スポンサーリンク
HCL Nomadを利用する際に、社外からOpenVPN経由で接続できないという現象が発生しました
ブラウザでアクセスするサイトにはアクセスできるし、他のアプリも利用できる状態です
この時点では、HCL Nomadのみ利用できませんでした
結論からいうとOpenVPNをバージョンアップすると接続できるようになりました
OpenVPNのバグだったのかな?
スポンサーリンク
OpenVPN環境をアップデート
OSは、CentOS6.10
OpenVPNは、openvpn-2.3.8-1
Easy-RSAは、easy-rsa-2.2.2-1
という環境でした
TUNで利用しています
プロトコルはUDPを利用。試しにTCPに変更してみましたが結果は変わらず
yum updateでアップデートを行いました
アップデートすると
OpenVPNは、openvpn-2.4.7-1
Easy-RSAは、easy-rsa-3.0.6-1
になりました
エラーが発生
OpenVPNをアップデートするとエラーが発生しました
Oct 8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 VERIFY ERROR: depth=0, error=CRL has expired: C=JP, ST=Kochi, L=Kochi-city, O=ishimotohiroaki.com, OU=pc-macbookair, CN=pc-macbookair, name=pc-macbookair, emailAddress=ishimoto@xxxxxx
Oct 8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Oct 8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 TLS_ERROR: BIO read tls_read_plaintext error
Oct 8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 TLS Error: TLS object -> incoming plaintext read error
Oct 8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 TLS Error: TLS handshake failed
Oct 8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 SIGUSR1[soft,tls-error] received, client-instance restarting
エラーになるようになった理由は、OpenVPNのバグでcrlファイルの有効期限を見なかったのが、OpenVPNをバージョンアップしたことでバグが治って、crlファイルの有効期限が切れていたのが問題
以下のサイトがめっちゃ参考になりました
OpenVPNが接続不可-CRLを再生成する
接続成功
OpenVPNをバージョンアップすることで接続が成功しました
OpenVPN2.3系が悪そうです。OpenVPN2.4系にアップデートしました
不安な点
easy-rsa2.0のディレクトリが残ったままで、easy-rsa3.0のディレクトリもできてしまっている事です
とりあえず、次回クライアント証明書の発行もeasy-rsa2.0のディレクトリで行ってみるつもり
スポンサーリンク
スポンサーリンク
