【VPN】VPNが接続できなくなった(´Д⊂
たまーにサーバの管理とかしよーかなぁ・・とか思いつくと、必ずといっていい程、ど忘れしてしまいます。
これまで、VPNで問題無く接続してしていたはず(過去)なんだけど、何でかエラーになる。。と
もう、上の写真に答えが示されておりますが。。その多くは、こやつです。
CRL期限が(デフォルトだと)180日になってる。
(;^ω^)
半年後なんて、作業内容が頭から完全に消去されてる訳ですよ。皆さんもそうでしょ。
そんな私が解決したお話を、つらつらと・・。
ちなみに、ここでの手順は、クライアント側の作業は不要です。サーバだけの作業のみです。
サーバ:Debian/OpenVpn
クライアント:vpnuxVlient
サーバにログのイン
まず久々に・・w、サーバにログインします。
/var/log/openvpn/logを見ると、こんなログが出てました(抜粋)
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting
TLS: Initial packet from [AF_INET]********:1194, sid=368****7 ba****a4
VERIFY ERROR: depth=0, error=CRL has expired: CN=****
OpenSSL: error:14****86:SSL routines:ssl3_get_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting
先人達の記事を見ると、赤字の部分で、CRLエラーが確認できるとの事。
期限を書き換えてまう
以前構築した際に、EasyRSAをダンロードしていました。
(多分)ここにあるツール類で、構築していったに違い有りません。
ここにあるvarsファイルを覗くと分かりますが、各種設定群が書かれています。
vi vars
まず、CRLの期限を確認してみましょう。
viでの検索は、"/"を押して、”CRL_DAYS”とタイプすれば、その場所に飛んでくれます。
いっそ書き換えてまう
10年後に書き換えてしまいましょう。もう、半永久ってなものです。
viなら、"x"(1文字削除)で、頭の"#"を取り、あとは、"i"(編集モード)を押して、180を、777や999、3650とか、お好きな数字に書き換えます。
下手な事をすると、また動かなくなっては困るので、全体をさらぁーと眺めたら閉じます。
viなら、ESC押して、編集モードを解除後、”:wq”で保存終了できます。
れっつCRL更新
後は、CRLを更新してしまいましょう。
./easyrsa gen-crl
CA証明書のパスフレーズを聞かれます。
./pki/crl.pemに生成されたようなので期限を確認。
openssl crl -in ./pki/crl.pem -text
しっかり、2030年となってます。
OpenVPNに適用する
んで、生成したcrl.pemを、OpenVPNに適用しなくてはなりません。
私の場合は、/etc/openvpnとなってましたので、ここにコピーします。
・・と、その前に、OpenVpnを停止しませう。
service openvpn stop (停止)
service openvpn status (確認)
停止してるので、他にもユーザーさんが居る場合は、急いで作業を進めないといけません。
cp pki/crl.pem /etc/openvpn/
これで、生成したcrlを、openvpnにコピーできます。openvpnを開始します。
service openvpn start (開始)
クライアントから接続
では、クライアントから接続してみましょう。
ふっ・・・・でけた。
この”初期化された脳”で、なんとかVPN接続できるようになった。。。w
これで心置きなく、忘れる事ができます。
(;^ω^)