OpenVPN - Authentifizierung mit eToken und Zertifikat |
||
---|---|---|
#0
| ||
16.01.2007, 11:44
...neu hier
Beiträge: 4 |
||
|
||
16.01.2007, 12:14
Member
Beiträge: 5291 |
#2
Zitat Fri Jan 12 17:13:44 2007 Cannot load CA certificate file ca.crt (SSL_CTX_load_verify_locations): error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system libEr findet die Datei nicht, sieht man doch. Wie wärs mit nem absoluten Pfad? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
16.01.2007, 12:56
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Xeper,
das haben wir auch schon gesehen, unsere Konfigurationsdatei sieht inzwischen so aus: Meine Config sieht inzwischen so aus: #OpenVPN Server conf tls-client client dev tun proto udp tun-mtu 1500 remote meinefirma.dyndns.org 1194 ca cacert.pem (==> das ist das erstellte Root-Zertifikat vom IP-COP) cryptoapicert "THUMB:..58 f6 89 bd 86 54 5b 01 33..." cipher AES-256-CBC comp-lzo verb 3 ns-cert-type server Die Datei cacert.pem befindet sich im gleichen Pfad/Verzeichnis, wie die Konfigurationsdatei. Leider bekommen wir dazu eine weitere Fehlermeldung, aber sieht in meinen Augen doch schon irgendwie besser aus... Tue Jan 16 10:53:21 2007 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006 Tue Jan 16 10:53:21 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Tue Jan 16 10:53:22 2007 LZO compression initialized Tue Jan 16 10:53:22 2007 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ] Tue Jan 16 10:53:22 2007 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ] Tue Jan 16 10:53:22 2007 Local Options hash (VER=V4): '22188c5b' Tue Jan 16 10:53:22 2007 Expected Remote Options hash (VER=V4): 'a8f55717' Tue Jan 16 10:53:22 2007 UDPv4 link local (bound): [undef]:1194 Tue Jan 16 10:53:22 2007 UDPv4 link remote: 84.56.92.234:1194 Tue Jan 16 10:53:22 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_CONTROL_V1) Tue Jan 16 10:53:22 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_CONTROL_V1) Tue Jan 16 10:53:22 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_CONTROL_V1) Tue Jan 16 10:53:22 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_CONTROL_V1) Tue Jan 16 10:53:24 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_CONTROL_V1) Tue Jan 16 10:53:24 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_CONTROL_V1) Tue Jan 16 10:53:24 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_CONTROL_V1) Tue Jan 16 10:53:24 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_CONTROL_V1) Tue Jan 16 10:53:24 2007 TLS Error: Unroutable control packet received from 84.56.92.234:1194 (si=3 op=P_ACK_V1) Gruß, h.o.t. aka Christian |
|
|
||
16.01.2007, 15:06
Member
Beiträge: 5291 |
#4
hmm joa hat wohl was mit IPcop zu tuen, wahrscheinlich firewalled oder andere falsche Einstellung.
1194/udp muss man natürlich freigeben. Eine andere Regel hab ich selber nicht (benutze auch OpenVPN). __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
Wir möchten gerne unseren IP-Cop Firewall, der auch das aktuelle Zerina Ovpn-Package enthält, dazu bringen, das wir uns an einen Windows Client mit einem eToken (Aladdin eToken Pro) mit dem vom IP-Cop bereitgestelltem Zertifikat authentifizieren können und somit einen Tunnel graben können.
Leider haut das bisher nicht hin.
Wir haben das Zertifkat auf den eToken importiert. Die Konfigurationsdatei von OpenVPN (unter Windows) sieht folgendermaßen aus:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1500
remote meinefirma.dyndns.org 1194
ca ca.crt
cryptoapicert "THUMB:...2e 29 dd 77 67 54 d9..."
cipher AES-256-CBC
comp-lzo
verb 3
ns-cert-type server
aufgerufen werden sollen.
Sobald wir die GUI starten, erscheint folgende Fehlermeldung:
Fri Jan 12 17:13:44 2007 Cannot load CA certificate file ca.crt (SSL_CTX_load_verify_locations): error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib
Wie können wir dem eToken bzw. dem ovpn Client beibringen, das er das Zertifikat vom eToken ließt?
Vielleicht habt ihr den ein oder anderen Tipp für uns.
Vielen Dank und einen schönen Tag!
h.o.t. aka Christian