Ovpn TLS Handshake failed

[lenny]

Hallo zusammen,
@G666
kannst du mal folgendes auf der console ausführen

Code: Select all

/etc/fcron.daily/openvpn-crl-updater 

Grüsse,

UE

Das gleiche:

Code: Select all

[root@ipfire ~]# /etc/fcron.daily/openvpn-crl-updater
-bash: /etc/fcron.daily/openvpn-crl-updater: No such file or directory

Das dem wget Befehl ist aber trotzdem keine Anmeldung möglich.

Code: Select all

[root@ipfire fcron.daily]# wget https://raw.githubusercontent.com/ipfire/ipfire-2.x/master/config/ovpn/openvpn-crl-updater
--2019-04-05 17:39:01--  https://raw.githubusercontent.com/ipfire/ipfire-2.x/master/config/ovpn/openvpn-crl-updater
Resolving raw.githubusercontent.com... 151.101.64.133, 151.101.128.133, 151.101.192.133, ...
Connecting to raw.githubusercontent.com|151.101.64.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4110 (4.0K) [text/plain]
Saving to: 'openvpn-crl-updater.1'

openvpn-crl-updater 100%[===================>]   4.01K  5.43KB/s    in 0.7s

2019-04-05 17:39:03 (5.43 KB/s) - 'openvpn-crl-updater.1' saved [4110/4110]

[root@ipfire fcron.daily]# chmod 750 openvpn-crl-updater
[root@ipfire fcron.daily]# /etc/fcron.daily/openvpn-crl-updater
Using configuration from /var/ipfire/ovpn/openssl/ovpn.cnf
[root@ipfire fcron.daily]#

log vom client

Code: Select all

Fri Apr 05 17:55:42 2019 Restart pause, 5 second(s)
Fri Apr 05 17:55:47 2019 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Fri Apr 05 17:55:47 2019 MANAGEMENT: >STATE:1554479747,RESOLVE,,,,,,
Fri Apr 05 17:55:47 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxxxxxxx.13:1194
Fri Apr 05 17:55:47 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Apr 05 17:55:47 2019 UDP link local: (not bound)
Fri Apr 05 17:55:47 2019 UDP link remote: [AF_INET]xxxxxxxx.13:1194
Fri Apr 05 17:55:47 2019 MANAGEMENT: >STATE:1554479747,WAIT,,,,,,
Fri Apr 05 17:55:47 2019 MANAGEMENT: >STATE:1554479747,AUTH,,,,,,
Fri Apr 05 17:55:47 2019 TLS: Initial packet from [AF_INET]xxxxxxxxxxxxxxxx.13:1194, sid=665b4d11 82258d3b
Fri Apr 05 17:55:47 2019 VERIFY OK: depth=1, C=DE, O=xxxxx, CN=xxxxxxxCA
Fri Apr 05 17:55:47 2019 VERIFY KU OK
Fri Apr 05 17:55:47 2019 Validating certificate extended key usage
Fri Apr 05 17:55:47 2019 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Fri Apr 05 17:55:47 2019 VERIFY EKU OK
Fri Apr 05 17:55:47 2019 VERIFY X509NAME ERROR: C=DE, O=xxxxxxxxx, CN=xxxxxxxxxxx.xxxxxxxxx.de, must be name
Fri Apr 05 17:55:47 2019 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Fri Apr 05 17:55:47 2019 TLS_ERROR: BIO read tls_read_plaintext error
Fri Apr 05 17:55:47 2019 TLS Error: TLS object -> incoming plaintext read error
Fri Apr 05 17:55:47 2019 TLS Error: TLS handshake failed
Fri Apr 05 17:55:47 2019 SIGUSR1[soft,tls-error] received, process restarting
Fri Apr 05 17:55:47 2019 MANAGEMENT: >STATE:1554479747,RECONNECTING,tls-error,,,,,
Fri Apr 05 17:55:47 2019 Restart pause, 5 second(s)

[ummeegge]

Hi lenny,
was steht denn in der client config in der Zeile 'verify-x509-name ...' ? Welche Client Platform nutzt du ?

Grüsse,

UE

[lenny]

Hi,

sowohl Win10 als auch Android funktionieren nicht.

Code: Select all

verify-x509-name xxxxx.xxx.de name

(name vom dyndns, welcher auch in der OVPN Gui angegeben ist

[lenny]

update:

Notebook funktioniert, das Handy will nicht.

[lenny]

leoder besteht der handshake fehler auf dem Handy weiterhin, auch nach dem Update auf 129

[ummeegge]

Moin lenny,
kann mir derzeit nicht wirklich einen Reim darauf machen. Du meintest das du aus einem BackUP wiederhergestellt hast. Ist das noch ein altes Zertifikat auf deinem Smartphone ? Hast du dir schon mal eine neues Package (nach Update) runtergeladen ? Was hast du gemacht damit dein Laptop wieder geht ?

Grüsse,

UE

[lenny]

Ahoi,

das Notebook geht (noch) mit dem alten Zert, für das Handy habe ich bereits neue erstellt, aber da erscheint immer der gleiche Fehler.
Sehr merkwürdig, stimmt...
Hab schon überlegt, die Kiste nochmal frisch zu installieren - wer weiß, was bei dem 128 noch alles fehlte.
Und dann die OVPN Konfig neu zu machen.
Gerade das Handy ist in Zeiten von Smarthome wichtig

Nach dem er den Hostnamen aufgelöst hat, kommt die Meldung, dass das Zertifikat verify failed ist, gefolgt von einem tls plaintext error mit anschließendem tls handshake failed.

ich teste mal, ob es auch bei anderen, neuen Zertifikaten so ist...

Upate:

siehe da, das Notebook mit einem frischen Zertifikat funktioniert auch nicht.

Code: Select all

Thu Apr 11 08:31:28 2019 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Thu Apr 11 08:31:28 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Apr 11 08:31:28 2019 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Enter Management Password:
Thu Apr 11 08:31:28 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25341
Thu Apr 11 08:31:28 2019 Need hold release from management interface, waiting...
Thu Apr 11 08:31:28 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25341
Thu Apr 11 08:31:28 2019 MANAGEMENT: CMD 'state on'
Thu Apr 11 08:31:28 2019 MANAGEMENT: CMD 'log all on'
Thu Apr 11 08:31:28 2019 MANAGEMENT: CMD 'echo all on'
Thu Apr 11 08:31:28 2019 MANAGEMENT: CMD 'bytecount 5'
Thu Apr 11 08:31:28 2019 MANAGEMENT: CMD 'hold off'
Thu Apr 11 08:31:28 2019 MANAGEMENT: CMD 'hold release'
Thu Apr 11 08:31:31 2019 MANAGEMENT: CMD 'password [...]'
Thu Apr 11 08:31:31 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Apr 11 08:31:31 2019 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Thu Apr 11 08:31:31 2019 MANAGEMENT: >STATE:1554964291,RESOLVE,,,,,,
Thu Apr 11 08:31:31 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]XXXXXXXXXXXXX:1194
Thu Apr 11 08:31:31 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Apr 11 08:31:31 2019 UDP link local: (not bound)
Thu Apr 11 08:31:31 2019 UDP link remote: [AF_INET]XXXXXXXXXXXXXXX:1194
Thu Apr 11 08:31:31 2019 MANAGEMENT: >STATE:1554964291,WAIT,,,,,,
Thu Apr 11 08:31:31 2019 MANAGEMENT: >STATE:1554964291,AUTH,,,,,,
Thu Apr 11 08:31:31 2019 TLS: Initial packet from [AF_INET]XXXXXXXXXXXXXXXXX:1194, sid=8201847b c41f5caf
Thu Apr 11 08:31:31 2019 VERIFY OK: depth=1, C=DE, O=XXXXXXXXX, CN=XXXXXXXXXXXCA
Thu Apr 11 08:31:31 2019 VERIFY KU OK
Thu Apr 11 08:31:31 2019 Validating certificate extended key usage
Thu Apr 11 08:31:31 2019 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Thu Apr 11 08:31:31 2019 VERIFY EKU OK
Thu Apr 11 08:31:31 2019 VERIFY X509NAME ERROR: C=DE, O=XXXXXXX, CN=XXXXXXXXX.spdns.de, must be name
Thu Apr 11 08:31:31 2019 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Thu Apr 11 08:31:31 2019 TLS_ERROR: BIO read tls_read_plaintext error
Thu Apr 11 08:31:31 2019 TLS Error: TLS object -> incoming plaintext read error
Thu Apr 11 08:31:31 2019 TLS Error: TLS handshake failed
Thu Apr 11 08:31:31 2019 SIGUSR1[soft,tls-error] received, process restarting
Thu Apr 11 08:31:31 2019 MANAGEMENT: >STATE:1554964291,RECONNECTING,tls-error,,,,,
Thu Apr 11 08:31:31 2019 Restart pause, 5 second(s)

[ummeegge]

Moin moin,
irgendwas hat´s da was zerschossen bei dir. Das waren nun deine Client Logs, wie sieht das denn auf dem Server aus ?
Die Meldung

Code: Select all

VERIFY X509NAME ERROR: C=DE, O=XXXXXXX, CN=XXXXXXXXX.spdns.de, must be name

meckert wegen der X509 Hostname Validierung, das Format aus der client.ovpn sieht gut aus. Da das Problem so bei mir noch nicht aufgetaucht ist und, im Forum kann ich mich auch gerade nicht an diese Meldung erinnern und bei G666 läuft es ja auch soweit, wahrscheinlich ist da was mit dem BackUP in die Hose gegangen. Der Updater ist magischerweise auch nach Git seit Core 120 da --> https://bugzilla.ipfire.org/show_bug.cgi?id=12039 ... Der Wurm lässt grüssen.

Grüsse,

UE

[lenny]

Moinsen,

ich könnt mir vorstellen, dass G666 vielleicht auch nur die alten zertifikate nutzt und keine neuen?!

Ich habe gestern mal die Ipfire neuinstalliert - dabei ist mir auch aufgefallen, dass der DHCP Server nach der Wiederherstellung des Backups nicht läuft, dieser musste erst über die Weboberfläche kurz gespeichert werden. dann ging es.

Aber nun zu OVPN - auch diese gehen nach dem Backup nicht.
Ich habe mich dazu entschieden, die Konfig komplett neu zu machen. Aber jetzt:
der Button "lösche X509" ist ausgegraut und nicht nutzbar. Ist da doch mehr im argen?

[ummeegge]

Moin moin,

Ich habe mich dazu entschieden, die Konfig komplett neu zu machen. Aber jetzt:
der Button "lösche X509" ist ausgegraut und nicht nutzbar. Ist da doch mehr im argen?

du musst den Server vorher stoppen. Speicher dann bei der Gelegenheit auch mal die "Erweiterten Optionen" ab (einfach nur 'Speichern' drücken) <-- da gibt´s einen Bug (Patch is unterwegs) wenn du wirklich alles neu aufgesetzt hast.

Grüssle,

UE

[lenny]

So...
alles gelöscht, neu generiert...läuft.
Komisches 128er Update.

[ummeegge]

Komisch das es läuft ? Mmhh komisch das es nicht gelaufen ist...

UE

[lenny]

Danke für deine Unterstützung!

[G666]

Ja, ich hatte noch nichts geändert und keine neuen Zertifikate erstellt. Wollte ich machen aber zum Glück war ich langsamer wie das IPfire Forum.

[ummeegge]

Verstehe das statemtment mit dem Glück noch nicht so ganz... Hab alleine in diesem Thread ~ 4x neu Zertifikate (ROOT + HOST + Clients) erstellt was doch recht gut ging, im Forum hab ich da gerade auch nichts passendes auf lager was eure Probleme wiederspiegelt <-- einen potentiellen zu fixenden Bug ersichtlich macht. Vielleicht sollten wir auch den Topic mal langsam anpassen da das Subject doch recht dürftig ist und die hier besprochenen Probleme unterschiedlicher Art sind.

Deswegen Frage: Gibt es noch Proleme mit eurem OpenVPN ? Wenn ja lasst uns das mal etwas spezifischer in einen neuen Topic packen.

Mal so als Idee.

Grüssle,

UE