OpenVPN не работает проверка сертификата сервера

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
micropodgon
Сообщения: 1
Зарегистрирован: 14 дек 2019, 10:08

Добрый день!
Подскажите, пожалуйста, по каким причинам может не устанавливаться соединение OpenVPN при установленном параметре на клиенте "Verify Server Certificate"?
Влияет ли эта проверка на возможность MITM или проверкой сертификата клиента эта проблема решается?

Клиент и сервер mikrotik 6.46.1 (stable), без указанной галки все работает на ура.
cli mikrotika не успел поюзать, использовал веб-интерфейс для создания, подписи, импортирования/экспортирования и назначения сертификатов:

Изображение

Изображение

Изображение

Доп. информация:
- порт OpenVPN нестандартный
- без "Verify Server Certificate все работает", включая проверку сертификатов клиента

Что уже пробовал:
- разные key-usage при создании сертификатов
- разные длины ключей 2048/4096
- разные common name для сертификатов, в т.ч. соответствующие FQDN сервера OpenVPN
- разные CRL (до конца не знаю как они работают и влияют ли на проверку. если знаете как правильно указать, подскажите)


Доп. вопросы:
- подскажите как настроить DHCPv6 с контролем состояния (раздвать конкретные адреса по DUID)?
- ели нельзя раздать конкретный адрес, как раздать минимальный возможный префикс ipv6 из того префикса, что предоставляет провайдер по DHCP-PD?


vsst
Сообщения: 1
Зарегистрирован: 10 фев 2020, 22:14

Добрый день!
Аналогичная история.

решение с "галкой" :
1. на ROS - подписывать без "ca crl host". тогда все работает.
2. подсунуть сертификаты из под easy-rsa - тоже работает.


Ответить