Aller au contenu

Renouvellement de certificat fait planter Tunnelblick


YvesBert

Messages recommandés

Salut tout le monde

Je suis un peu dans la mouize (en fait... beaucoup). Une configuration OpenVPN dans un DS818 a donné satisfaction jusqu'à ce que je l'utilise via Tunnelblick.

Pendant longtemps, j'ai connecté via OpenVPN sur du Windows, et là j'ai fait joujou avec un Mac, donc Tunnelblick. Or, le NAS venant derenouveller son certif Let's Encrypt, Tunnelblick plante grave, avec des gros message bien méchant:

1604855832.490348 14000003 TLS: Initial packet from [AF_INET]1mon_ip_a_moi:1194, sid=b9634ea7 4507b2ad
1604855832.576152 14000002 VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
1604855832.576592 14000002 VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
1604855832.578968 3000021 VERIFY ERROR: depth=0, error=certificate has expired: CN=xxxxxx.dyndns.biz
1604855832.579020 3000021 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
1604855832.579034 3000021 TLS_ERROR: BIO read tls_read_plaintext error
1604855832.579045 3000021 TLS Error: TLS object -> incoming plaintext read error
1604855832.579083 3000021 TLS Error: TLS handshake failed
1604855832.581355 1 SIGUSR1[soft,tls-error] received, process restarting
1604855832.581383 28000003 MANAGEMENT: >STATE:1604855832,RECONNECTING,tls-error,,,,,
1604855832.590102 46000083 MANAGEMENT: CMD 'hold release'
1604855832.590199 46000083 MANAGEMENT: CMD 'hold release'
1604855832.590235 40 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
1604855832.590254 40 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
1604855832.590741 1 TCP/UDP: Preserving recently used remote address: [AF_INET]mon_ip_a_moi:1194
1604855832.590818 2b000003 Socket Buffers: R=[196724->196724] S=[9216->9216]
1604855832.590863 1 UDP link local (bound): [AF_INET][undef]:1194
1604855832.590880 1 UDP link remote: [AF_INET]mon_ip_a_moi:1194
1604855832.590904 28000003 MANAGEMENT: >STATE:1604855832,WAIT,,,,,,
1604855832.612614 3000021 TLS Error: Unroutable control packet received from [AF_INET]mon_ip_a_moi:1194 (si=3 op=P_ACK_V1)
1604855834.989841 3000021 TLS Error: Unroutable control packet received from [AF_INET]mon_ip_a_moi:1194 (si=3 op=P_ACK_V1)
1604855836.068980 1000021 event_wait : Interrupted system call (code=4)
1604855836.072325 1 SIGTERM[hard,] received, process exiting
1604855836.072380 28000003 MANAGEMENT: >STATE:1604855836,EXITING,SIGTERM,,,,,

J'ai regénéré et réimporté les certif nas dans mon mac, retéléchargé le fichier de config, réinstallé Tunnelblick, bref, j'ai tout démonté et remonté..... pour rien.

Une idée ?  Une piste ??  Un encouragement ??? Un bâton de dynamite ????  Un laxatif ?????

Merci pour tout

Si au passage, mon "gourou" @91-daffy pouvait jeter un oeil, ce serait trop apprécié, vraiment 😉

Belle fin de journée dominicale à chacun(e)

Yves

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @YvesBert

Si tu veux être certain que ton "gourou" voit le message il faut lui faire parvenir une notification.

Pour lui envoyer une notification avec son pseudo il faut l'orthographier correctement. Visiblement @91-daffy n'existe pas ou plus sur le forum.

Sinon son pseudo  apparaitrait comme le tien ci-dessus.

Sinon, concernant ton problème, visiblement le certificat que tu as mis dans ta config n'est plus valable :

il y a 36 minutes, YvesBert a dit :

VERIFY ERROR: depth=0, error=certificate has expired: CN=xxxxxx.dyndns.biz

 

 

Lien vers le commentaire
Partager sur d’autres sites

Salut @Jeff777

Merci pour ta réponse. Le @DaffY était mal syntaxé 😉

Pour le reste, oui j'avais bien vu que mon certif était expiré et mon nas l'avait bien renouvelé. Mon problème se situe dans Tunnelblick qui me dit que mon certif est échu, qu'il ne correspond plus, et que je je ne sais pas comment/où lui dire de prendre le nouveau.

J'ai tout démonté, remonté, rien ne change 😞

Merci à chacun

Yves

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, YvesBert a dit :

que je je ne sais pas comment/où lui dire de prendre le nouveau.

Tu le trouveras ici dans le panneau de config tu peux l'exporter sur ton PC (ajouter/exporter)

Capture.JPG.e2d036d8d903f38536c55d1cbd5ca0c0.JPG

Je ne connais pas tunnelblick mais je suppose qu'il faut ajouter le certificat dans le fichier de config.

Lien vers le commentaire
Partager sur d’autres sites

Tunnelblick est la version OpenVPN pour Mac. Tu en trouves le lien dans le fichier d'export de la config OpenVPN dans le NAS

L'export que tu indiques a bien été fait, et réimporté dans le Mac, mais....... il s'en fout !  C'est comme si pour lui l'ancien export avait plus d'autorité que le nouveau que tu le redonnes à manger. Tu le supprimes du programme qui gère les certificat (ou alors je ne le supprimer pas correctement), réimporte le nouveau et... il s'en fout !!

A croire que l'on a plus de chances de trouver un neurone dans la tête à Trump que de faire fonctionner ce Tunnelblick ! 😉

Lien vers le commentaire
Partager sur d’autres sites

Ce qui est important c'est de mettre le certificat dans le fichier de config de tunnelblick.

ça ne doit pas être trop différent que pour OpenVPN. C'est expliqué dans le tuto de VPN serveur que tu as dû utiliser (partie OPENVPN) :

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
Le 08/11/2020 à 19:43, YvesBert a dit :

L'export que tu indiques a bien été fait, et réimporté dans le Mac, mais....... il s'en fout !  C'est comme si pour lui l'ancien export avait plus d'autorité que le nouveau que tu le redonnes à manger. Tu le supprimes du programme qui gère les certificat (ou alors je ne le supprimer pas correctement), réimporte le nouveau et... il s'en fout !!

Bonsoir @YvesBert

De mémoire il y a deux endroits ou VPNServeur cherche le fichier de config. : VPNConfig.ovpn  :

Sur PC :

1/ Dans le dosser  windows/programmes/openvpn/config

2/ dans le dossier windows/utilisateurs/ton_nom_utilisateur/openVPN/config

Ils sont pris dans un certain ordre et si le fichier n'est pas trouvé dans le premier il est recherché au second endroit.

Si tu as mis la nouvelle config dans l'endroit qui est pris en second et que l'ancienne est toujours dans celui qui est choisi en premier....tu comprends le pb.🙄

Je ne connais pas sur Mac mais cherche les fichiers VPNConfig.ovpn et détruit l'ancien.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.