No server certificate verification method has been enabled > Comment corriger ???!!!

[Elrick]

Bonjour à tous,

J'utilise VPN Server sur un serveur Synology, il est configuré en mode OpenVPN (AES 256 CBC, SHA 512)

Lors de cette installation, j'ai exporter la configuration pour l'utiliser avec mon poste sous Windows 10.

J'ai installé OpenVPN version client sur le poste client en Windows 10, j'arrive à me connecter correctement mais j'ai le message suivant dans le log :  

     WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

 J'ai donc regardé sur internet les personnes suggère d'ajouter la ligne remote-cert-tls server dans le fichier de configuration VPNConfig.ovpn.

Après ajout de cette ligne, je ne suis plus en mesure de me connecter, j'obtiens les messages d'erreurs suivant :

     Certificat does not have key usage extension

     OpenSSL: error:1416XXXX:SSL routines:tls_process_server_certificate:certificate verify failed

     TLS_ERROR: BIO read tls_read_plaintext error

     TLS Error: TLS object -> incoming plaintext read error

     TLS Error: TLS handshake failed

Je suis revenu en arrière pour continuer à utiliser ma connexion VPN mais j'ai toujours ce premier message d'erreur, comment est ce que je peux corriger ce problème pour éviter les attaques de type MITM (Man In The Middle) svp ?

Merci pour vos conseils.

 

 

[.Shad.]

Il y a bien ce lien qui en parle, je n'ai jamais essayé cela étant : https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/

[Elrick]

Merci, ce lien est intéressant.

Le post initial date un peu mais il semble toujours utile, il mets à mal la version obsolète d'OpenVPN de l'application VPN Server de Synology 😞

Ce post me fait dire qu'il faut que j'envisage sérieusement l'utilisation d'un package VPN pfSense pour optimiser ma connexion VPN comme il se doit, il prendra en charge l'AES-GCM, ce chiffrement est plus rapide et plus secure qu'AES-CBC.

C'est dommage que Synology ne se bouge pas les fesses.

 

Modifié le 4 août 2019 par Elrick

[Thierry94]

Dans ton fichier de configuration tu as bien intégré le contenu du fichier ca_bundle ?
Ce fichier est produit par l'exportation de la configuration Openvpn dans VPN Server 

[.Shad.]

J'envisage de plus en plus l'investissement dans un boîtier pfSense ou OpnSense également. Mais ça a l'air vachement pointu, j'ai peur de ne pas avoir le temps nécessaire pour en maîtriser tous les rouages, si tu as une expérience là-dedans ça m'intéresse @Elrick

[Thierry94]

Openvpn sur vpn server fonctionne très bien.

[Elrick]

Il y a 3 heures, Thierry94 a dit :

Dans ton fichier de configuration tu as bien intégré le contenu du fichier ca_bundle ?
Ce fichier est produit par l'exportation de la configuration Openvpn dans VPN Server 

Si ta question est, est-ce que j'ai bien dans mon fichier .ovpn les balises <ca> et </ca> avec le contenu de mon certificat, la réponse est oui.

 

[Thierry94]

Oui c'est bien cela mais entre les balises c'est le contenu du fichier CA_bundle qu'il faut mettre.
Dans ce fichier il y a 2 parties avec chacune des balises" begin_certificat" et "end_certificat", c'est l'ensemble qu'il faut insérer entre les balises <ca> et </ca>

[Elrick]

Le certificat était déja renseigné automatiquement lors de l'exportation de la configuration.

Cela ne vient donc pas de là... le fichier qui contient le meme certificat est CA (et non CA_bundle)

[Thierry94]

Je viens de refaire l'exportation pour être sur et c'est bien le contenu du fichier CA_bundle que je retrouve dans le fichier VPNconfig.ovpn généré par VPN server
Ce contenu avec l'option "remote-tls server"dans la config tu n'auras plus le warning 

 

[Elrick]

Je suis passé par pfSense, plus sécure et aussi rapide, chiffrement 4096bit, AES GCM avec TLS/Auth.

Le paramétrage est un jeu d'enfant, j'ai suivi le tuto ici  > https://www.samueldowling.com/2018/11/27/how-to-configure-an-openvpn-remote-access-server-in-pfsense/

Il y a un assistant pour créer sa connexion VPN dans pfSense, il créer également la régle dans le parefeu automatiquement.

Il y a un package qui permet d'exporter la configuration complete, elle fait un executable avec OpenVPN et les fichiers de configuration automatiquement à l'installation.

Encore plus simple que Synology, du coup je n'ai plus d'alerte MINT.

Vous pouvez ajouter "auth-nocache" dans le fichier de configuration (fichier .ovpn) cela permettra d'éviter que votre mot de passe soit stocker dans le fichier de pagination (pagefile) de votre PC.

 

Modifié le 6 août 2019 par Elrick

[.Shad.]

Sur quelle machine fais-tu tourner pfSense ?

[Elrick]

Une machine dédié, c'est un Dell R230 avec un E3-1260lv5.

 

[.Shad.]

Une belle bête effectivement 😉

[Elrick]

Le minimum syndical pour gérer plusieurs sous réseau et plusieurs WAN.

J'ai collé deux cartes réseau, Intel X710-T4 et Chelsio T540 pour être compatible pfSense.