未分類

HCL Nomad(旧IBM Domino Mobile Apps):OpenVPN経由で利用できない

HCL Nomad Logo

HCL Nomadを利用する際に、社外からOpenVPN経由で接続できないという現象が発生しました
ブラウザでアクセスするサイトにはアクセスできるし、他のアプリも利用できる状態です
この時点では、HCL Nomadのみ利用できませんでした

結論からいうとOpenVPNをバージョンアップすると接続できるようになりました
OpenVPNのバグだったのかな?

 

OpenVPN環境をアップデート

OSは、CentOS6.10
OpenVPNは、openvpn-2.3.8-1
Easy-RSAは、easy-rsa-2.2.2-1
という環境でした
TUNで利用しています
プロトコルはUDPを利用。試しにTCPに変更してみましたが結果は変わらず

yum updateでアップデートを行いました

アップデートすると
OpenVPNは、openvpn-2.4.7-1
Easy-RSAは、easy-rsa-3.0.6-1
になりました

エラーが発生

OpenVPNをアップデートするとエラーが発生しました

Oct  8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 VERIFY ERROR: depth=0, error=CRL has expired: C=JP, ST=Kochi, L=Kochi-city, O=ishimotohiroaki.com, OU=pc-macbookair, CN=pc-macbookair, name=pc-macbookair, emailAddress=ishimoto@xxxxxx
Oct  8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Oct  8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 TLS_ERROR: BIO read tls_read_plaintext error
Oct  8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 TLS Error: TLS object -> incoming plaintext read error
Oct  8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 TLS Error: TLS handshake failed
Oct  8 12:12:50 vm-vpn001 openvpn[1273]: xxx.xxx.xxx.xxx:52460 SIGUSR1[soft,tls-error] received, client-instance restarting

 

エラーになるようになった理由は、OpenVPNのバグでcrlファイルの有効期限を見なかったのが、OpenVPNをバージョンアップしたことでバグが治って、crlファイルの有効期限が切れていたのが問題

以下のサイトがめっちゃ参考になりました
OpenVPNが接続不可-CRLを再生成する

 

接続成功

OpenVPNをバージョンアップすることで接続が成功しました
OpenVPN2.3系が悪そうです。OpenVPN2.4系にアップデートしました

不安な点

easy-rsa2.0のディレクトリが残ったままで、easy-rsa3.0のディレクトリもできてしまっている事です

とりあえず、次回クライアント証明書の発行もeasy-rsa2.0のディレクトリで行ってみるつもり