Page 1 of 3

Ovpn TLS Handshake failed

Posted: April 5th, 2019, 3:52 am
by lenny
Moin zusammen,
Ich bekomme plötzlich und ohne jegliche Änderung einen TLS Handshake failed, wenn ich versuche, die Verbindung aufzubauen.
Ich habe auch die Client-Zertifikate gelöscht und neu erstellt, jedoch ohne Erfolg.
Wisst ihr, wo man ansetzen kann?
Dankeschön

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 7:04 am
by G666
Hallo, ich schließe mich mal hier an. Ich habe gestern gesehen das meine VPN Verbindung nicht mehr geht und dachte das ein Zertifikat abgelaufen ist. Geändert habe ich nichts, am 02.04. um 3Uhr trat das Problem auf. Vielleicht handelt es sich um das selbe Problem.

Hier ein Teil des Logs, vielleicht hilft es.

Code: Select all

03:01:54	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: Unroutable control packet received fro m [AF_INET]1.1.1.1:45470 (si=3 op=P_CONTROL_V1)
03:01:53	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS ERROR: received control packet with stale ses sion-id=58e73d7b 4ce0ff55
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS handshake failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS object -> incoming plaintext read error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS_ERROR: BIO read tls_read_plaintext error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 OpenSSL: error:1417C086:SSL routines:tls_process_ client_certificate:certificate verify failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: Initial packet from [AF_INET]1.1.1.1: 45470, sid=431fc2dd 1101980f
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIV E reinit_src=1
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS handshake failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS object -> incoming plaintext read error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS_ERROR: BIO read tls_read_plaintext error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 OpenSSL: error:1417C086:SSL routines:tls_process_ client_certificate:certificate verify failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
03:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: soft reset sec=0 bytes=511744/-1 pkts=1880/0
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RS A-AES256-GCM-SHA384, 2048 bit RSA
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Incoming Data Channel: Cipher 'AES-256-CBC' initi alized with 256 bit key
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Outgoing Data Channel: Cipher 'AES-256-CBC' initi alized with 256 bit key
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_TCPNL=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_COMP_STUBv2=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_COMP_STUB=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZO=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZ4v2=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZ4=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_PROTO=2
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_PLAT=linux
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_VER=2.4.5
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY OK: depth=0, C=DE, O=IPFirexxx, CN=yyy
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY SCRIPT OK: depth=0, C=DE, O=IPFirexxx, CN=xopenVPNx
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY OK: depth=1, C=DE, O=IPFirexxx, CN=IPF irexxx CA
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY SCRIPT OK: depth=1, C=DE, O=IPFirexxx, CN=IPFirexxx CA
02:01:48	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: tls_process: killed expiring key

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 7:29 am
by ummeegge
Hallo zusammen,
@G666
kannst du mal folgendes auf der console ausführen

Code: Select all

/etc/fcron.daily/openvpn-crl-updater 
und dann ein

Code: Select all

grep CRL /var/log/messages
und das Ergebnis (wenn vorhanden) posten ?

@lenny
schau mal ob es da noch mehr infos im Log gibt. Bei G666 ist das hier

Code: Select all

VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
ein Hinweis...

Grüsse,

UE

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 7:38 am
by lenny
Klingt interessant, bei mir ist es auch erst seit gestern!
Ich schaue später Zuhause Mal...

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 7:38 am
by G666
Das geht bei mir nicht, die Datei ist nicht vorhanden.

-bash: /etc/fcron.daily/openvpn-crl-updater: No such file or directory

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 7:42 am
by lenny
08:09 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

08:09 TLS_ERROR: BIO read tls_read_plaintext error

08:09 TLS Error: TLS object -> incoming plaintext read error

08:09 TLS Error: TLS handshake failed

08:09 SIGUSR1[soft,tls-error] received, process restarting

08:09 SIGINT[hard,init_instance] received, process exiting

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 7:47 am
by ummeegge
Mmhh, die sollte eigentlich schon da sein die ist Bestandteil vom Kernsystem. Kann es sein das du im fcron.daily mal aufgeräumt hast ;) ?
Du kannst sie dir hier laden --> https://raw.githubusercontent.com/ipfir ... rl-updater , um potentielle Windows Editor Zeilenumbruchprobleme vorzubeugen geht auch folgendes:

Code: Select all

cd /etc/fcron.daily
wget https://raw.githubusercontent.com/ipfire/ipfire-2.x/master/config/ovpn/openvpn-crl-updater
chmod 750 openvpn-crl-updater
und dann die Kommandos von oben nochmal probieren bzw. schauen ob das VPN wieder will.

@lenny
schau mal bitte nach der VERIFY Zeile...

UE

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 7:56 am
by G666
Nein da habe ich nichts gelöscht, mein System ist recht frisch. Das Update von 127 auf 128 ist fehlgeschlagen und mein System nicht mehr hochgefahren. Danach musste ich es neu installieren.

Apr 5 09:50:35 Homeserver openvpn: CRL has been updated

Läuft, das war mein Fehler.

Danke.

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 7:59 am
by lenny
Nein da habe ich nichts gelöscht, mein System ist recht frisch. Das Update von 127 auf 128 ist fehlgeschlagen und mein System nicht mehr hochgefahren. Danach musste ich es neu installieren.
deckt sich auch mit mir, frische Installation mit eingespieltem Backup


08:09 TLS_ERROR: BIO read tls_read_plaintext error

08:09 TLS Error: TLS object -> incoming plaintext read error

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 8:21 am
by ummeegge
Ihr hatte beide ein frisch installiertes Core 128 und das CRL Skript unter /etc/fcron.daily hat gefehlt ? Checks du das bei dir auch nochmal gegen lenny ?

Grüsse,

UE

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 8:23 am
by lenny
C128 - Frisch installiert, JA!
Checke ich gerne, jedoch ohne VPN Verbindung, erst heute Nachmittag :) bin echt gespannt, gerade, weil es bis gestern auch noch wunderbar funktionierte.
Danke schon mal für die schnelle Hilfe!

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 8:30 am
by ummeegge
Jo gerne,
mit OpenSSL-1.1.0 wurde das CRL handling ausgebaut und muss seit dem vom OpenVPN gemacht werden weswegen das Skript da ist. Die CRL ist mehrere Tage gültig bis sie abläuft von daher taucht das Problem nicht sofort auf.

Im Core 129 hab ich gerade mal in der DEV Umgebung geschaut und das Skript ist da vorhanden. Wenn das Problem bei dir lenny das selbe ist, mach ich mir mal ein Core 128 in der VM auf und check das gegen...

Grüsse,

UE

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 9:55 am
by G666
Die Idee mit der VM finde ich gut und habe das mal getestet. Ausprobiert habe ich ipfire-2.21.x86_64-full-core128.iso und habe extra den openVPN Server gestartet aber die Datei fehlt auch da. Es war nur trim und info.txt vorhanden.

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 10:03 am
by lenny
yeah. Dankeschön!
dann waren wir wohl die ersten, wo es ausgetimed ist :D

Re: Ovpn TLS Handshake failed

Posted: April 5th, 2019, 12:29 pm
by ummeegge
Hab mal einen File gebugged --> https://bugzilla.ipfire.org/show_bug.cgi?id=12039 .

Grüssle,

UE