Я пытаюсь создать профиль openvpn для подключения к palo alto vpn. Я знаю, что у них есть globalprotect для подключения на стороне клиента, но для этого требуется лицензия. Кроме того, насколько я понимаю, клиентская сторона openvpn должна иметь возможность подключаться к нему, поэтому я не играл с новым профилем конфигурации для macOS и ios, и пока мне не удалось подключиться.
вот конфигурация i пока есть
dev tun
proto tcp-client
remote xxxx.org 443
resolv-retry infinite
client
auth-user-pass
verify-client-cert optional
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
route 10.0.80.177/32
, и я продолжаю получать ошибку
Options error: --client-cert-not-required and --verify-client-cert require --mode server
Я искал в Google, но не нашел ничего полезного.
Кто-нибудь знает, как это исправить?
примечание: при тестировании сертификат клиента установлен на необязательный или отсутствует, и TLS 1.2 в основном используется для шифрования, аутентификация выполняется по имени пользователя и паролю
ок, вроде разобрался, --verify-client-cert
это фактически для настройки профиля на стороне сервера. хотя это сбивает с толку
Как прокомментировал Security.SE: Вы не можете. Palo Alto и OpenVPN не используют один и тот же VPN протокол. Они оба являются SSL VPN, что представляет собой широкое семейство протоколов, разделяющих общий уровень шифрования.
Для подключения к Palo Alto VPN вы можете использовать Openconnect, который является клиентом, поддерживающим PA с правильной конфигурацией.