OpenVPN: трудноуловимая ошибка

Настраивал OpenVPN и столкнулся с самой распространенной в этом деле ошибкой:

TLS Error: TLS key negotiation failed to occur...

В Гугле воплей о помощи в решении такой проблемы море. Все ответы знатоков ведут в FAQ сайта OpenVPN, где сказаны довольно банальные вещи: проверьте, мол, номер порта, настройки фаервола и т.п. Проверял битый час, пока не просмотрел тщательно логи сервера и не наткнулся там на фразу

unsupported certificate purpose

Ага, значит с сетевыми настройками всё в порядке, с сертификатом что-то не так… Оказалось, что создавая приватный ключ для клиентского соединения, я по инерции вызвал команду из истории bash и ввел 

./build-key-server client


А надо для клиента так:

./build-key client


После корректировки всё заработало.

Комментарии (9)

RSS свернуть / развернуть
+
0
Да этим странные глюки openvpn не ограничиваются, есть еще у него залеты.
avatar

Sergei_T

  • 27 ноября 2011, 19:51
+
0
Это, скорее, глюк человеческий: копипастить команды и не проверять в изменившихся условиях. А OpenVPN как раз весьма адекватная вещь. FAQ у них просто отличный, не если всё в точности делать по описанному — с первого раза должно получаться. Беда в том, что точно выполнять инструкции и воздерживаться от «творческого подхода» дано немногим. Мне точно не дано
avatar

yababay

  • 27 ноября 2011, 20:42
+
0
У меня переставало соединяться ни с того ни с сего, пришлось пересоздать сертификаты, попрыгать — заработало. Кстати, у нас терминал оплаты банка админы в Казани поменяли что-то в OpenVPN, видать разобраться не получилось, поменяли на терминал с аппаратным vpn.
avatar

Sergei_T

  • 27 ноября 2011, 20:44
+
0
Еще одна распространенная, но трудноуловимая ошибка начинающих — несоответствие времени между связываемыми машинами. (даже час разницы может привести к несоответствию сертификатов).
avatar

yababay

  • 05 декабря 2011, 16:16
+
0
совершенно верно и не только впн — так же в доменных сетях при синхронизации к ад, клиентов.
avatar

FREExLOADER

  • 05 декабря 2011, 17:39
+
0
как вам отмена перевода на летнее время — все в дубай переехали? ))
avatar

Sergei_T

  • 05 декабря 2011, 17:55
+
0
ужастное ужастно — еле вылечил
avatar

FREExLOADER

  • 05 декабря 2011, 19:25
+
0
А я и еще одну распространенную ситуацию могу назвать: если дважды запустить клиентский стартовый скрипт OpenVPN — поднимутся два интерфейса, и оба будут нерабочие.
avatar

yababay

  • 05 декабря 2011, 21:32
+
0
Еще одна врзможная оплошность: если с двух машин запустить клиенты с одинаковыми сертификатами — им, скорее всего, выдадут одинаковые ip-адреса и сеть будет нестабильной, вплоть до зависания компьютера.
avatar

yababay

  • 06 декабря 2011, 09:43

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.