
<div dir="ltr">Hello,<div><br></div><div style="">I have a question regarding the following scenario:</div><div style=""><br></div><div style="">1. I have two devices connected to the server via two-way TLS(TCP).</div><div style="">Â 1.1 Device A is behind a NAT</div><div style="">Â 1.2 Device B is directly connected to the server</div><div style=""><br></div><div style="">2. Device B subscribes to the presence of device A.</div><div style=""><br></div><div style="">3. Device A gets offline and the server generates a NOTIFY message to be sent to device B.</div><div style=""><br></div><div style="">4. The server does not find an existing tcp connection (from the logs), even though the socket is visible if the &quot;opensipsctl fifo list_tcp_conns&quot; or &quot;netstat&quot; commands are used.</div><div style=""><br></div><div style="">5. Because the server does not find an existing connection it initiates one (TLS). After that the proto tls module logs the following error: &quot;NOTICE:proto_tls:verify_callback: verify error:num=26:unsupported certificate purpose&quot;.</div><div style=""><br></div><div style="">6. This error is normal because device B does not have a certificate with server authentication extended key usage, it has only the client authentication extended key usage (as normal).Â </div><div style=""><br></div><div style="">What is the reason behind the start of the new connection and how should I handle this issue?</div><div style=""><br></div><div style="">This is my proto_tls config:</div><div style=""><br></div><div style=""><div><b>modparam(&quot;proto_tls&quot;, &quot;verify_cert&quot;, &quot;1&quot;)</b></div><div><b>modparam(&quot;proto_tls&quot;, &quot;require_cert&quot;, &quot;1&quot;)</b></div><div><b>modparam(&quot;proto_tls&quot;, &quot;tls_method&quot;, &quot;TLSv1&quot;)</b></div><div><b>modparam(&quot;proto_tls&quot;, &quot;certificate&quot;, &quot;...&quot;)</b></div><div><b>modparam(&quot;proto_tls&quot;, &quot;private_key&quot;, &quot;...&quot;)</b></div><div><b>modparam(&quot;proto_tls&quot;, &quot;ca_list&quot;, &quot;...&quot;)</b><br></div><div><b>modparam(&quot;proto_tls&quot;, &quot;ca_dir&quot;, &quot;...&quot;)</b></div><div><br></div></div><div style=""><br></div><div style="">Any help is appreciated.</div><div style=""><br></div><div style="">Best regards,</div><div style=""><br></div><div style="">Bogdan.</div></div>