openvpn starte nicht

Das schwierige Thema VPN!
alpensegler
Posts: 88
Joined: August 27th, 2009, 7:32 pm

openvpn starte nicht

Post by alpensegler » August 9th, 2018, 7:27 pm

Hallo Zusammen,
nach upgrade 122 started ovpn nicht mehr.
Options error: Unrecognized option or missing or extra parameter(s) in /var/ipfi re/ovpn/server.conf:10: script-security (2.4.5)
Zeile 10
script-security 3 system

wenn ich script-security 3 system in Kommentar setze started ovpn aber ich bekomme
andere Fehler Meldungen

Weis jemand Rat.

Grüße Lothar

ummeegge
Community Developer
Community Developer
Posts: 4676
Joined: October 9th, 2010, 10:00 am

Re: openvpn starte nicht

Post by ummeegge » August 9th, 2018, 7:38 pm

Hallo Lothar,
stoppe mal den Server klicke auf speichern und schau mal ob er dann startet. Von welcher version hast du upgedatet ? Was für andere Fehler tauchen noch auf ?

Grüsse,

UE
Image
Image
Image

alpensegler
Posts: 88
Joined: August 27th, 2009, 7:32 pm

Re: openvpn starte nicht

Post by alpensegler » August 9th, 2018, 7:58 pm

Salü UE,
das war von 120 auf 122
nur da habe ich gepennt, bevor er 122 holte habe ich einen reboot eingegeben ;-( .
Also neu installieren und Datensicherung zurück spielen. Funktioniert soweit alles
auch ipsec mit n2n tunnel. Morgen werde ich dann den ersten-FW hochfahren und weiter
Fehler posten

ich habe noch einen Reserve-fw gleiche hardware
denn habe ich von 117 auf 122 dort kann ovpn

21:39:53 openvpnserver[2387]: Options error: Please correct these errors.
21:39:53 openvpnserver[2387]: Options error: Temporary directory (--tmp-dir) fails with '/tmp': No such file o r directory (errno=2)
21:39:53 openvpnserver[2387]: WARNING: file '/var/ipfire/ovpn/certs/serverkey.pem' is group or others accessib le

Stop brauch ich nicht er läuft ja nicht speichern und Neustart
21:59:14 openvpnserver[5122]: Use --help for more information.
21:59:14 openvpnserver[5122]: Options error: Please correct these errors.
21:59:14 openvpnserver[5122]: Options error: Temporary directory (--tmp-dir) fails with '/tmp': No such file o r directory (errno=2)
21:59:14 openvpnserver[5122]: WARNING: file '/var/ipfire/ovpn/certs/serverkey.pem' is group or others accessib le

Viele Grüße und Danke für die schnell Reaktion
Lothar

ummeegge
Community Developer
Community Developer
Posts: 4676
Joined: October 9th, 2010, 10:00 am

Re: openvpn starte nicht

Post by ummeegge » August 10th, 2018, 3:00 am

Guten Morgen,
es sieht so aus als ob /tmp bei dir fehlt. Habe das in seltenen Fällen hier im Forum schon gesehen weiss aber auch nicht warum das so ist. In dem Fall solltest du erstmal /tmp erstellen. Ausserdem sind die Permissions für den serverkey.pem nicht in Ordnung (liegt event. am BackUP ?). Die Permissions sind

Code: Select all

-rw------- 1 nobody nobody 6392 Jul  1  2017 serverkey.pem
. Wenn du ein altes BackUP zurückspielst, solltest du auch die ovpn.cnf nochmal erneuern die wird erst mit Core 123 aus dem IPFire BackUP excluded, ovpn.cnf findest du hier --> https://git.ipfire.org/?p=ipfire-2.x.gi ... nf;hb=HEAD , die muss dann nach /var/ipfire/ovpn/openssl .

Kannst ja mal schauen wie das damit klappt.

Grüsse,

UE
Image
Image
Image

alpensegler
Posts: 88
Joined: August 27th, 2009, 7:32 pm

Re: openvpn starte nicht

Post by alpensegler » August 10th, 2018, 11:39 am

Hallo Zusammen,
habe obiges bearbeitet.

13:29:56 openvpnserver[7017]: Exiting due to fatal error
13:29:56 openvpnserver[7017]: Cannot load certificate file /var/ipfire/ovpn/certs/servercert.pem
13:29:56 openvpnserver[7017]: OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
13:29:55 openvpnserver[7017]: Diffie-Hellman initialized with 1024 bit key
13:29:55 openvpnserver[7017]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
13:29:55 openvpnserver[7014]: library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.09
13:29:55 openvpnserver[7014]: OpenVPN 2.4.5 i586-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Apr 27 2018

in meiner backup ovpn.cnf stand
default_md = md5
inder neue ovpn.conf
default_md = sha256
Kann es sein das die Zertifikate nicht mehr passen ?

Grüße Lothar

alpensegler
Posts: 88
Joined: August 27th, 2009, 7:32 pm

Re: openvpn starte nicht

Post by alpensegler » August 10th, 2018, 12:14 pm

Hallo Zusammen,
am reserve ipfire (neu installation und backup zurück) habe die rechte vom servercert.pem
angepasst. In openssl/ovpn.conf
# default_md = md5
default_md = sha256
angepasst
14:01:36 openvpnserver[5056]: Exiting due to fatal error
14:01:36 openvpnserver[5056]: Cannot load certificate file /var/ipfire/ovpn/certs/servercert.pem
14:01:36 openvpnserver[5056]: OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
14:01:36 openvpnserver[5056]: Diffie-Hellman initialized with 1024 bit key
14:01:36 openvpnserver[5056]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
14:01:36 openvpnserver[5055]: library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.09
14:01:36 openvpnserver[5055]: OpenVPN 2.4.5 i586-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Jun 29 2018
----------------------------------------------------------------------------------------------
3014974 4 drwx------ 2 nobody nobody 4096 Aug 9 21:08 certs

ls -l certs/
-rw------- 1 nobody nobody 1521 Aug 20 2013 servercert.pem
-rw------- 1 nobody nobody 887 Aug 20 2013 serverkey.pem

alpensegler
Posts: 88
Joined: August 27th, 2009, 7:32 pm

Re: openvpn starte nicht

Post by alpensegler » August 10th, 2018, 12:19 pm

https://forums.openvpn.net/viewtopic.php?t=23979

Re: {Resolved} openssl new versions consider md certificates too weak

Post by mavron » Tue May 29, 2018 10:15 am

maverick74 wrote: ↑
Tue May 22, 2018 2:50 pm
I was wondering where can i use that "DEFAULT:@SECLEVEL=0" set to allow old keys. I'm on Linux with plasma-nm5. I've tried to set it in a few places but with no luck.

Hi, I had your very same issues (original problem, and problem with the workaround) after upgrading from Kubuntu 16.04 to 18.04
I didn't find a place in the network-manager-openvpn gui to put the tls cipher option (anybody?), so I took a peek at the source code and came up with the following, while waiting for our IT dept to regenerate the certs:

Find your Network Manager vpn configuration file (mine is in /etc/NetworkManager/system-connections; if you have a lot of them and filenames do not help much in finding the right one, use grep -i "id=yourmnemonicname" *)
Under the [vpn] section add the line:
tls-cipher=DEFAULT:@SECLEVEL=0
Reload the configuration with the command: nmcli connection reload

ummeegge
Community Developer
Community Developer
Posts: 4676
Joined: October 9th, 2010, 10:00 am

Re: openvpn starte nicht

Post by ummeegge » August 14th, 2018, 7:19 am

Hallo alpensegler,
das MD5 Problem findest du hier --> viewtopic.php?t=20366 auch nochmal genauer beschrieben. Da MD5 als gebrochen angesehen werden kann wird das mittlerweile Softwareseitig nicht mehr aktzeptiert du musst somit die PKI erneuern und neue Clients erstellen.

Grüsse,

UE
Image
Image
Image

alpensegler
Posts: 88
Joined: August 27th, 2009, 7:32 pm

Re: openvpn starte nicht

Post by alpensegler » August 14th, 2018, 2:22 pm

Hallo UE,
habe gestern Abend mit der neue ovpn.conf neu Zertifikate für ovpn erstellt und nun funktioniert es.
O.K. bei mir sind es nur einige Tunnels, was machen die jenigen welche z.B. 200 Tunnel am laufen haben ? .

Vielen Dank für die Unterstützung und den Link
Lothar

p.s Importieren Win7 client wird *.p12 beim erstenmal mit kopiert
wenn ich dann ein zweite oder dritte Verbindung anlege wird das *.p12 nicht mit kopiert.
Ich habe es dann händisch in conf\verbindungsname kopiert

ummeegge
Community Developer
Community Developer
Posts: 4676
Joined: October 9th, 2010, 10:00 am

Re: openvpn starte nicht

Post by ummeegge » August 15th, 2018, 9:58 am

Hallo Lothar,
alpensegler wrote:
August 14th, 2018, 2:22 pm
O.K. bei mir sind es nur einige Tunnels, was machen die jenigen welche z.B. 200 Tunnel am laufen haben ? .
IPFire bietet seit ca. 3 1/2 Jahren einen anderen Hash (SHA256 anstatt von md5 an), ich weiss das "set it and forget it" gerne gerade in solchen Bereichen stattfindet aber in diesen Zeiten geht die Entwicklung sehr schnell, das lässt sich irgendwann nicht mehr weiter aufschieben spätestens wenn softwareseitig da keine Unterstützung mehr gegeben wird, wie in diesem Fall, ist die Zeit abgelaufen. Bei mehrerenn hundert Clients sollte der Admin immer mal wieder auch schauen was die genutzten Produkte in ihrer Entwicklung so machen und wo baldige neue Entwicklungen im eigenen Hause wahrscheinlich werden.

Kurzum, solche Änderungen sind Arbeit lassen sich aber nicht verhindern wenn man mit der Zeit gehen will und Sicherheit eine Rolle spielt.
alpensegler wrote:
August 14th, 2018, 2:22 pm
Vielen Dank für die Unterstützung und den Link
OK freut mich das es nun wieder funktioniert und das du nun auch wieder up-to-date bist.

Grüsse,

UE

P.S. Zum Windows 7 Problem kann ich leider nichts sagen da ich kein Windows nutze. Mach vielleicht einen eigenen Thread hierfür auf.
Image
Image
Image

alpensegler
Posts: 88
Joined: August 27th, 2009, 7:32 pm

Re: openvpn startet nicht

Post by alpensegler » August 15th, 2018, 11:14 am

Hallo UE,

danke nochmal, ovpn ist bei mir etwas in den Hintergrund getreten.
Wird aber in Zukunft mit höherer Priorität bedacht.

Viel Grüße Lothar

ummeegge
Community Developer
Community Developer
Posts: 4676
Joined: October 9th, 2010, 10:00 am

Re: openvpn starte nicht

Post by ummeegge » August 15th, 2018, 3:50 pm

Jo gerne :) ,

Liebe Grüsse,

UE
Image
Image
Image

stifu1
Posts: 28
Joined: September 13th, 2011, 7:13 pm

Re: openvpn starte nicht

Post by stifu1 » August 24th, 2018, 9:14 pm

Wenn ich mich hier auch noch reinhängen darf...
Kriege leider mein openvpn auch nicht mehr ans laufen. Unter 120 hat es noch funktioniert, jetzt nicht mehr.
Habe einen APU 2c4, Rot, Grün, Blau und Orange, Blau läuft als VLAN über grün auf einen Switch, alles läuft aussert Openvpn.
Wenn ich in der Konsole ein openvpnctrl -s absetze, kommt ein "Cannot read ethernet settings" zurück, dieselbe Fehlermeldung steht auch im error.log
Habe die x509 gelöscht, den Inhalt der oben verlinkten ovpn.cnf in der vorhandenen ausgetausch, neu angelegt, aber starten will es immer noch nicht.
Auf der Startseite ist Openvpn "online", aber das ist auch gleich alles.
Wäre es möglich, dass durch das ändern des blauen NIC in den settings von vorher eine internen WLAN Karte auf jetzt VLAN irgendwas durcheinander geraten ist? Habe die vor der Änderung gesicherte settings wieder zurück kopiert,leider auch ohne Erfolg...
Wenn ich über die Konsole ein setup eingebe, kann ich alles anpassen ausser Networking, "Einstellungsdatei konnte nicht geöffnet werden...
Irgendwo habe ich da wahrscheinlich etwas verbockt, nur habe ich leider keine Ahnung, wo...

Besten Dank bereits jetzt für eure Unterstützung.

Gruss Stephan

fredym
Posts: 393
Joined: November 14th, 2016, 2:45 pm

Re: openvpn starte nicht

Post by fredym » August 25th, 2018, 6:54 am

stifu1 wrote:
August 24th, 2018, 9:14 pm
Wenn ich mich hier auch noch reinhängen darf...
Wenn ich über die Konsole ein setup eingebe, kann ich alles anpassen ausser Networking, "Einstellungsdatei konnte nicht geöffnet werden...
Irgendwo habe ich da wahrscheinlich etwas verbockt, nur habe ich leider keine Ahnung, wo...

Besten Dank bereits jetzt für eure Unterstützung.

Gruss Stephan
Console(-setup) hat nix mit openVPN zu tun .

Lies mal im Log nach, worüber er meckert !

Fred

stifu1
Posts: 28
Joined: September 13th, 2011, 7:13 pm

Re: openvpn starte nicht

Post by stifu1 » August 25th, 2018, 12:44 pm

/var/log/openvpn ist leer, /var/log/messages enthält auch keinen Hinweis, und wenn ich auf der Konsole openvpnn mit openvpnctrl -s starten möchte,
kommt als Antwort "Cannot read ethernet settings" Ich frage mich jetzt, welche Ethernet settings er nicht lesen kann, ein ifconfig zeigt alle NIC's mit den korrekten Adressen.

Stephan

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest