+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Ошибка сервера OpenVPN: TLS не удалось

Ошибка сервера OpenVPN: TLS не удалось, RouterOS

apteixeira

Guest

22.08.2014 15:31:00

Привет, MikroTik, я почти уверен, что есть проблема с OpenVPN Server на RouterOS, когда выбираешь “require-client-certificate”. Я несколько раз тестировал с разными цепочками сертификатов. Странно, но если взять ту же конфигурацию и сертификаты на версии 5.26 (OpenVPN Server), всё работает, а на версии 6.18 — нет. Ошибка: “TLS failed”. Я тестировал с двумя типами клиентов OpenVPN: RouterOS и Windows. Результат одинаковый. Все сертификаты подписаны одним и тем же CA. Я импортировал CA, клиентский и серверный сертификаты (включая приватные ключи) в каждый RouterOS и убедился, что NTP-клиент корректно обновлён. Но результат всё тот же: TLS failed. Я тестировал с: моими собственными сертификатами, CACert, GoDaddy — ничего не работает. Все необходимые файлы здесь (включая rif): https://www.dropbox.com/sh/6kjzx50yfgg8rsw/AAAljGTAMCA_KMgPNhvn50ina Есть какие-то советы? Кто-то проверял? Может, я что-то не так делаю с сертификатами. С уважением.

arturw

Guest

01.10.2014 15:09:00

Могу подтвердить эту проблему. В моей среде RB2011 работает как OVPN-сервер, клиенты — на Windows. Сертификаты были сгенерированы в Microsoft CA (Windows Server 2008 R2) и во второй среде — через OpenSSL. Если задан CRL и установлена опция require-client-certificate, клиенты не могут подключиться. Я пытался разобраться с проблемой дважды: впервые заметил её после обновления (с 6.1 до 6.15), и позже, когда собрал с нуля отдельную чистую среду для теста. Значит, это не случайность. Проверил, что файл CRL скачивается с моего CRL distribution point. Если генерировать сертификат без CRL, то при включённой опции require-client-certificate всё работает. На данный момент я тестировал RouterOS версии: 6.15, 6.18, 6.19. Проблема была отправлена в Mikrotik: [Ticket#2014082766000625]. Если у кого-то есть идеи, как решить эту проблему, могу провести дополнительные тесты.
P.S. Сейчас протестировал также RouterOS: 6.15, 6.18, 6.19, 6.20.

alexac

Guest

13.10.2014 05:56:00

Я использую RB750GL в качестве OVPN-сервера. Пытаюсь сделать сертификаты с помощью openssl (следую вики), хочу использовать их с опцией «требовать клиентский сертификат», но всегда получаю ошибку «TLS handshake failed». В чем проблема? У меня два вопроса для понимания: нужно ли импортировать ca.key или только ca.crt на роутер? Если сертификаты надо создавать с отключённой опцией CRL, как это сделать с помощью openssl?

alexac

Guest

13.10.2014 05:58:00

Я использую RB750GL как OVPN-сервер. Пытаюсь сделать сертификаты через openssl (по инструкции из вики) и хочу использовать их с опцией «требуется сертификат клиента», но всегда получаю ошибку «TLS handshake failed». В чем может быть проблема? У меня два вопроса для понимания: нужно ли импортировать ca.key или только ca.crt на роутер? Если сертификаты нужно создавать с отключенной опцией CRL, как это сделать через openssl?

Ambul

Guest

14.10.2014 02:10:00

Ребята, я впервые пытаюсь настроить OpenVPN на своём Mikrotik. Я прочитал википедию, но информация там расплывчатая, и у меня пока ничего не получилось. Может, кто-то даст мне простой и чёткий гайд по настройке OpenVPN? В моём роутере Mikrotik адрес 10.0.10.1. Я в замешательстве с сертификатами: можно ли просто создавать их прямо на роутере? Ещё я нашёл одну тему на форуме и думаю: «Ну класс, не пойму, это я плохо разбираюсь в RouterOS или в самом софте баг.»

apteixeira

Guest

14.10.2014 11:19:00

Привет! Используя RouterOS 6.20, вы можете выполнить следующие команды на сервере MikroTik:

На этом этапе мы создадим два клиентских сертификата (позже можно добавить ещё больше):

/certificate add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
add name=server-template common-name=server
add name=client1-template common-name=client1
add name=client2-template common-name=client2

/certificate sign ca-template name=myCa
sign ca=myCa server-template name=server
sign ca=myCa client1-template name=client1
sign ca=myCa client2-template name=client2

/certificate set myCa trusted=yes
set server trusted=yes

На данный момент у вас есть всё необходимое на сервере. Теперь нужно экспортировать CA и клиентские сертификаты, которые нужно импортировать на клиент:

/certificate export-certificate myCa
/certificate export-certificate client1 export-passphrase=xxxxxxxx
/certificate export-certificate client2 export-passphrase=xxxxxxxx

Зайдите в /files и скачайте только что экспортированные файлы.

С наилучшими пожеланиями!

alexac Guest	#7 0 17.10.2014 11:21:00 /certificate sign ca-template name=myCa ошибка: не удалось выполнить действие — таймаут(13) ?

apteixeira Guest	#8 0 17.10.2014 11:26:00 Какой версией ты пользуешься? Я работаю с версией 6.20. В версии 6.19 всё по-другому. С наилучшими пожеланиями.

alexac Guest	#9 0 17.10.2014 11:34:00 v6.20, RB750G, но почему этой информации нет в вики? Это уже третий способ, которым я пытаюсь создать сертификаты — openvpn(easy-rsa), openssl и в RouterOS. И ни один из них не работает.

apteixeira Guest	#10 0 17.10.2014 11:50:00 Вот видео: http://youtu.be/93__PLZgebE С наилучшими пожеланиями.

alexac Guest	#11 0 20.10.2014 07:19:00 Окей, я могу создавать сертификаты на своём rb750gl (без какой-либо нагрузки, особенно без торрентов, таймаут пропадает), но у меня всё равно появляется ошибка TLS с таймаутом около 60 секунд — соединение не удалось. CRL в моём сертификате отсутствует.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры