Aller au contenu

No server certificate verification method has been enabled > Comment corriger ???!!!

Elrick

Par Elrick
dans VPN Serveur

 Partager

Messages recommandés

Elrick Newbie

Elrick

Posté(e)
Posté(e)

Bonjour Ă  tous,

J'utilise VPN Server sur un serveur Synology, il est configuré en mode OpenVPN (AES 256 CBC, SHA 512)

Lors de cette installation, j'ai exporter la configuration pour l'utiliser avec mon poste sous Windows 10.

J'ai installé OpenVPN version client sur le poste client en Windows 10, j'arrive à me connecter correctement mais j'ai le message suivant dans le log :  

     WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

 J'ai donc regardé sur internet les personnes suggÚre d'ajouter la ligne remote-cert-tls server dans le fichier de configuration VPNConfig.ovpn.

AprĂšs ajout de cette ligne, je ne suis plus en mesure de me connecter, j'obtiens les messages d'erreurs suivant :

     Certificat does not have key usage extension

     OpenSSL: error:1416XXXX:SSL routines:tls_process_server_certificate:certificate verify failed

     TLS_ERROR: BIO read tls_read_plaintext error

     TLS Error: TLS object -> incoming plaintext read error

     TLS Error: TLS handshake failed

Je suis revenu en arriĂšre pour continuer Ă  utiliser ma connexion VPN mais j'ai toujours ce premier message d'erreur, comment est ce que je peux corriger ce problĂšme pour Ă©viter les attaques de type MITM (Man In The Middle) svp ?

Merci pour vos conseils.

 

 

0
Elrick Newbie

Elrick

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci, ce lien est intéressant.

Le post initial date un peu mais il semble toujours utile, il mets à mal la version obsolùte d'OpenVPN de l'application VPN Server de Synology 😞

Ce post me fait dire qu'il faut que j'envisage sérieusement l'utilisation d'un package VPN pfSense pour optimiser ma connexion VPN comme il se doit, il prendra en charge l'AES-GCM, ce chiffrement est plus rapide et plus secure qu'AES-CBC.

C'est dommage que Synology ne se bouge pas les fesses.

 

Modifié par Elrick
0
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

J'envisage de plus en plus l'investissement dans un boßtier pfSense ou OpnSense également. Mais ça a l'air vachement pointu, j'ai peur de ne pas avoir le temps nécessaire pour en maßtriser tous les rouages, si tu as une expérience là-dedans ça m'intéresse @Elrick

0
Elrick Newbie

Elrick

Posté(e)
  • Auteur
Posté(e)
Il y a 3 heures, Thierry94 a dit :

Dans ton fichier de configuration tu as bien intégré le contenu du fichier ca_bundle ?
Ce fichier est produit par l'exportation de la configuration Openvpn dans VPN Server 

Si ta question est, est-ce que j'ai bien dans mon fichier .ovpn les balises <ca> et </ca> avec le contenu de mon certificat, la réponse est oui.

 

0
Thierry94 Enthusiast

Thierry94

Posté(e)
Posté(e)

Oui c'est bien cela mais entre les balises c'est le contenu du fichier CA_bundle qu'il faut mettre.
Dans ce fichier il y a 2 parties avec chacune des balises" begin_certificat" et "end_certificat", c'est l'ensemble qu'il faut insérer entre les balises <ca> et </ca>

0
Elrick Newbie

Elrick

Posté(e)
  • Auteur
Posté(e)

Le certificat était déja renseigné automatiquement lors de l'exportation de la configuration.

Cela ne vient donc pas de lĂ ... le fichier qui contient le meme certificat est CA (et non CA_bundle)

0
Thierry94 Enthusiast

Thierry94

Posté(e)
Posté(e)

Je viens de refaire l'exportation pour ĂȘtre sur et c'est bien le contenu du fichier CA_bundle que je retrouve dans le fichier VPNconfig.ovpn gĂ©nĂ©rĂ© par VPN server
Ce contenu avec l'option "remote-tls server"dans la config tu n'auras plus le warning 

 

0
Elrick Newbie

Elrick

Posté(e)
  • Auteur
Posté(e) (modifié)

Je suis passé par pfSense, plus sécure et aussi rapide, chiffrement 4096bit, AES GCM avec TLS/Auth.

Le paramétrage est un jeu d'enfant, j'ai suivi le tuto ici  > https://www.samueldowling.com/2018/11/27/how-to-configure-an-openvpn-remote-access-server-in-pfsense/

Il y a un assistant pour créer sa connexion VPN dans pfSense, il créer également la régle dans le parefeu automatiquement.

Il y a un package qui permet d'exporter la configuration complete, elle fait un executable avec OpenVPN et les fichiers de configuration automatiquement Ă  l'installation.

Encore plus simple que Synology, du coup je n'ai plus d'alerte MINT.

Vous pouvez ajouter "auth-nocache" dans le fichier de configuration (fichier .ovpn) cela permettra d'Ă©viter que votre mot de passe soit stocker dans le fichier de pagination (pagefile) de votre PC.

 

Modifié par Elrick
1
Elrick Newbie

Elrick

Posté(e)
  • Auteur
Posté(e)

Le minimum syndical pour gérer plusieurs sous réseau et plusieurs WAN.

J'ai collĂ© deux cartes rĂ©seau, Intel X710-T4 et Chelsio T540 pour ĂȘtre compatible pfSense.

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
RĂ©pondre Ă  ce sujet


×   CollĂ© en tant que texte enrichi.   Coller en tant que texte brut Ă  la place

  Seulement 75 Ă©moticĂŽnes maximum sont autorisĂ©es.

×   Votre lien a Ă©tĂ© automatiquement intĂ©grĂ©.   Afficher plutĂŽt comme un lien

×   Votre contenu prĂ©cĂ©dent a Ă©tĂ© rĂ©tabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insĂ©rez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • CrĂ©er...

Information importante

Nous avons placĂ© des cookies sur votre appareil pour aider Ă  amĂ©liorer ce site. Vous pouvez choisir d’ajuster vos paramĂštres de cookie, sinon nous supposerons que vous ĂȘtes d’accord pour continuer.