Ovpn TLS Handshake failed

Das schwierige Thema VPN!
lenny
Posts: 406
Joined: October 4th, 2011, 12:47 pm

Ovpn TLS Handshake failed

Post by lenny » April 5th, 2019, 3:52 am

Moin zusammen,
Ich bekomme plötzlich und ohne jegliche Änderung einen TLS Handshake failed, wenn ich versuche, die Verbindung aufzubauen.
Ich habe auch die Client-Zertifikate gelöscht und neu erstellt, jedoch ohne Erfolg.
Wisst ihr, wo man ansetzen kann?
Dankeschön

G666
Posts: 62
Joined: March 24th, 2016, 10:41 am

Re: Ovpn TLS Handshake failed

Post by G666 » April 5th, 2019, 7:04 am

Hallo, ich schließe mich mal hier an. Ich habe gestern gesehen das meine VPN Verbindung nicht mehr geht und dachte das ein Zertifikat abgelaufen ist. Geändert habe ich nichts, am 02.04. um 3Uhr trat das Problem auf. Vielleicht handelt es sich um das selbe Problem.

Hier ein Teil des Logs, vielleicht hilft es.

Code: Select all

03:01:54	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: Unroutable control packet received fro m [AF_INET]1.1.1.1:45470 (si=3 op=P_CONTROL_V1)
03:01:53	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS ERROR: received control packet with stale ses sion-id=58e73d7b 4ce0ff55
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS handshake failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS object -> incoming plaintext read error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS_ERROR: BIO read tls_read_plaintext error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 OpenSSL: error:1417C086:SSL routines:tls_process_ client_certificate:certificate verify failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: Initial packet from [AF_INET]1.1.1.1: 45470, sid=431fc2dd 1101980f
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIV E reinit_src=1
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS handshake failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS object -> incoming plaintext read error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS_ERROR: BIO read tls_read_plaintext error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 OpenSSL: error:1417C086:SSL routines:tls_process_ client_certificate:certificate verify failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
03:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: soft reset sec=0 bytes=511744/-1 pkts=1880/0
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RS A-AES256-GCM-SHA384, 2048 bit RSA
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Incoming Data Channel: Cipher 'AES-256-CBC' initi alized with 256 bit key
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Outgoing Data Channel: Cipher 'AES-256-CBC' initi alized with 256 bit key
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_TCPNL=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_COMP_STUBv2=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_COMP_STUB=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZO=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZ4v2=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZ4=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_PROTO=2
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_PLAT=linux
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_VER=2.4.5
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY OK: depth=0, C=DE, O=IPFirexxx, CN=yyy
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY SCRIPT OK: depth=0, C=DE, O=IPFirexxx, CN=xopenVPNx
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY OK: depth=1, C=DE, O=IPFirexxx, CN=IPF irexxx CA
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY SCRIPT OK: depth=1, C=DE, O=IPFirexxx, CN=IPFirexxx CA
02:01:48	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: tls_process: killed expiring key
Image

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Ovpn TLS Handshake failed

Post by ummeegge » April 5th, 2019, 7:29 am

Hallo zusammen,
@G666
kannst du mal folgendes auf der console ausführen

Code: Select all

/etc/fcron.daily/openvpn-crl-updater 
und dann ein

Code: Select all

grep CRL /var/log/messages
und das Ergebnis (wenn vorhanden) posten ?

@lenny
schau mal ob es da noch mehr infos im Log gibt. Bei G666 ist das hier

Code: Select all

VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
ein Hinweis...

Grüsse,

UE
Image
Image

lenny
Posts: 406
Joined: October 4th, 2011, 12:47 pm

Re: Ovpn TLS Handshake failed

Post by lenny » April 5th, 2019, 7:38 am

Klingt interessant, bei mir ist es auch erst seit gestern!
Ich schaue später Zuhause Mal...

G666
Posts: 62
Joined: March 24th, 2016, 10:41 am

Re: Ovpn TLS Handshake failed

Post by G666 » April 5th, 2019, 7:38 am

Das geht bei mir nicht, die Datei ist nicht vorhanden.

-bash: /etc/fcron.daily/openvpn-crl-updater: No such file or directory
Image

lenny
Posts: 406
Joined: October 4th, 2011, 12:47 pm

Re: Ovpn TLS Handshake failed

Post by lenny » April 5th, 2019, 7:42 am

08:09 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

08:09 TLS_ERROR: BIO read tls_read_plaintext error

08:09 TLS Error: TLS object -> incoming plaintext read error

08:09 TLS Error: TLS handshake failed

08:09 SIGUSR1[soft,tls-error] received, process restarting

08:09 SIGINT[hard,init_instance] received, process exiting

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Ovpn TLS Handshake failed

Post by ummeegge » April 5th, 2019, 7:47 am

Mmhh, die sollte eigentlich schon da sein die ist Bestandteil vom Kernsystem. Kann es sein das du im fcron.daily mal aufgeräumt hast ;) ?
Du kannst sie dir hier laden --> https://raw.githubusercontent.com/ipfir ... rl-updater , um potentielle Windows Editor Zeilenumbruchprobleme vorzubeugen geht auch folgendes:

Code: Select all

cd /etc/fcron.daily
wget https://raw.githubusercontent.com/ipfire/ipfire-2.x/master/config/ovpn/openvpn-crl-updater
chmod 750 openvpn-crl-updater
und dann die Kommandos von oben nochmal probieren bzw. schauen ob das VPN wieder will.

@lenny
schau mal bitte nach der VERIFY Zeile...

UE
Image
Image

G666
Posts: 62
Joined: March 24th, 2016, 10:41 am

Re: Ovpn TLS Handshake failed

Post by G666 » April 5th, 2019, 7:56 am

Nein da habe ich nichts gelöscht, mein System ist recht frisch. Das Update von 127 auf 128 ist fehlgeschlagen und mein System nicht mehr hochgefahren. Danach musste ich es neu installieren.

Apr 5 09:50:35 Homeserver openvpn: CRL has been updated

Läuft, das war mein Fehler.

Danke.
Image

lenny
Posts: 406
Joined: October 4th, 2011, 12:47 pm

Re: Ovpn TLS Handshake failed

Post by lenny » April 5th, 2019, 7:59 am

Nein da habe ich nichts gelöscht, mein System ist recht frisch. Das Update von 127 auf 128 ist fehlgeschlagen und mein System nicht mehr hochgefahren. Danach musste ich es neu installieren.
deckt sich auch mit mir, frische Installation mit eingespieltem Backup


08:09 TLS_ERROR: BIO read tls_read_plaintext error

08:09 TLS Error: TLS object -> incoming plaintext read error

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Ovpn TLS Handshake failed

Post by ummeegge » April 5th, 2019, 8:21 am

Ihr hatte beide ein frisch installiertes Core 128 und das CRL Skript unter /etc/fcron.daily hat gefehlt ? Checks du das bei dir auch nochmal gegen lenny ?

Grüsse,

UE
Image
Image

lenny
Posts: 406
Joined: October 4th, 2011, 12:47 pm

Re: Ovpn TLS Handshake failed

Post by lenny » April 5th, 2019, 8:23 am

C128 - Frisch installiert, JA!
Checke ich gerne, jedoch ohne VPN Verbindung, erst heute Nachmittag :) bin echt gespannt, gerade, weil es bis gestern auch noch wunderbar funktionierte.
Danke schon mal für die schnelle Hilfe!

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Ovpn TLS Handshake failed

Post by ummeegge » April 5th, 2019, 8:30 am

Jo gerne,
mit OpenSSL-1.1.0 wurde das CRL handling ausgebaut und muss seit dem vom OpenVPN gemacht werden weswegen das Skript da ist. Die CRL ist mehrere Tage gültig bis sie abläuft von daher taucht das Problem nicht sofort auf.

Im Core 129 hab ich gerade mal in der DEV Umgebung geschaut und das Skript ist da vorhanden. Wenn das Problem bei dir lenny das selbe ist, mach ich mir mal ein Core 128 in der VM auf und check das gegen...

Grüsse,

UE
Image
Image

G666
Posts: 62
Joined: March 24th, 2016, 10:41 am

Re: Ovpn TLS Handshake failed

Post by G666 » April 5th, 2019, 9:55 am

Die Idee mit der VM finde ich gut und habe das mal getestet. Ausprobiert habe ich ipfire-2.21.x86_64-full-core128.iso und habe extra den openVPN Server gestartet aber die Datei fehlt auch da. Es war nur trim und info.txt vorhanden.
Image

lenny
Posts: 406
Joined: October 4th, 2011, 12:47 pm

Re: Ovpn TLS Handshake failed

Post by lenny » April 5th, 2019, 10:03 am

yeah. Dankeschön!
dann waren wir wohl die ersten, wo es ausgetimed ist :D

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Ovpn TLS Handshake failed

Post by ummeegge » April 5th, 2019, 12:29 pm

Hab mal einen File gebugged --> https://bugzilla.ipfire.org/show_bug.cgi?id=12039 .

Grüssle,

UE
Image
Image

Post Reply