Kein OpenVPN mehr nach Update auf 135

Das schwierige Thema VPN!
Post Reply
fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

Kein OpenVPN mehr nach Update auf 135

Post by fow0ryl » September 20th, 2019, 6:13 pm

Hallo,

ich habe ein Update von Release 128 nach 135 gemacht. Danach kann man mit OpenVPN keine Verbindung mehr aufbauen.
Wenn man wieder auf 128 zurück geht, funktioniert OpenVPN auch wieder.
Es leigt also nahe, das sich etwas im OpenVPN Kontext geändert hat, das hier das Problem verursacht.
Schwierig wird die ganze Sache dadurch, das der ipfire/OpenVPN Server rund 200km von mir weg steht, und dort nur jemand verfügbar ist, dem man quasi jeden Tastendruck sagen muss :(
Im Moment ist wieder die 128 aktiv, damit überhaupt was geht ...

Am (Windows)Client kommt die Meldung:

Code: Select all

TLS error key negotiation failed
Vom Server konnte ich ein bisschen Log erhaschen, das mich aber auch nicht weiter bringt..

Code: Select all

19:17:32 openvpnserver[2459]:  159.253.115.119:52937 SIGUSR1[soft,tls-error] received, client-instance restarting
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 TLS Error: TLS handshake failed
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 TLS Error: TLS object -> incoming plaintext read error
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 TLS_ERROR: BIO read tls_read_plaintext error
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 VERIFY SCRIPT ERROR: depth=0, C=DE, ST=BRB, L=Brandenburg, O=BeierBRB, OU=CA, CN=Henning, name=@brb.dd-dns.de, emailAddress=verwaltung@*****.de
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 WARNING: Failed running command (--tls-verify script): external program exited with error status: 1
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 VERIFY OK: depth=1, C=DE, ST=BRB, L=Brandenburg, O=BRB, OU=CA, CN=OPENVPN-CA, name=@brb.dd-dns.de, emailAddress=verwaltung@*****.de
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 VERIFY SCRIPT OK: depth=1, C=DE, ST=BRB, L=Brandenburg, O=BeierBRB, OU=CA, CN=OPENVPN-CA, name=@brb.dd-dns.de, emailAddress=verwaltung@*****.de
19:17:32 openvpnserver[2459]:  159.253.115.119:52937 TLS: Initial packet from [AF_INET]159.253.115.119:52937, sid=06b01374 bbf235b2


Vielleicht ist es wichtig. Die CA befindet sich nicht auf dem ipfire, d.h. alles wurde irgendwann mal importiert. Hat aber bislang immer einwandfrei funktioniert.

Gruß
Henning

fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

Re: Kein OpenVPN mehr nach Update auf 135

Post by fow0ryl » September 23rd, 2019, 11:41 am

keiner eine Idee ?

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Kein OpenVPN mehr nach Update auf 135

Post by Arne.F » September 23rd, 2019, 12:21 pm

Kann der Client TLS1.2 ? Normal sollte das aber auch schon für core128 erforderlich sein. Aber in core129 gabs ein weiteres OpenVPN Update...
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

silvius
Posts: 3
Joined: June 14th, 2010, 7:54 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by silvius » September 23rd, 2019, 2:33 pm

Hatte hier ein ähnliches Problem nach dem Wechsel von 134 auf 135.

Die Verbindungen ließen sich zwar aufbauen, aber Zugriff auf das Netz dahinter war nicht möglich.

Neuerzeugen der Verbindungen und Aktualisierung der Clients hat hier geholfen.

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by ChrisK » September 23rd, 2019, 3:14 pm

fow0ryl wrote:
September 20th, 2019, 6:13 pm
Schwierig wird die ganze Sache dadurch, das der ipfire/OpenVPN Server rund 200km von mir weg steht, und dort nur jemand verfügbar ist, dem man quasi jeden Tastendruck sagen muss :(
Wie wäre es mit einer Teamviewer Session? Dann kannst du dir das Remote freigeben lassen und vom anderen Rechner aus quasi lokal arbeiten.
So mache ich das auch wenn ich bei den VPN-Tunneln zu den Standorten etwas tunen muss was potentiell schief gehen könnte.

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by ummeegge » September 23rd, 2019, 4:11 pm

Hallo zusammen,
silvius wrote:
September 23rd, 2019, 2:33 pm
Hatte hier ein ähnliches Problem nach dem Wechsel von 134 auf 135.
was da seltsam ist, es gab keine Änderungen am OpenVPN zwischen diesen Versionen, hast du da schon mal was gepostet wo es Logs gibt ?

Eine ähnliche Meldung
fow0ryl wrote:
September 20th, 2019, 6:13 pm
19:17:32 openvpnserver[2459]: 159.253.115.119:52937 OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
hab ich schon öfters mal gesehen, wenn das dass selbe ist wie hier --> https://dynamic.reauktion.de/flugphase/ ... sconnects/ könntest du mal schauen was dieser Command

Code: Select all

openssl crl -in /var/ipfire/ovpn/crls/cacrl.pem -text | grep -oP 'Next Update: *\K.*'
ausgibt ?
Was da doch einwenig dagegen spricht ist die Meldung

Code: Select all

[quote=fow0ryl post_id=127552 time=1569003218 user_id=19505]19:17:32 openvpnserver[2459]:  159.253.115.119:52937 WARNING: Failed running command (--tls-verify script): external program exited with error status: 1[/quote]
wonach tls-verify --> https://git.ipfire.org/?p=ipfire-2.x.gi ... 21;hb=HEAD ein Problem hat.

UE
Image
Image

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by ChrisK » September 23rd, 2019, 5:25 pm

Ich tippe auch auf eine inzwischen abgelaufene revocation list. Wahrscheinlich ist dieses einfach migriert worden und die in Core 129 geupdatete OpenVPN-Version fisst die abgelaufene Liste nun nicht mehr.

Wenn dem so ist, müsste dein Problem auch schon bei einem Update auf Core 129 auftreten.

Klick doch mal auf der OpenVPN-Seite vom WUI auf den Button "Certificate Revocation List anzeigen" und schau mal nach den Datumsstempeln bei "Last Update" und "Next Update".

fpausp
Posts: 234
Joined: July 11th, 2009, 6:50 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by fpausp » September 23rd, 2019, 5:43 pm

silvius wrote:
September 23rd, 2019, 2:33 pm
Hatte hier ein ähnliches Problem nach dem Wechsel von 134 auf 135.

Die Verbindungen ließen sich zwar aufbauen, aber Zugriff auf das Netz dahinter war nicht möglich.

Neuerzeugen der Verbindungen und Aktualisierung der Clients hat hier geholfen.
Bei mir das Gleiche, hab auch noch zusätzlich Probleme mit N2N. Möchte das aber in einem eigenen Beitrag beschreiben...

fpausp
Posts: 234
Joined: July 11th, 2009, 6:50 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by fpausp » September 23rd, 2019, 5:53 pm

Ein Auszug aus der Revokation Liste von dem einen IPFire der Probleme macht:

Code: Select all

Last Update: Sep 22 07:09:52 2019 GMT
Next Update: Oct 22 07:09:52 2019 GMT

Revoked Certificates:
    Serial Number: 02
        Revocation Date: Oct 19 17:08:32 2018 GMT
    Serial Number: 03
        Revocation Date: Oct 19 17:07:37 2018 GMT
    Serial Number: 07
        Revocation Date: Oct 20 15:34:41 2018 GMT
    Serial Number: 08
        Revocation Date: Oct 24 15:10:54 2018 GMT
    Serial Number: 09
        Revocation Date: Oct 24 15:10:40 2018 GMT

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by ChrisK » September 23rd, 2019, 6:55 pm

fpausp wrote:
September 23rd, 2019, 5:53 pm
Ein Auszug aus der Revokation Liste von dem einen IPFire der Probleme macht:

Code: Select all

Last Update: Sep 22 07:09:52 2019 GMT
Next Update: Oct 22 07:09:52 2019 GMT

Revoked Certificates:
    Serial Number: 02
        Revocation Date: Oct 19 17:08:32 2018 GMT
    Serial Number: 03
        Revocation Date: Oct 19 17:07:37 2018 GMT
    Serial Number: 07
        Revocation Date: Oct 20 15:34:41 2018 GMT
    Serial Number: 08
        Revocation Date: Oct 24 15:10:54 2018 GMT
    Serial Number: 09
        Revocation Date: Oct 24 15:10:40 2018 GMT
Hm, das sieht auf den ersten Blick okay aus...
fpausp wrote:
September 23rd, 2019, 5:43 pm
silvius wrote:
September 23rd, 2019, 2:33 pm
Hatte hier ein ähnliches Problem nach dem Wechsel von 134 auf 135.

Die Verbindungen ließen sich zwar aufbauen, aber Zugriff auf das Netz dahinter war nicht möglich.

Neuerzeugen der Verbindungen und Aktualisierung der Clients hat hier geholfen.
Bei mir das Gleiche, hab auch noch zusätzlich Probleme mit N2N. Möchte das aber in einem eigenen Beitrag beschreiben...
Auch hier muss das irgend etwas sein, was von einem älteren Build mitgeschleppt wurde und nun erst zum Tragen kommt.
Ich hatte die Router hier vor kurzem mit Core 134 neu aufgesetzt und restlos alle OpenVPN-Verbindungen funktionieren auch nach dem Update auf 135 noch. Das reine Update von 134 auf 135 scheidet also als direkte Ursache aus.

fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

Re: Kein OpenVPN mehr nach Update auf 135

Post by fow0ryl » September 24th, 2019, 3:03 pm

Hallo,

habe heute mal etwas gebastelt, so das ich mehre ipfire parallel laufen lassen kann. Natürlich mit unterschiedlichen IPs und Ports.

Die CRL zeigt für mich in der WUI erst mal keine Auffälligkeiten.

Code: Select all

Certificate Revocation List (CRL):
        Version 1 (0x0)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = DE, ST = BRB, L = Brandenburg, ....
        Last Update: Sep 20 06:03:17 2019 GMT
        Next Update: Oct 20 06:03:17 2019 GMT
No Revoked Certificates.
    Signature Algorithm: sha256WithRSAEncryption


Ich vermute das irgendwo auf dem Weg von 128 nach 135 was kaputt gegangen ist. Habe ich ja mit einem Reboot zwischendurch an einem Stück gemacht...

Henning

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by ummeegge » September 24th, 2019, 3:41 pm

Hallo zusammen,
tls-verify schaut ob der CN vom Client auch im confighash steht (ovpnconfig) --> https://git.ipfire.org/?p=ipfire-2.x.gi ... 21;hb=HEAD die ovpnconfig ist schon da bei dir bzw. der Client ist da nicht auf 'off' und als 'host' eingetragen ?
fpausp wrote:
September 23rd, 2019, 5:43 pm
Bei mir das Gleiche, hab auch noch zusätzlich Probleme mit N2N. Möchte das aber in einem eigenen Beitrag beschreiben...
Hast du die gleiche Meldung im Log wi fow0ryl ? Nicht das dass Birnen Äpfel Problem auftritt ;- ?

Grüße,

UE
Image
Image

fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

Re: Kein OpenVPN mehr nach Update auf 135

Post by fow0ryl » September 24th, 2019, 5:36 pm

Hallo,

ich habe mir jetzt erst mal das komplette Verzeichnis /var/ipfire/ovpn gesichert. Dann habe ich die kompletten X509 Zertifikate gelöscht.
Die Basis Einträge für das OpenVPN habe ich nicht verändert.
Dann das Root Zertifikat über die WUI erstellt und anschließend ein Client Zertifikat erstellt.
Die so erstellten neuen Daten habe ich auf den Client übertragen. Und siehe da, die OVPN Verbindung lässt sich starten.
Somit kann wohl ausgeschlossen werden, das ein grundsätzliches Problem, wie fehlende TLS 1.2 Fähigkeit oder ähnlich vorliegt.
Vielmehr würde ich auf eine Inkompatibilität zwischen den auf ipfire erzeugten und den von mir importierten Zertifikaten tippen.
Auch verspüre ich im Moment keine große Lust die ganzen Client Zertifikate neu zu generieren und dann auf dem Client die Konfiguration auszutauschen...

Könnte man im tls-verify nicht ein paar Ausgaben einbauen um die ganzen Variableninhalte auszugeben. Vielleicht kommt man dem Problem dann auf die Spur. Das Script ist leider in Perl. Damit kenne ich mich gar nicht aus. Wenn es ein bash script wäre, dann würde ich mal schnell ein paar "echo $cn >> /tmp/debug" einbauen ....

Weiss jemand so out of the box, wie man das hier implementieren könnte?

Gruß
Henning

fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

Re: Kein OpenVPN mehr nach Update auf 135

Post by fow0ryl » September 24th, 2019, 9:04 pm

Hallo,
ich habe festgestellt das sich die scripte zwischen 128 und 135 unterscheiden. Könnte allerdings sein, das sie hier schon von jemandem modifiziert wurden, um die Zertifikate einer exteren CA zum Laufen zu bekommen.

So sieht das betreffende Code-Fragment in Version 135 aus

Code: Select all

# Strip the CN from the X509 identifier.
$CN =~ /(\/|,\ )CN=(.*)$/i;
$CN = $2;
Und so in Version 128

Code: Select all

# Strip the CN from the X509 identifier.
$CN =~ /(\/|,\ )CN=(.*)$/i;
$CN = $2;
$CN =~ s/,.*//;
Der große Unterschied liegt im Ergebnis. In der neuen Version enthält die Variable $CN folgendes:

Code: Select all

Henning, name=@myname.dd-dns.de, emailAddress=verwaltung@mydomain.de
In der alten Version hingegen dies:

Code: Select all

Henning
Ich habe keine Ahnung ob das Perl-technisch so gut und/oder korrekt ist und damit potentiell eine grundsätzliche Erweiterungsmöglichkeit wäre.
Aber hier sieht es erst mal so aus, als würde die neue Version mit einem modifizierten Script funktionieren.

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Kein OpenVPN mehr nach Update auf 135

Post by ummeegge » September 26th, 2019, 4:55 am

Hi,
fow0ryl wrote:
September 24th, 2019, 9:04 pm
ich habe festgestellt das sich die scripte zwischen 128 und 135 unterscheiden. Könnte allerdings sein, das sie hier schon von jemandem modifiziert wurden, um die Zertifikate einer exteren CA zum Laufen zu bekommen.
dein tls-verify Skript von Core 128 gab es auf dem Fire so nicht --> https://git.ipfire.org/?p=ipfire-2.x.gi ... 21;hb=HEAD die Änderungen müssen somit von dir/euch kommen.
tls-verify wurde das letzte mal 2013 geändert --> https://git.ipfire.org/?p=ipfire-2.x.gi ... 21af8f0168 was ca. Core 77 entspricht bzw. kommt das von Änderungen die noch in einer der 2.2er Versionen seitens OpenVPN gemacht wurden.

Ist vielleicht gar nicht schlecht wenn du deine CA mal erneuerst...

Die Probleme der anderen sollten somit auch andere Ursachen haben schätz ich mal...

Grüße,

UE
Image
Image

Post Reply