Archlinux.fr [Forums]

Bonjour
Depuis une mise à jour, je n'arrive plus à me connecter à mon réseau professionnel sous openvpn.
J'ai le message d'erreur suivant:

Code : Tout sélectionner

[gaylord@ARMELLE CLIENT_WG_SDIGIT-NOUVEAU]$ openvpn --config client.ovpn 
Sun Apr 14 21:50:32 2013 OpenVPN 2.3.0 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on Feb  9 2013
Enter Auth Username: *******
Enter Auth Password: *************
Sun Apr 14 21:50:46 2013 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Sun Apr 14 21:50:46 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 14 21:50:47 2013 Socket Buffers: R=[87380->131072] S=[16384->131072]
Sun Apr 14 21:50:47 2013 Attempting to establish TCP connection with [AF_INET]XXX.XXX.XXX.XXX [nonblock]
Sun Apr 14 21:50:48 2013 TCP connection established with [AF_INET] XXX.XXX.XXX.XXX:443
Sun Apr 14 21:50:48 2013 TCPv4_CLIENT link local: [undef]
Sun Apr 14 21:50:48 2013 TCPv4_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:443
Sun Apr 14 21:50:48 2013 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:443, sid=5364b48e 74f17930
Sun Apr 14 21:50:48 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Apr 14 21:50:48 2013 VERIFY OK: depth=1, O=WatchGuard_Technologies, OU=Fireware, CN=Fireware SSLVPN (SN 80B002DC0AC68 2010-06-04 05:05:09 GMT) CA
Sun Apr 14 21:50:48 2013 Validating certificate extended key usage
Sun Apr 14 21:50:48 2013 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Apr 14 21:50:48 2013 VERIFY EKU OK
Sun Apr 14 21:50:48 2013 VERIFY X509NAME ERROR: O=WatchGuard_Technologies, OU=Fireware, CN=Fireware SSLVPN Server, must be /O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server
Sun Apr 14 21:50:48 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Apr 14 21:50:48 2013 TLS Error: TLS object -> incoming plaintext read error
Sun Apr 14 21:50:48 2013 TLS Error: TLS handshake failed
Sun Apr 14 21:50:48 2013 Fatal TLS error (check_tls_errors_co), restarting
Sun Apr 14 21:50:48 2013 SIGUSR1[soft,tls-error] received, process restarting
Sun Apr 14 21:50:48 2013 Restart pause, 5 second(s)

Sous mon téléphone Android, j'utilise OpenVpn 2.3 également avec les mêmes fichiers de paramétrage et cela fonctionne... et cela fonctionnait sout Arch avant une mise à jour... Je ne comprend pas. Est-ce que quelqu'un voit de quoi cela peut venir?

Gaylord

À priori, je dirais que la ligne intéressante est :
Sun Apr 14 21:50:48 2013 VERIFY X509NAME ERROR: O=WatchGuard_Technologies, OU=Fireware, CN=Fireware SSLVPN Server, must be /O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server

Est-ce que tu pourrais donner un peu plus de détails sur ta configuration ?

Peux tu essayer la commande suivante : openssl x509 -noout -text < ton_certificat_serveur.crt
Le but étant de vérifier si openssl arrive ou non à lire ton certificat serveur et si il n'y a pas de bizarrerie dedans.

Bonjour,
Merci pour ta réponse cdemoulins!
J'ai continué mes recherches de mon coté également. J'ai fait les vérifs openssl... Ca marche.

Le problème vient du changement de nomination X509NAME dans openvpn 2.3 (c'est un peu du chinois pour moi, mais c'est ce que j'ai compris en parcourant les forums).
Dans le client.ovpn, il suffit de remplacer :
tls-remote "O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
par
tls-remote "O=WatchGuard_Technologies, OU=Fireware, CN=Fireware SSLVPN Server"
(que l'on obtient via les vérifs openssl).

Il ne me reste plus qu'un problème à résoudre.
En mode utilisateur, le processus de connexion s'arrête à ce message :
Mon Apr 22 11:18:54 2013 ERROR: Cannot ioctl TUNSETIFF tun: Operation not permitted (errno=1)
Mon Apr 22 11:18:54 2013 Exiting due to fatal error

Si je le lance en root, cela fonctionne. Comment donner les droits à un utilisateur lambda pour que cela fonctionne sans être root?

Merci

GD

Je crains que cela ne soit pas possible. Il faudrait donner la possibilité à un utilisateur de changer les propriétés d'une carte réseau (IP...)

Re bonjour
En rechargeant mon fichier de configuration modifié dans nm-connection-editor, la connection au vpn se fait impeccablement depuis l'extension network-manager de gnome.
Merci pour votre aide.
Gaylord

Archlinux.fr [Forums]

[openvpn] erreur (résolu)

[openvpn] erreur (résolu)

Re: [openvpn] erreur

Re: [openvpn] erreur

Re: [openvpn] erreur

Re: [openvpn] erreur