Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Das schwierige Thema VPN!
Alternarivende
Posts: 186
Joined: April 4th, 2013, 4:30 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Alternarivende » September 18th, 2018, 3:48 pm

Hi,
ich habe jetzt noch mal alle vorhandenen Zertifikate gelöscht, die Datei per wget neu geladen, verschoben etc.. Zum Glück konnte ich das X509 jetzt erstellen. Die Fehlermeldung in der GUI ist auch verschwunden, bin jetzt noch gespannt wie ein Flitzebogen ob meine erneut eingerichteten Net2Net Verbindungen die Zwangstrennung auch überlebt haben (siehe https://forum.ipfire.org/viewtopic.php?f=16&t=21408).

ummeegge
Community Developer
Community Developer
Posts: 4989
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 19th, 2018, 5:05 pm

Jo danke...
Und woran lag das jetzt bei dir ?

UE
Image
Image

Alternarivende
Posts: 186
Joined: April 4th, 2013, 4:30 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Alternarivende » September 19th, 2018, 9:25 pm

Ich habe für die nette Hilfe zu danken!

Kann ich leider nicht genau sagen was da schief gelaufen ist. Ich habe sicherlich irgendwo einen Fehler gemacht.

baruch
Posts: 18
Joined: November 16th, 2014, 12:01 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by baruch » September 22nd, 2018, 9:31 pm

Hallo beisammen,

ich möchte noch mal auf mein Problem bzgl. Fehler 256 (Post von Sat Sep 15, 2018 4:38 am) zurückkommen, das inzwischen gelöst ist.

IPFire #1
Der Austausch der /var/ipfire/ovpn/openssl/ovpn.cnf via copy & paste führte reproduzierbar zu diesem Fehler. Da es sich um ein virtuelles System handelt, habe ich es - um ganz sicher zu sein - komplett neu aufgesetzt. Vielleicht nach über 4 Jahren auch keine ganz schlechte Idee.

IPFire #2
Hier lag die Sache schon schwieriger (APU2C4 ohne direkten Monitor- und Tastaturanschluss): auch hier keine Lösung mittels copy & paste. Die Lösung lieferte aber ummeegge (Mon Sep 17, 2018 12:09 pm) - herzlichen Dank! - nach Herunterlaen der ovpn.cnf von Github lief es fehlerfrei. Zuvor hatte ich die Datei mit nano editiert und den Text über die Zwischenablage eingefügt - das werde ich bei nächster Gelegenheit nicht wieder versuchen.

Die /var/log/httpd/error_log habe ich mir bei der Gelegenheit auch angeschaut, bin aber daraus aber persönlich nicht weiter schlau geworden.

Ich habe aber wieder erkannt, wie wichtig die hilfsbereite community für das "Produkt" IPFire ist. Auch deshalb herzlichen Dank für die Rückmeldungen und letztlich auch den entscheidenden Beitrag zur Fehlerlösung!

Persönlich habe ich daraus meine Schlussforlgerungen gezogen und zum Wochenende die vierte IPFire-Installation in Betrieb genommen.

Viele Grüße,

baruch

ummeegge
Community Developer
Community Developer
Posts: 4989
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 23rd, 2018, 6:04 pm

Hallo zusammen,
baruch wrote:
September 22nd, 2018, 9:31 pm
Hallo beisammen, Zuvor hatte ich die Datei mit nano editiert und den Text über die Zwischenablage eingefügt - das werde ich bei nächster Gelegenheit nicht wieder versuchen
war schätze ich ein carriage return Problem.

Freut mich das der Topic für euch gelöst ist. Mit '--remote-cert-tls' gibt´s jedenfalls noch eine erweiterte Sicherung gegen MITMs, je nachdem wie alt eure CAs so waren kommen noch ein paar andere, für die Sicherheit vorteilhafte/wichtige, Features mitzu. Ausserdem sind wir für einen grossen Versionssprung vom OpenVPN einen wichtigen (denke der wichtigste) Schritt weiter...

Grüsse,

UE
Image
Image

Massaguana

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Massaguana » September 26th, 2018, 5:52 am

Mit der genannten Änderung in der cnf Datei Startet bei mir der OpenVPN Dienst nicht mehr... Zertifikate habe ich wie beschrieben neu erstellen lassen..

ummeegge
Community Developer
Community Developer
Posts: 4989
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 26th, 2018, 8:00 am

Guten Morgen erstmal,
warum hast du die Änderungen manuell gemacht ? Von welcher Version hast du upgedated ? Warum startet der Server nicht (mal gucken in /var/log/httpd/error_log) ?
Wenn du die Zertifikate neuerstellen konntest ist das Problem im Regelfall nicht die OpenSSL Konfig. Wurde die CGI geändert ?

Es gibt in diesem Topic schon einige Ideen zur Problemsuche, wenn du dich hier ranhängst probier vielleicht einfach auch mal was aus und schau was dabei rauskommt um das Problem weitereinzukreisen. Ein "geht nicht" ist für die Hilfe zur Fehlersuche nicht genug.

UE
Image
Image

Massaguana

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Massaguana » September 26th, 2018, 8:36 am

Ahoi,

sorry das ich so kurz angebunden geschrieben hatte... war daheim auf dem Sprung zum Flughafen... nun hocke ich am Flughafen...

Ich habe den Dienst nun Starten können, habe dazu die Settings unter erweitere Optionen raus und wieder rein setzen müssen... War irgendwie Merkwürdig. Aber nun läuft der Dienst.

Habe die neuen Verbindungen erstellt über meine Apple Geräte angepasst... Funktioniert... alles...

Info: Das erzeugen der Zertifikate (4096 Bit) hat auf meine Eco Alliance 3,5h benötigt..


Danke und Gruß
Massaguna

ummeegge
Community Developer
Community Developer
Posts: 4989
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 26th, 2018, 12:55 pm

Mmh OK, in den erweiterten Settings gab´s aber eigentlich keine Änderungen in den letzten Updates...
Massaguana wrote:
September 26th, 2018, 8:36 am
Info: Das erzeugen der Zertifikate (4096 Bit) hat auf meine Eco Alliance 3,5h benötigt..
Das liegt im Regelfall am DH-Parameter da der mittlerweile 2048 bit hat wobei 3,5 Stunden schon seehr lang ist. Du hattest doch einen HWRNG wenn ich mich recht erinnere ? Un die ECO ist nun auch nicht gerade schwach auf der Brust !

Aber gut das nun alles läuft.

Grüsse,

UE
Image
Image

Massaguana

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Massaguana » September 28th, 2018, 1:53 am

Ja, ich habe ein HWRNG...

StarGeneral
Posts: 51
Joined: December 13th, 2014, 4:18 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by StarGeneral » October 2nd, 2018, 12:34 pm

Bei mir trat das gleiche Problem auf. Eine manuelle Ergänzung der Konfigurationsdatei um die fehlenden Zeilen inklusive "Lösche X509" und Neuerzeugung der Zertifikate hat problemlos funktioniert.

Die Generierung mit 2048bit hat auf einem Celeron J1900 (4 Kerne, 2 Ghz) ca. 4-5 Minuten gedauert.

Dies nur zur Info :)

ummeegge
Community Developer
Community Developer
Posts: 4989
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » October 3rd, 2018, 9:35 am

Hi StarGeneral,
und danke für die Rückmeldung. Was ich irgendwie nicht verstehe ist das ihr die Änderungen an der ovpn.cnf alle manuell bzw. nachträglich machen musstet. Weisst du noch wie die Update Reihenfolge bei dir war ? Hattest du BackUPs nach dem Update wieder eingespielt ? Wenn ja von welchem BackUP (Core version) ?

UE

P.S. Die Generierungszeiten kommen meinen gleich...
Image
Image

StarGeneral
Posts: 51
Joined: December 13th, 2014, 4:18 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by StarGeneral » October 3rd, 2018, 3:11 pm

Hallo ummeegge,

ich habe vorher keine Backups eingespielt. Ich erstelle zwar aus Gewohnheit vor jedem Core-Update ein entsprechendes Backup inklusive ISO, musste diese aber bislang nur einmal in den letzten 5 Jahren zurückspielen.

Meine Update-Reihenfolge war "jedes Release ohne Ausnahme", also Core-Update 120 => 121 => 122 => 123 jeweils relativ direkt nach Erscheinen.

Mir scheint, als würde beim Update auf die 123 die Datei ovpn.cnf aus irgendwelchen Gründen nicht verändert.
Möglicherweise, weil der OVPN-Dienst gestartet ist und die Datei ggf. gesperrt ist? Bin da nicht so tief in der Materie...

Massaguana

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Massaguana » October 3rd, 2018, 10:49 pm

Also ich hab das letzte mal ein backup vor vielen vielen Monaten nutzen müssen... war irgendwo im 100er Bereich... seit dem habe ich jeden Update mit gemacht...

Siggi
Posts: 71
Joined: April 17th, 2011, 12:58 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Siggi » November 9th, 2018, 8:48 am

Hallo zusammen,

ich habe meine fire von Core 122 auf 124 upgedatet und bei mir ist auch das Problem ausgetreten das die beiden Zeilen in der Config Datei fehlen.
Die ipfire wurden mit Core120 neu installiert. Danach kam ja die Kombination aus 121 und 122. Da waren noch keine Änderungen in der Config Datei ersichtlich. Core 123 musste ich schieben bis ich alle Clients bei mir hatte da ja alle Zertifikate ausgetauscht werden müssen. Und schwups da war auch schon Core 124 da. Aber auch hier wurde keine Anpassung gemacht.

Da heißt im Umkehrschluss ich füge die beiden Zeilen in die Config und mache nochmal alles neu.

VG Siggi

Post Reply