Wpis z mikrobloga

Skopiuj link

12.11.2018, 15:49:44

Pomoże ktoś z #linux #openvpn? Prawie wszystko mi działa jak należy, ale mam problem z tym, że po unieważnieniu certyfikatu klienta i zaktualizowaniu listy CRL klient w dalszym ciągu łączy się do serwera, a przecież nie powinien. Wygląda to tak jakby serwer nie weryfikował statusu listy CRL. Nie pomagają restarty usługi. Wersja OpenVPN 2.4.6-1.el7.x86_64

Serwer wirtualny z LAB-a domowego, także proszę się nie czepiać, że działa na uprawnieniach root-a i na domyślnym porcie ( ͡° ͜ʖ ͡°) docelowo wszystko będzie wykoszone ( ͡° ͜ʖ ͡°)

Konfiguracja serwera:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key 
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
explicit-exit-notify 1
crl-verify root.crl.pem

Plik root.crl.pem jest osiągalny dla aplikacji openvpn. Zawartość pliku:

openssl crl -in root.crl.pem -text
Certificate Revocation List (CRL):
 Version 2 (0x1)
 Signature Algorithm: sha256WithRSAEncryption
 Issuer: /C=PL/ST=Poland/L=xxx/O=xxx/OU=CA Unit/CN=CA Unit Common Name/emailAddress=ca@xxx.xx
 Last Update: Nov 12 15:05:40 2018 GMT
 Next Update: Dec 12 15:05:40 2018 GMT
 CRL extensions:
 X509v3 Authority Key Identifier:
 keyid:B4:B3:DB:DE:DD:32:29:A1:27:41:E5:E2:B3:8A:6C:CC:A9:E1:D5:E3

 X509v3 CRL Number:
 4102
Revoked Certificates:
 Serial Number: 00
 Revocation Date: Nov 12 15:04:36 2018 GMT
 Serial Number: 02
 Revocation Date: Nov 12 14:56:07 2018 GMT
 Signature Algorithm: sha256WithRSAEncryption
 c7:e7:99:c7:bb:43:e5:ed:50:55:52:62:55:c8:6a:3d:73:16:
 f4:78:97:5b:10:dd:f2:0b:d4:29:89:a1:d0:e1:f5:85:db:9b:
 cb:5b:7e:08:eb:48:82:90:65:ea:7d:eb:61:81:8a:23:cf:d0:
 72:31:f8:fb:eb:08:7d:8a:3d:ec:8e:c2:23:90:f9:5f:71:7c:
 04:01:26:64:ee:c7:d7:81:e7:df:e3:d7:42:c8:8a:c4:87:43:
 25:9f:ea:4a:3e:11:c0:cd:9c:87:57:d9:62:00:3f:4f:eb:3c:
 da:ef:82:4e:3a:01:c7:c6:d0:a0:07:45:ba:cc:b3:33:11:e6:
 c1:b2:8e:26:94:66:79:c9:0d:ed:a9:d2:19:8a:e5:ae:c9:47:
 05:79:5c:87:bc:c5:a3:14:c5:46:5a:4e:5d:0c:5b:12:72:b8:
 db:bb:b8:09:67:b9:0a:62:a7:8e:4e:a6:0a:48:f5:32:1d:e0:
 b3:6b:42:f0:4c:39:59:c5:30:c3:62:36:c8:4d:cc:ed:dd:28:
 7c:47:ca:7a:95:8b:68:b0:56:af:38:fb:45:73:3b:8f:ef:aa:
 82:da:7d:2e:77:94:b2:1c:7b:c0:d7:c8:0d:4d:a7:a0:80:0c:
 cd:54:ce:5d:6f:48:bf:20:d6:a4:cc:0d:92:21:a2:4d:fd:bd:
 29:ee:a9:b6

#vpn #security

Rapepo

secondreality

12.11.2018, 15:54:47

@linuxuser: To może byś tak zajrzał w logi?

Rapepo

linuxuser

12.11.2018, 16:01:03

Logi sprawdzałem, zero informacji na temat CRL-ów. Gdyby logi mi pomogły nie pytałbym tutaj

secondreality

12.11.2018, 16:06:42

@linuxuser: odpal to z --verb 3

lwonly

12.11.2018, 16:15:52

Komentarz usunięty przez autora

linuxuser

12.11.2018, 17:30:06

@secondreality: w pierwotnym listingu konfiguracji verb 3 już był uruchomiony i wyrzucał logi do pliku openvpn.log. tail -f nie daje wystarczających rezultatów, zwiększę poziom verbose do 9.

@login-jest-zajety: niestety to nie to...

linuxuser

12.11.2018, 21:19:21

odpal to z --verb 3

@secondreality: z --verb 9 output logów przegrepowany pod kątem stringa "crl"daje tylko taki rezultat

Mon Nov 12 18:22:54 2018 us=122358 crl_file = 'root.crl.pem'
Mon Nov 12 18:27:32 2018 us=931725 crl_file = '/etc/openvpn/root.crl.pem'
Mon Nov 12 18:31:31 2018 us=944451 crl_file = '/etc/openvpn/root.crl.pem'
Mon Nov 12 18:36:18 2018 us=116534 crl_file = '/etc/openvpn/root.crl.pem'
Mon Nov 12 21:56:57 2018 us=310209 crl_file = '/etc/openvpn/root.crl.pem

Niezależnie czy podam ścieżkę względną czy