Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.
Модераторы: SLEDopit , Модераторы разделов
bars
Сообщения: 1007ОС: BSD/LINUX
Сообщение bars 09.03.2025 10:42
Привет, подскажите пожалуйста как сбросить пароль к корневому сертификату ca.key у openvpn.
Попытался с генерировать новый сертификат пользователя, при вводе пароля от корневого сертификата к ключу ca.key пароль не подходит, странно.
Данные сертификата, рабочие.
Код: Выделить всё
Issuer: CN = Easy-RSA CA
Validity
Not Before: Aug 14 05:16:06 2024 GMT
Not After : Aug 12 05:16:06 2034 GMT
Subject: CN = Easy-RSA CA
Время на сервере актуальное.
Версия openvpn
Код: Выделить всё
OpenVPN 2.6.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]
library versions: OpenSSL 3.0.15 3 Sep 2024, LZO 2.10
Перестал работать openvpn.
Код: Выделить всё
2025-03-09 10:34:17 11.11.11.11:56595 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-09 10:34:18 20.20.20.20:17663 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2025-03-09 10:34:18 20.20.20.20:17663 TLS Error: TLS handshake failed
2025-03-09 10:34:18 20.20.20.20:17663 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-09 10:34:18 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:19 66.66.66.66:57729 TLS Error: Unroutable control packet received from [AF_INET]66.66.66.66:57729 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:19 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:20 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:21 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:22 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:23 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:24 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:25 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:26 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:27 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:28 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:29 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:30 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:31 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:32 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:33 11.11.11.11:52255 VERIFY ERROR: depth=0, error=CRL has expired: CN=user_mane, serial=44256302698432184119286927193249583339
2025-03-09 10:34:33 11.11.11.11:52255 OpenSSL: error:0A000086:SSL routines::certificate verify failed
2025-03-09 10:34:33 11.11.11.11:52255 TLS_ERROR: BIO read tls_read_plaintext error
2025-03-09 10:34:33 11.11.11.11:52255 TLS Error: TLS object -> incoming plaintext read error
2025-03-09 10:34:33 11.11.11.11:52255 TLS Error: TLS handshake failed
2025-03-09 10:34:33 11.11.11.11:52255 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-09 10:34:33 11.11.11.11:63817 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2025-03-09 10:34:33 11.11.11.11:63817 TLS Error: TLS handshake failed
2025-03-09 10:34:33 11.11.11.11:63817 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-09 10:34:33 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
Последний раз редактировалось bars 10.03.2025 18:50, всего редактировалось 1 раз.
Bizdelnick
Модератор
Сообщения: 21180Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 10.03.2025 11:16
bars писал: ↑ 09.03.2025 10:42
Привет, подскажите пожалуйста как сбросить пароль к корневому сертификату ca.key у openvpn.
Попытался с генерировать новый сертификат пользователя, при вводе пароля от корневого сертификата к ключу ca.key пароль не подходит
Если пароль неизвестен, то никак не сбросить.
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
bars
Сообщения: 1007ОС: BSD/LINUX
Сообщение bars 10.03.2025 11:47
пароль нашел, с сертификатами все в порядке, что может быть?
Bizdelnick
Модератор
Сообщения: 21180Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 10.03.2025 13:09
Если «пароль не подходит», значит, он неправильный. Ничего другого тут быть не может. Ну или показывайте подробно, что делаете и какую получаете ошибку, вдруг там не «пароль не подходит», а что-то другое.
Добавлено (13:11):
И вообще, зачем openvpn мог бы понадобиться секретный ключ от корневого сертификата? Я ничего не понимаю.
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
bars
Сообщения: 1007ОС: BSD/LINUX
Сообщение bars 10.03.2025 15:03
Bizdelnick писал: ↑ 10.03.2025 13:09
И вообще, зачем openvpn мог бы понадобиться секретный ключ от корневого сертификата? Я ничего не понимаю.
Про пароль забыли, я его уже вспомнил, работает пароль, пароль нужен был к корневому сертификату при создание новых сертификатов пользователей.
По логу ошибки не пойму в чем может быть за проблема.
Bizdelnick
Модератор
Сообщения: 21180Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 10.03.2025 15:15
Давайте по порядку. Сгенерили пользователю новый сертификат, и с ним пользователь не может подключиться, так? Со старыми сертификатами проблем не было? Если я что-то не так понял, расскажите всё подробно и связно.
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
Aliech
Сообщения: 1092Статус: дилетант широкого профиляОС: debian/gentoo/openbsd
Сообщение Aliech 10.03.2025 15:47
А что это в логах на CRL'ку ругается?
С уважением,
bars
Сообщения: 1007ОС: BSD/LINUX
Сообщение bars 10.03.2025 15:48
Aliech писал: ↑ 10.03.2025 15:47
А что это в логах на CRL'ку ругается?
непонял
Добавлено (16:25):
Ситуация такая, в субботу 08.03.2025 все работало, в воскресенье перестало работать.
Сейчас ради эксперимента выставил дату на сервере vpn 06.03.2025 и перезагрузил openvpn заработало.
Так в чем может быть проблема?
Явно с каким то сертификатом, вот мой конфиг сервера.
Код: Выделить всё
/etc/openvpn/server.conf
local 10.128.0.3
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/pnprod.crt
key /etc/openvpn/easy-rsa/pki/private/pnprod.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
crl-verify /etc/openvpn/client/crl.pem
persist-key
persist-tun
client-config-dir client.conf.d
server 10.8.20.0 255.255.255.0
route 192.168.10.0 255.255.255.0
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "route 8.8.8.8 255.255.255.255 vpn_gateway"
push "route 8.8.4.4 255.255.255.255 vpn_gateway"
push "route 10.128.0.0 255.255.255.0 vpn_gateway"
client-to-client
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
cipher AES-256-CBC
auth SHA256
push "route 192.168.10.0 255.255.255.0"
keepalive 30 900
user nobody
group nogroup
status /var/log/openvpn/status.log
log /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1Добавлено (16:31):
Код: Выделить всё
cd /etc/openvpn/easy-rsa/pki && openssl verify -CAfile ca.crt /etc/openvpn/easy-rsa/pki/issued/pnprod.crt
/etc/openvpn/easy-rsa/pki/issued/pnprod.crt: OKДобавлено (16:37):
Код: Выделить всё
cd /etc/openvpn/easy-rsa/pki && openssl x509 -text -in ca.crt
...
Issuer: CN = Easy-RSA CA
Validity
Not Before: Aug 14 05:16:06 2024 GMT
Not After : Aug 12 05:16:06 2034 GMT
Subject: CN = Easy-RSA CA
...Добавлено (16:41):
вроде сертификаты рабочие, тогда не понимаю я в чем дело?
Aliech
Сообщения: 1092Статус: дилетант широкого профиляОС: debian/gentoo/openbsd
Сообщение Aliech 10.03.2025 17:44
bars ,
Код: Выделить всё
2025-03-09 10:34:33 11.11.11.11:52255 VERIFY ERROR: depth=0, error=CRL has expired: CN=user_mane, serial=44256302698432184119286927193249583339
2025-03-09 10:34:33 11.11.11.11:52255 OpenSSL: error:0A000086:SSL routines::certificate verify failed
2025-03-09 10:34:33 11.11.11.11:52255 TLS_ERROR: BIO read tls_read_plaintext error
2025-03-09 10:34:33 11.11.11.11:52255 TLS Error: TLS object -> incoming plaintext read error
2025-03-09 10:34:33 11.11.11.11:52255 TLS Error: TLS handshake failedС уважением,
bars
Сообщения: 1007ОС: BSD/LINUX
Сообщение bars 10.03.2025 18:14
Aliech писал: ↑ 10.03.2025 17:44
bars ,
Код: Выделить всё
2025-03-09 10:34:33 11.11.11.11:52255 VERIFY ERROR: depth=0, error=CRL has expired: CN=user_mane, serial=44256302698432184119286927193249583339
2025-03-09 10:34:33 11.11.11.11:52255 OpenSSL: error:0A000086:SSL routines::certificate verify failed
2025-03-09 10:34:33 11.11.11.11:52255 TLS_ERROR: BIO read tls_read_plaintext error
2025-03-09 10:34:33 11.11.11.11:52255 TLS Error: TLS object -> incoming plaintext read error
2025-03-09 10:34:33 11.11.11.11:52255 TLS Error: TLS handshake failed
Я заметил, а в чем может быть проблема?
Bizdelnick
Модератор
Сообщения: 21180Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 10.03.2025 18:15
По такой ошибке довольно много гуглится,
например .
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
bars
Сообщения: 1007ОС: BSD/LINUX
Сообщение bars 10.03.2025 18:16
вот данные по сертификату пользователя.
Код: Выделить всё
openssl x509 -text -in /etc/openvpn/client/user_mane.crt
Issuer: CN = Easy-RSA CA
Validity
Not Before: Sep 8 12:51:49 2024 GMT
Not After : Dec 12 12:51:49 2026 GMT
Subject: CN = user_mane
Bizdelnick
Модератор
Сообщения: 21180Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 10.03.2025 18:16
Сертификат ни при чём. CRL протух, надо обновить.
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
bars
Сообщения: 1007ОС: BSD/LINUX
Сообщение bars 10.03.2025 18:20
Bizdelnick писал: ↑ 10.03.2025 18:16
CRL протух, надо обновить.
Не понял, сертификат пользователя что ле протух?
Данные пользовательского сертификата
Код: Выделить всё
openssl x509 -text -in /etc/openvpn/client/user_mane.crt
Issuer: CN = Easy-RSA CA
Validity
Not Before: Sep 8 12:51:49 2024 GMT
Not After : Dec 12 12:51:49 2026 GMT
Subject: CN = user_maneДобавлено (18:43):
Починил, проблема в сертификате отозванных сертификатов была.
В /etc/openvpn/easy-rsa/pki/crl.pem
Код: Выделить всё
в указал /etc/openvpn/easy-rsa.pki/vars
set_var EASYRSA_CRL_DAYS 180
Вернул время атуальное.
после
cd /etc/openvpn/easy-rsa && ./easyrsa gen-crl
Пересоздал сертификат pki/crl.pem и все заработало.
В /etc/openvpn/server.conf изменил путь до сертификата
Код: Выделить всё
crl-verify /etc/openvpn/easy-rsa/pki/crl.pem
на всякий пожарный смотри срок службы серта.
Код: Выделить всё
openssl crl -inform PEM -in /etc/openvpn/easy-rsa/pki/crl.pem -text -noout
Issuer: CN = Easy-RSA CA
Last Update: Mar 6 15:30:00 2025 GMT
Next Update: Mar 6 15:30:00 2026 GMT
CRL extensions:
