Aller au contenu

No server certificate verification method has been enabled > Comment corriger ???!!!


Elrick

Messages recommandés

Bonjour à tous,

J'utilise VPN Server sur un serveur Synology, il est configuré en mode OpenVPN (AES 256 CBC, SHA 512)

Lors de cette installation, j'ai exporter la configuration pour l'utiliser avec mon poste sous Windows 10.

J'ai installé OpenVPN version client sur le poste client en Windows 10, j'arrive à me connecter correctement mais j'ai le message suivant dans le log :  

     WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

 J'ai donc regardé sur internet les personnes suggère d'ajouter la ligne remote-cert-tls server dans le fichier de configuration VPNConfig.ovpn.

Après ajout de cette ligne, je ne suis plus en mesure de me connecter, j'obtiens les messages d'erreurs suivant :

     Certificat does not have key usage extension

     OpenSSL: error:1416XXXX:SSL routines:tls_process_server_certificate:certificate verify failed

     TLS_ERROR: BIO read tls_read_plaintext error

     TLS Error: TLS object -> incoming plaintext read error

     TLS Error: TLS handshake failed

Je suis revenu en arrière pour continuer à utiliser ma connexion VPN mais j'ai toujours ce premier message d'erreur, comment est ce que je peux corriger ce problème pour éviter les attaques de type MITM (Man In The Middle) svp ?

Merci pour vos conseils.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Merci, ce lien est intéressant.

Le post initial date un peu mais il semble toujours utile, il mets à mal la version obsolète d'OpenVPN de l'application VPN Server de Synology 😞

Ce post me fait dire qu'il faut que j'envisage sérieusement l'utilisation d'un package VPN pfSense pour optimiser ma connexion VPN comme il se doit, il prendra en charge l'AES-GCM, ce chiffrement est plus rapide et plus secure qu'AES-CBC.

C'est dommage que Synology ne se bouge pas les fesses.

 

Modifié par Elrick
Lien vers le commentaire
Partager sur d’autres sites

J'envisage de plus en plus l'investissement dans un boîtier pfSense ou OpnSense également. Mais ça a l'air vachement pointu, j'ai peur de ne pas avoir le temps nécessaire pour en maîtriser tous les rouages, si tu as une expérience là-dedans ça m'intéresse @Elrick

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Thierry94 a dit :

Dans ton fichier de configuration tu as bien intégré le contenu du fichier ca_bundle ?
Ce fichier est produit par l'exportation de la configuration Openvpn dans VPN Server 

Si ta question est, est-ce que j'ai bien dans mon fichier .ovpn les balises <ca> et </ca> avec le contenu de mon certificat, la réponse est oui.

 

Lien vers le commentaire
Partager sur d’autres sites

Je suis passé par pfSense, plus sécure et aussi rapide, chiffrement 4096bit, AES GCM avec TLS/Auth.

Le paramétrage est un jeu d'enfant, j'ai suivi le tuto ici  > https://www.samueldowling.com/2018/11/27/how-to-configure-an-openvpn-remote-access-server-in-pfsense/

Il y a un assistant pour créer sa connexion VPN dans pfSense, il créer également la régle dans le parefeu automatiquement.

Il y a un package qui permet d'exporter la configuration complete, elle fait un executable avec OpenVPN et les fichiers de configuration automatiquement à l'installation.

Encore plus simple que Synology, du coup je n'ai plus d'alerte MINT.

Vous pouvez ajouter "auth-nocache" dans le fichier de configuration (fichier .ovpn) cela permettra d'éviter que votre mot de passe soit stocker dans le fichier de pagination (pagefile) de votre PC.

 

Modifié par Elrick
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.