VyOS OpenVPN のログと証明書検証の注意点

VyOS で OpenVPN を使用する場合の運用メモです。ここでは、接続そのものよりも、ログに出やすい WARNING や CRL まわりの注意点を整理します。

証明書検証の WARNING

`No server certificate verification method has been enabled` は、クライアント側でサーバー証明書の用途確認が不足している場合に出る WARNING です。動作する場合もありますが、中間者攻撃対策として無視しない方がよいログです。

show log openvpn | match 'No server certificate verification'
set interfaces openvpn vtun0 openvpn-option 'remote-cert-tls server'
commit
save

replay 系エラー

`AEAD Decrypt error` や replay 系のログは、パケット重複、経路の揺らぎ、鍵・暗号設定、時刻差など複数の要因で発生します。継続的に出る場合は MTU と経路も含めて確認します。

show log openvpn
show interfaces openvpn
show system ntp

まとめ

OpenVPN のログは、接続できるかどうかだけでなく、証明書検証、時刻、MTU、経路の品質を示す手がかりになります。WARNING を単に消すのではなく、何を警告しているかを確認します。

Related posts:

VyOS OpenVPN Site-to-Site TLS 設定と MTU の考え方 VyOS Azure 版 OpenVPN OpenVPN の iPhone アプリ OpenVPN tls-auth を活用したセキュリティ強化 VyOS DHCPサーバー VyOS 1.4 設定マニュアル VyOS PBR 設定 – Policy Based Routing の基本 VyOS NAPT 設定 – IP マスカレードの基本 VyOS 1.4 基本設定 – IP アドレス / SSH / DNS / NTP / SNMP VyOS クローンを作成する際のhw-address問題の対処 VyOS 1.4 IPv6 IPoE インターネット接続設定 VyOS VPP 導入検討：高機能な実運用ルーターに VPP をそのまま適用する難しさ