Hi,
ich betriebe einen OpenVPN-Server mit Authentifizierung über Benutzername und Passwort; funktioniert alles wunderbar. Aus verschiedenen Gründen möchte ich die Authentifizierung aber auf Client-Zertifikate ohne Benutzername/Passwort umstellen.
Ich habe die CA-, Server- und Client-Zertifikate und -Keys erzeugt; ihre Überprüfung während des Verbindungsaufbau funktioniert, soweit ich sehe, auch problemlos. Jedoch gelingt es mir nicht, die Überprüfung und Anforderung von Benutzername und Passwort zu deaktivieren. Ohne Benutzername und Passwort kann ich mich nicht zum Server verbinden.
Meine Idee wäre, einfach "auth-user-pass" aus der Client-Konfiguration zu entfernen. Wenn ich das jedoch tue, erhalte ich im Verbindungs-Log immer Meldungen wie diese:
Ich wäre für alle Hinweise dankbar, was ich ändern muss. Im Anhang füge ich meine Server- und Client-Konfiguration ein.
Grüße und Dank,
Michael
--
Server Konfiguration:
Client Konfiguration
ich betriebe einen OpenVPN-Server mit Authentifizierung über Benutzername und Passwort; funktioniert alles wunderbar. Aus verschiedenen Gründen möchte ich die Authentifizierung aber auf Client-Zertifikate ohne Benutzername/Passwort umstellen.
Ich habe die CA-, Server- und Client-Zertifikate und -Keys erzeugt; ihre Überprüfung während des Verbindungsaufbau funktioniert, soweit ich sehe, auch problemlos. Jedoch gelingt es mir nicht, die Überprüfung und Anforderung von Benutzername und Passwort zu deaktivieren. Ohne Benutzername und Passwort kann ich mich nicht zum Server verbinden.
Meine Idee wäre, einfach "auth-user-pass" aus der Client-Konfiguration zu entfernen. Wenn ich das jedoch tue, erhalte ich im Verbindungs-Log immer Meldungen wie diese:
Code:
...
Mrz 01 13:45:58: OpenVPN 2.3.10 Windows-MSVC [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb 11 2016
Mrz 01 13:45:58: library versions: OpenSSL 1.0.2f 28 Jan 2016, LZO 2.09
Mrz 01 13:45:59: Control Channel Authentication: using 'C:\...\ta.key' as a OpenVPN static key file
Mrz 01 13:45:59: Attempting to establish TCP connection with [AF_INET]XXX.XXX.XXX.XXX:443 [nonblock]
Mrz 01 13:46:00: TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:443
Mrz 01 13:46:00: TCPv4_CLIENT link local: [undef]
Mrz 01 13:46:00: TCPv4_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:443
Mrz 01 13:46:01: Connection reset, restarting [0]
Mrz 01 13:46:01: SIGUSR1[soft,connection-reset] received, process restarting
...Ich wäre für alle Hinweise dankbar, was ich ändern muss. Im Anhang füge ich meine Server- und Client-Konfiguration ein.
Grüße und Dank,
Michael
--
Server Konfiguration:
Code:
dev tun
management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh4096.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
max-clients 5
comp-lzo
persist-tun
persist-key
verb 3
#log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
# client-cert-not-required
username-as-common-name
duplicate-cn
status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6Client Konfiguration
Code:
dev tun
tls-client
tls-auth ta.key 1
remote XXX.XXX.XXX.XXX XXX
pull
proto tcp-client
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
# auth-user-pass
ns-cert-type server
cert client.crt
key client.key
