5
OpenVPN-Einwahl zu MikroTik-Router schlägt fehl, Client-Zertifikat noch nicht gültig
Hallo, ich versuche gerade einen OpenVPN-Server auf einem MikroTik-Router ans Laufen zu bekommen.
Stecke gerade an der Stelle fest, das die VPN-Einwahl am Client (ein "Windows 10"-PC ) nicht funktioniert.
Bekomme bei der Einwahl folgende Fehlermeldung im OpenVPN-Log:
Fri Aug 07 00:50:40 2020 WARNING: Your certificate is not yet valid!
Das Client-Zertifikat wird als noch nicht gültig ausgewiesen, wobei ich mich frage,
warum es noch nicht gültig sein soll!?
Datum + Uhrzeit sind auf dem "Windows 10"-PC und dem MikroTik-Router identisch (siehe Screenshots).
Per openssl-Befehl habe ich mir mal die Gültigkeitsdaten des CA-Zertifikats sowie des Client-Zertifikats anzeigen lassen.
Überprüfung der Gültigkeit des CA-Zertifikats:
openssl.exe x509 -noout -startdate -in cert_export_CA.crt
Ausgabe von obigen Befehl:
notBefore=Aug 6 23:48:11 2020 GMT
openssl.exe x509 -noout -enddate -in cert_export_CA.crt
Ausgabe von obigen Befehl:
notAfter=Aug 6 23:48:11 2021 GMT
Überprüfung der Gültigkeit des Client-Zertifikats:
openssl.exe x509 -noout -startdate -in cert_export_OVPN-Client01.crt
Ausgabe von obigen Befehl:
notBefore=Aug 6 23:49:27 2020 GMT
openssl.exe x509 -noout -enddate -in cert_export_OVPN-Client01.crt
Ausgabe von obigen Befehl:
notAfter=Aug 6 23:49:27 2021 GMT
Sehe da auch keinen Hinweis darauf, dass das Client-Zertifikat und auch nicht das CA-Zertifikat irgendwann
erst in der Zukunft gültig ist.
Kann da jemand helfen?
Habe ich etwas übersehen?
Gruß, Datax
Stecke gerade an der Stelle fest, das die VPN-Einwahl am Client (ein "Windows 10"-PC ) nicht funktioniert.
Bekomme bei der Einwahl folgende Fehlermeldung im OpenVPN-Log:
Fri Aug 07 00:50:40 2020 WARNING: Your certificate is not yet valid!
Das Client-Zertifikat wird als noch nicht gültig ausgewiesen, wobei ich mich frage,
warum es noch nicht gültig sein soll!?
Datum + Uhrzeit sind auf dem "Windows 10"-PC und dem MikroTik-Router identisch (siehe Screenshots).
Per openssl-Befehl habe ich mir mal die Gültigkeitsdaten des CA-Zertifikats sowie des Client-Zertifikats anzeigen lassen.
Überprüfung der Gültigkeit des CA-Zertifikats:
openssl.exe x509 -noout -startdate -in cert_export_CA.crt
Ausgabe von obigen Befehl:
notBefore=Aug 6 23:48:11 2020 GMT
openssl.exe x509 -noout -enddate -in cert_export_CA.crt
Ausgabe von obigen Befehl:
notAfter=Aug 6 23:48:11 2021 GMT
Überprüfung der Gültigkeit des Client-Zertifikats:
openssl.exe x509 -noout -startdate -in cert_export_OVPN-Client01.crt
Ausgabe von obigen Befehl:
notBefore=Aug 6 23:49:27 2020 GMT
openssl.exe x509 -noout -enddate -in cert_export_OVPN-Client01.crt
Ausgabe von obigen Befehl:
notAfter=Aug 6 23:49:27 2021 GMT
Sehe da auch keinen Hinweis darauf, dass das Client-Zertifikat und auch nicht das CA-Zertifikat irgendwann
erst in der Zukunft gültig ist.
Kann da jemand helfen?
Habe ich etwas übersehen?
Gruß, Datax
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 594212
Url: https://administrator.de/contentid/594212
Printed on: April 23, 2024 at 18:04 o'clock
5 Comments
Latest comment
Uhrzeiten in Zertifikaten sind UTC, damit sie zeitzonenübergreifend funktionieren.
Dein Zertifikat ist also gültig ab 01:50 Uhr MESZ.
Dein Zertifikat ist also gültig ab 01:50 Uhr MESZ.
Hi, vielen Dank für deine Rückmeldung.
Du hast Recht, jetzt funktioniert die Einwahl:
Fri Aug 07 02:38:11 2020 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{6A90D543-54E9-4455-95F6-80FB1419FB3D}.tap
Fri Aug 07 02:38:11 2020 TAP-Windows Driver Version 9.24
Fri Aug 07 02:38:11 2020 Set TAP-Windows TUN subnet mode network/local/netmask = 10.0.1.0/10.0.1.2/255.255.255.0 [SUCCEEDED]
Fri Aug 07 02:38:11 2020 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.1.2/255.255.255.0 on interface {6A90D543-54E9-4455-95F6-80FB1419FB3D} [DHCP-serv: 10.0.1.254, lease-time: 31536000]
Fri Aug 07 02:38:11 2020 Successful ARP Flush on interface [6] {6A90D543-54E9-4455-95F6-80FB1419FB3D}
Fri Aug 07 02:38:11 2020 MANAGEMENT: >STATE:1596760691,ASSIGN_IP,,10.0.1.2,,,,
Fri Aug 07 02:38:16 2020 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Fri Aug 07 02:38:16 2020 Initialization Sequence Completed
Hat das einen besonderen Hintergrund, dass die Zertifikate bei MikroTik-Routern erst 2 Stunden
nach dessen Erstellung gültig sind?
Man möchte doch sofort testen, ob die Einwahl funktioniert und nicht noch 2 Stunden warten!?
Wenn ich unter einem Ubuntu-Linux einen OpenVPN-Server aufsetze und dort Client-Zertifikate erstelle,
dann sind diese sofort gültig und ich dann direkt die VPN-Einwahl am Client testen.
Du hast Recht, jetzt funktioniert die Einwahl:
Fri Aug 07 02:38:11 2020 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{6A90D543-54E9-4455-95F6-80FB1419FB3D}.tap
Fri Aug 07 02:38:11 2020 TAP-Windows Driver Version 9.24
Fri Aug 07 02:38:11 2020 Set TAP-Windows TUN subnet mode network/local/netmask = 10.0.1.0/10.0.1.2/255.255.255.0 [SUCCEEDED]
Fri Aug 07 02:38:11 2020 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.1.2/255.255.255.0 on interface {6A90D543-54E9-4455-95F6-80FB1419FB3D} [DHCP-serv: 10.0.1.254, lease-time: 31536000]
Fri Aug 07 02:38:11 2020 Successful ARP Flush on interface [6] {6A90D543-54E9-4455-95F6-80FB1419FB3D}
Fri Aug 07 02:38:11 2020 MANAGEMENT: >STATE:1596760691,ASSIGN_IP,,10.0.1.2,,,,
Fri Aug 07 02:38:16 2020 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Fri Aug 07 02:38:16 2020 Initialization Sequence Completed
Hat das einen besonderen Hintergrund, dass die Zertifikate bei MikroTik-Routern erst 2 Stunden
nach dessen Erstellung gültig sind?
Man möchte doch sofort testen, ob die Einwahl funktioniert und nicht noch 2 Stunden warten!?
Wenn ich unter einem Ubuntu-Linux einen OpenVPN-Server aufsetze und dort Client-Zertifikate erstelle,
dann sind diese sofort gültig und ich dann direkt die VPN-Einwahl am Client testen.
Habe ich etwas übersehen?
Deine Zeitzone auf dem Mikrotik stimmt nicht.MESZ ist GMT +02:00
Wieso nutzt du keinen NTP Server am Mikrotik?? Das ist heutzutage Pflichtprogramm!
Sinnvoll ist immer den SNTP Client unter System zu aktivieren bzw. Einen sinnvollen NTP Server zu definieren unter den Clock Settings.
https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html
Grundlagen zu OpenVPN auf dem MikroTik wie immer hier:
Clientverbindung OpenVPN Mikrotik
Oder allgemein:
Merkzettel: VPN Installation mit OpenVPN
https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html
Grundlagen zu OpenVPN auf dem MikroTik wie immer hier:
Clientverbindung OpenVPN Mikrotik
Oder allgemein:
Merkzettel: VPN Installation mit OpenVPN
Ja, danke für den Tipp.
Das wird auch der Grund gewesen sein,
warum die Zertifikate erst 2 Stunden nach der Erstellung gültig waren.
Hatte ehrlich gesagt vergessen einen (S)NTP-Server zu konfigurieren bevor ich
die Zertifikate erstellt habe.
Wenn ich das vor der Erstellung der Zertfikate gemacht hätte,
dann wären diese sicher sofort gültig gewesen.
Habe in der Vergangenheit schon mal einen OpenVPN-Server auf einem MikroTik-Router
eingerichtet, wo ich als erstes einen NTP-Server eingetragen hatte und die VPN-Einwahl
funktionierte dann nach der Erstellung der Zertifikate sofort.
Ist dann also alles geklärt, besten Dank nochmal.
Das wird auch der Grund gewesen sein,
warum die Zertifikate erst 2 Stunden nach der Erstellung gültig waren.
Hatte ehrlich gesagt vergessen einen (S)NTP-Server zu konfigurieren bevor ich
die Zertifikate erstellt habe.
Wenn ich das vor der Erstellung der Zertfikate gemacht hätte,
dann wären diese sicher sofort gültig gewesen.
Habe in der Vergangenheit schon mal einen OpenVPN-Server auf einem MikroTik-Router
eingerichtet, wo ich als erstes einen NTP-Server eingetragen hatte und die VPN-Einwahl
funktionierte dann nach der Erstellung der Zertifikate sofort.
Ist dann also alles geklärt, besten Dank nochmal.
