обходной путь tls-remote для openvpn в Ubuntu 17.10
Я пытаюсь обойти это, опция
--tls-remote
была удалена в openvpn 2.4, поэтому мой конфигурационный файл openvpn больше не работает.
Я пытался понизить openvpn с 2.4 в Ubuntu 17.10 до 2.3.4:
apt remove openvpn
wget http://ftp.us.debian.org/debian/pool/main/o/openvpn/openvpn_2.3.4-5+deb8u2_amd64.deb
dpkg -i openvpn_2.3.4-5+deb8u2_amd64.deb
Но кажется, что 2.3 не совместима с Ubuntu 17.10: так, отсутствует пакет initscripts, который не устанавливается 17.10.
Что я могу сделать, чтобы запустить мой старый конфиг? Или я могу изменить конфиг, чтобы он работал с 2.4? Это оскорбительная строка:
tls-remote "/C=de/L=SomeTown/O=Something/CN=asg.myserver.de/emailAddress=administrator@myserver.de"
2 ответа
Вы должны заменить --tls-remote name новой директивой --verify-x509-name name type:
https://community.openvpn.net/openvpn/wiki/DeprecatedOptions#a--tls-remote
Так что вместо команды tls-remote используйте это:
verify-x509-name 'C=de, L=SomeTown, O=Something, CN=asg.myserver.de, emailAddress=administrator@myserver.de'
странно, это не сработало в моей системе, я получил ошибку:
VERIFY X509NAME ERROR: C=de, L=SomeTown, O=Something, CN=asg.myserver.de, emailAddress=administrator@myserver.de, must be C=de, L=SomeTown, O=Something, CN=asg.myserver.de, emailAddress=administrator@myserver.de
Это кажется странным сообщением, поэтому я попробовал еще несколько вариантов и выяснил, что оно работает с типом name вместо (по умолчанию) типа subject:
verify-x509-name asg.myserver.de name
Новая опция конфигурации для использования - verify-x509-name, она, кажется, ожидает запятую и разделенный пробелами список для вашего отличительного имени (DN):
verify-x509-name 'C=de, L=SomeTown, O=Something, CN=asg.myserver.de, emailAddress=administrator@myserver.de'
Эта информация взята из человека OpenVPN стр. 2.4 , в разделе «Параметры режима TLS». В этом примере для создания DN используются только части C, ST, L и CN, но похоже, что он должен работать с другими компонентами DN
.