&utm_source=footer <https://groups.google.com/d/
> msgid/openvpn-japan-users-
> group/252fb127-11dc-42a1-90fb-7c9ae75bca5fn%40googlegroups.com?
> utm_medium=email&utm_source=footer>> にアクセスしてください。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com <mailto:openvpn-
> japan-users-gr...@googlegroups.com> にメールを送信してください。
> このディスカッションを表示するには、https://groups.google.com/d/msgid/
> openvpn-japan-users-group/20b58a03-092b-42b7-
> b38a-39e226120455n%40googlegroups.com <https://groups.google.com/d/
> msgid/openvpn-japan-users-group/20b58a03-092b-42b7-
> b38a-39e226120455n%40googlegroups.com?
> utm_medium=email&utm_source=footer> にアクセスしてください。

nakamura

unread,
Nov 28, 2024, 5:09:46 AM11/28/24
to OpenVPN Japan Users Group
やまざき様 返信ありがとうございます。

ldapsearchコマンドを使用して新環境VPNサーバからADサーバへの照会ができました。 通信などには問題ないと思われます。 >あとは設定ファイルの verb の値を上げてみてログの詳細度を上げると、ログから得られる情報が手がかりになるかもしれません。 ありがとうございます。これの数値あげてみて確認してみます。 「ldap.conf」ファイルのRequireGroupをfalse、「<Group>」部分を記載せずに接続した場合 「vpnux Client」から接続はできたのですが、社内環境へのアクセスができませんでした。 この部分の書き方で、versionによる違いなど何かお気づきの点がありましたらご教授お願い致します。 その他に前回お送りした設定ファイルの内容がversionによる違いがあるかの確認を行ってみようと思います。 こちらに関して何かお気づきの点がありましたらご教授お願い致します。

2024年11月27日水曜日 10:10:57 UTC+9 ta...@plum-systems.co.jp:
Reply all
Reply to author
Forward
0 new messages