OpenVPN na RouterOS - autentikace certifikatem

kisuke-cze

Zdravím,

podařilo se někomu rozhodit OpenVPN na mtiku a aktentikaci certifikátem?

Mám hAP ac, RouterOS 6.35.4. OpenVPN jako taková mi funguje (ověření jméno + heslo). Certifikát používám StartSSL pro Mikrotika.

Chtěl bych si připojení do VPN povýšit na jméno/heslo + certifikát (osobní cert StartSSL), ale nedaří se.

Do mTiku sem importoval kořenový i mezilehlý certifikát cert. autority. Nicméně ověření klienta se nedaří.

Do logu mikrotiku se žádné chyby nepíšou. Jen se občas periodicky během dne oběví toto:

got CRL with bad signature, issued by StartCom Class 1 Client CA::IL:StartCom Ltd.:StartCom Certification Authority::

Při pokusu o spojení dostanu v openvpn klientu toto:

Thu Jun 23 14:55:22 2016 us=595002 VERIFY OK: depth=0, C=CZ, CN=XXXXXX

Thu Jun 23 14:55:22 2016 us=595037 TCPv4_CLIENT WRITE [22] to [AF_INET]1.2.3.4:1194: P_ACK_V1 kid=0 [ 4 ]

Thu Jun 23 14:55:22 2016 us=615173 TCPv4_CLIENT READ [501] from [AF_INET]1.2.3.4:1194: P_CONTROL_V1 kid=0 [ ] pid=5 DATA len=487

Thu Jun 23 14:55:22 2016 us=631120 TCPv4_CLIENT WRITE [1196] to [AF_INET]1.2.3.4:1194: P_CONTROL_V1 kid=0 [ 5 ] pid=2 DATA len=1170

Thu Jun 23 14:55:22 2016 us=631228 TCPv4_CLIENT WRITE [752] to [AF_INET]1.2.3.4:1194: P_CONTROL_V1 kid=0 [ ] pid=3 DATA len=738

Thu Jun 23 14:55:22 2016 us=650373 TCPv4_CLIENT READ [22] from [AF_INET]1.2.3.4:1194: P_ACK_V1 kid=0 [ 2 ]

Thu Jun 23 14:55:22 2016 us=669095 TCPv4_CLIENT READ [22] from [AF_INET]1.2.3.4:1194: P_ACK_V1 kid=0 [ 3 ]

Thu Jun 23 14:55:22 2016 us=670797 TCPv4_CLIENT READ [21] from [AF_INET]1.2.3.4:1194: P_CONTROL_V1 kid=0 [ ] pid=6 DATA len=7

Thu Jun 23 14:55:22 2016 us=670875 OpenSSL: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca

Thu Jun 23 14:55:22 2016 us=670894 OpenSSL: error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure

Thu Jun 23 14:55:22 2016 us=670907 TLS_ERROR: BIO read tls_read_plaintext error

Thu Jun 23 14:55:22 2016 us=670917 TLS Error: TLS object -> incoming plaintext read error

Thu Jun 23 14:55:22 2016 us=670926 TLS Error: TLS handshake failed

Bohužel se mi nepodařilo nikde najít nějakou smysluplnou radu. Kdesi na foru mikrotiku se mi podařilo najít, že by to asi mohlo být tím, že certifikáty autorit, které sem naimportoval nemají flag A (tedy mtik neví že jsou to certifikáty autorit).

Nicméně jak situaci napravit se mi najít nepodařilo. Takže zatím sem zůstal u ověřování jméno/heslo.

Nemáte někdo zkušenost takovou, nebo podobnou konfigurací?

drwiza

nám funguje vše do 6.20 v novější RouterOS už ne,,,

ale zatím jsme neměli čas to řešit,,,