Ubuntu-VPN-Client mit Netzwerkmanager bei Whirpool oder HMAC inkompatibel?

Das schwierige Thema VPN!
Post Reply
56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Ubuntu-VPN-Client mit Netzwerkmanager bei Whirpool oder HMAC inkompatibel?

Post by 56kbit » October 28th, 2019, 1:06 pm

Hi Community.

Hier zu einer möglichen (?!) Inkompatibilität bei Ubuntu-Clients und einem IP-Fire-VPN mit HMAC, Whirlpool und Camellia .
Dies ist kein pures IP-Fire-Problem, jedoch hilft die Info evtl. auch anderen.
Oder: Jemand hat eine ähnliche Umgebung oder Lösung für Ubuntu-VPN zu IP-Fire mit Ubuntu-Netzwerkmanager und ähnlichen Settings??
Frage wäre: Was kann man unter Ubuntu-Clients tun, wenn man bei den Settings bleiben will - HMAC wäre sehr wichtig, whirlpool eigentlich ebenso?

Derzeit gehen wir von Win7 auf Ubuntu Desktop-LTS (16.04 + 18.04, mit Netzwerkmanager) statt zu Win10, juchu.
Für "normale User" brauchen wir ein VPN-GUI. Der Netzwerkmanager erledigt vieles recht gut, zickt aber genau hier mit bisherigen IPfire-Settings.

Soweit bin ich bei Analyse & Fehlersuche:
  • Der Netzwerkmanager kann Openvpn-Profile der IPFIRE importieren. Das gemeine - dies erst einmal ohne GUI-Fehlermeldung
  • Die Analyse ergibt eine VPN-Fehlermeldung in den Clientlogs beim Speichern des Profils

Code: Select all

cat /var/log/syslog | grep -i vpn
Oct 26 12:16:58 user1 gnome-session[2844]: ** Message: Cannot save connection due to error: ungültige Einstellung VPN: cert-pass
  • Beim Speichern eines Profils wird bei Tests die Zeile mit dem Hash-Algo/Digest "Whirlpool" in der Config des Client-Netzwerkmanagers scheinbar gelöscht. Achtung - Der Netzwerkmanager nutzt final nicht die ausgewählte ovpn-Konfig-Datei, er liest sie und speichert neu

Code: Select all

# Konfigfiles liegen beim Ubuntu-Client unter:
cat /etc/NetworkManager/system-connections/Profilname
  • Auffällig: Der Netzwerkmanager erlaubt auch bei manueller Anlage keine Auswahl von Digest "Whirlpool" (->Verbindungen bearbeiten->VPN hinzufügen-> Erweitert->Tab Sicherheit->Option HMAC-Legitimierung)
  • Dies führt natürlich im Ergebnis zu keiner VPN-Verbindung

Code: Select all

cat /var/log/syslog | grep -i vpn
Oct27 10:42:02 user1 NetworkManager[11736]: nm-openvpn-Message: openvpn[24445]: send SIGTERM
Oct27 10:42:02 user1 NetworkManager[11736]: <warn>  [1572267062.0444] vpn-connection[0x1a2220,4b15-5c16-4801-871b-e11a8692dc7b,"Firma",0]: VPN connection: connect timeout exceeded.
Oct27 10:42:02 user1 NetworkManager[11736]: <warn>  [1572267062.0467] vpn-connection[0x1a2220,4b15-5c16-4801-871b-e11a8692dc7b,"Firma",0]: VPN plugin: failed: connect-failed (1)
  • Dabei unterstützen die openvpn-Installationen bei 16.04 und 18.04 Ubuntu-Clients die notwendigen Cipher:

Code: Select all

#openvpn --show-digests | grep -i whirl
whirlpool 512 bit digest size
... 
# openvpn --show-ciphers | grep CAMELLIA | grep CBC
CAMELLIA-128-CBC  (128 bit key, 128 bit block)
CAMELLIA-192-CBC  (192 bit key, 128 bit block)
CAMELLIA-256-CBC  (256 bit key, 128 bit block)
... usw.
  • Funktionieren tut seit jeher die IPFire und Konfig für Verbindungen von Win-7-Clients bis zu aktuellem OpenVPN-GUI v11.13.0.0:

- IPFire = 223 core 136
- Service = OpenVPN
- Hash-Algorithmus WHIRLPOOL 512bit
- Encryption Camellia 256 bit
- TLS Channel Security, Kanalabsicherung aktiviert
- Diffie-Hellman-Paramete 4096 bit
- TLS-Authentifizierungsschlüssel 2048 bit OpenVPN static key
  • Die Konfig ist eher Standard - Änderungen erfolgten bei "MTU auf 1500", "verbosity höher" und dem Test von "fragment 0"
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1500
remote ----SERVERXYZ----- 1194
pkcs12 Xin.p12
cipher CAMELLIA-256-CBC
auth whirlpool
tls-auth ta.key
verb 5
remote-cert-tls server
verify-x509-name ----SERVERXYZ----- name
fragment 0

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Nachtrag - Ubuntu-VPN-Client Netzwerkmanager mit Whirpool/HMAC wohl inkompatibel

Post by 56kbit » October 28th, 2019, 7:15 pm

Nachtrag: Das der Client wegen Openvpn, dem VPN-Server oder der Verbindung an sich nicht will kann ich jetzt nahezu ausschliessen (oder ich bin zu doof und übersehe was):

Manuell lässt sich der Tunnel vom Client mit Ubu 16.04 aufbauen, dabei ist das Passwort für das Cert noch nötig:

Code: Select all

openvpn --config /home/user1/Profil_cam256whirlpool_tuned-manuell.ovpn --remote-cert-tls server --tls-auth ta.key
Durch manuelle Eingabe oder File mit Klartext-PW für das Cert irgendwie keine richtige Option :-\

Das Ergebnis leicht gekürzt - fehlerfreie Verbindung:

Code: Select all

16:11:00  Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
16:11:00  Outgoing Control Channel Authentication: Using 512 bit message hash 'whirlpool' for HMAC authentication
16:11:00  Incoming Control Channel Authentication: Using 512 bit message hash 'whirlpool' for HMAC authentication
16:11:00  UDPv4 link remote: [AF_INET]192.168.178.77:1194
16:11:00  VERIFY OK: depth=1, C=FI, ST=OULU, O=TERVE, OU=NONE, CN=TERVE CA
16:11:00  ++ Certificate has key usage  00a0, expects 00a0
16:11:00  VERIFY KU OK
16:11:00  ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
16:11:00  VERIFY EKU OK
16:11:00  VERIFY X509NAME OK: C=FI, ST=OULU, O=TERVE, OU=NONE, CN=OULU.TERVE.net
16:11:00  VERIFY OK: depth=0, C=FI, ST=OULU, O=TERVE, OU=NONE, CN=OULU.TERVE.net
16:11:00  Data Channel Encrypt: Cipher 'CAMELLIA-256-CBC' initialized with 256 bit key
16:11:00  Data Channel Encrypt: Using 512 bit message hash 'whirlpool' for HMAC authentication
16:11:00  Data Channel Decrypt: Cipher 'CAMELLIA-256-CBC' initialized with 256 bit key
16:11:00  Data Channel Decrypt: Using 512 bit message hash 'whirlpool' for HMAC authentication
16:11:00  Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
16:11:00  [OULU.TERVE.net] Peer Connection Initiated with [AF_INET]192.168.178.77:1194
16:11:03  TUN/TAP device tun0 opened
Nur über den Network Manager wills nicht ... wer eine Lösung oder den Fehler beim Netzwerkmanager GUI-CLient findet bekommt nen Bier. :) :-X :-\


Statt dass ich mit dem Problem weiterkomme dödel ich gerade mit Tunnel-VPN-Tuning rum.
Bei mir bringt das Tuning der Sende-Puffer unter Linux bis zu 15% mehr Durchsatz zur IPFIRE (grad nur 1 User zum Fileshare):
  • Ubuntu verwendet wenn ich das richtig sehe folgende Puffer bei der UDP-Übertragung

    Code: Select all

    $ sudo cat /proc/sys/net/core/rmem_max
    212992
    $ sudo cat /proc/sys/net/core/wmem_max
    212992
    
    (Diese werden bei einem Verbose-Level bei mir ab 3 auch bei VPN im Log angezeigt).

    Code: Select all

    Socket Buffers: R=[212992->212992] S=[212992->212992]
    Bei VPN via UDP raten Viele zu fest eingestellten Werten, bei TCP zu "ausschalten" oder Wert "0"
    Setzt man z.B. in die Config vom Client 512 Kbyte als Puffer geht es bei mir fixer:

    Code: Select all

    sndbuf 524288
    rcvbuf 524288
... aber das löst mein GUI-HMAC-WHIRLPOOL-Problem immer noch nicht ...

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Versionen von Ubuntu-VPN-Client mit Netzwerkmanager bei Whirpool oder HMAC inkompatibel?

Post by 56kbit » November 1st, 2019, 11:29 pm

Weitere Infos zur Fehlersuche - falls jemand eine Idee hat wäre ich echt dankbar:
Mit diesem Post habe ich das Verhalten beim genutzen Netzwerkmanager sowohl unter einem Up2date gepatchen 16.04 LTS von oben als auch unter einem Ubuntu "Standard Workstation" 18.04.1 und einem Ubuntu Mate 18.04.1 mit Mate-GUI ausgetestet - bei allen zickt der Netzwerkmanager, auf der Konsole geht es ...

Die aktuelle IPfire hat derzeit folgendes exaktes Releases:

Code: Select all

# uname -r
4.14.138-ipfireOpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PK
CS11] [MH/PKTINFO] [AEAD] built on May 14 2019

openvpn --help | more (nur Auszug)
OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH
/PKTINFO] [AEAD] built on Mar 20 2019
Letzter Test-Client Ubuntu Mate 18.04.1 LTS (".1." um noch den GA-Kernel-Support bis 2023 zu haben, GA-Kernel? Die bieten längere Pflege, siehe z.B. https://www.thomas-krenn.com/en/wiki/Ub ... ment_Stack ) nutzen z.B. :

Code: Select all

uname -r
4.15.0-66-generic

openvpn --help | more (nur Auszug)
OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PK
CS11] [MH/PKTINFO] [AEAD] built on May 14 2019
Openvpn-Instanzen auf Server und Client supporten WHIRLPOOL, oben schon geprüft:

Code: Select all

openvpn --show-digests | grep wh
whirlpool 512 bit digest size

Eine Überlegung - können unterschiedliche OPENSSL-Versionen Ursache für fehlende Unterstützung von Whirlpool bis hin zum Netzwerkmanager sein?Laut "openvpn --version" nutzt openvpn auch openssl:

Code: Select all

with_crypto_library=openssl

Aber wieso kommt dann manuell eine korrekte Verbindung (s.oben) zustande? Oder bin ich auf einen Bug gestoßen? grübel ...

IPFIRE nutzt derzeit:
OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Mar 20 2019
library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.09
Up2date-Clients nutzen z.B. unter 18.04 LTS:
OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 14 2019
library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08
Dann könnte man vielleicht manuell auf allen Clients vorbei am Standard-Update-Repository manuell OPENSSL auf 1.1.1d (statt 1.1.1) updaten und zentral pflegen, irgendwie für dauerhaften Betrieb unschön ... aber der nächste Test, HALLOWEEEEN HORROR >:D ...

Hat keiner zumindest einen kurzen Tipp ? Derzeit bin ich mit manueller Einwahl über Konsole und "Terminal-Fenster-geht-dabei-auf" und Passworteingabe für den ta.key erfolgreich schnell im Tunnel - falls ich Infos vergessen habe oder etwas interessant dazu wäre ... Danke !

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Aussschluss - Ubu-VPN-Client + Netzwerkmanager bei Whirpool oder HMAC inkompatibel?

Post by 56kbit » November 2nd, 2019, 2:11 am

Weiter im Text, ist ja Halloween. Gerade konnte ich als Grund für fehlerhafte Verbidung auch Folgendes ausschließen:
  • Ubuntu Client 18.04.1 up2date
  • Ubuntu Client Paket OpenSSL Manuelles Update auf SSL wie IPfire-Version oben

Code: Select all

# CLIENT: ...Schreibtisch$ openssl version
OpenSSL 1.1.1d  10 Sep 2019
IPFIRE, siehe oben mit " library versions: OpenSSL 1.1.1d"
Ob der Client mit openVPN überhaupt die normale System-Installation von openssl nutzt oder die Library mitbringt mag ich nicht sagen - auch eine gute Frage ::) Jedenfalls meldet der Client auf openSSL jetzt korrekt die gleiche Version wie die IPfire ...

... und ... der Networkmanager will Verbindungen bei whirlpool mit Camellia bei HMAC immer noch nicht ... *** SEUFZ *** :o >:(

# Info: scheinbar ist die SSL-Library für openVPN nur durch openVPN gepflegt - denn das manuelle Updaten des Pakets openSSL bringt auch nach Reboot nichts für openVPN, die Versionsnummer bleibt gleich/alt wie oben:

Code: Select all

Schreibtisch$ openvpn --version
OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 14 2019
library versions: OpenSSL 1.1.1  11 Sep 2018, LZO 2.08
ne also echt jetzt - da mach ich erst Morgen weiter - und geh nen Bier trinken ... Irgendeiner hat ja vll. bis dahin einen TIPP ?? :( :'(

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: Ubuntu-VPN-Client mit Netzwerkmanager bei Whirpool oder HMAC inkompatibel?

Post by ummeegge » November 2nd, 2019, 7:59 am

Hallo 56kbit,
hoffe das Bier war lecker :P ...
Ich dachte zuerst an eine Client spezifische OpenSSL lib im nm-openvpn da manche OpenVPN Clients öfters ihre eigenen Libs mitbringen und diese dann extra schmall gehalten werden und somit manche Cipher und Hmac´s nicht vorhanden sind was mir aber hier nun nicht danach aussieht.
Syslog bei OpenVPN Verbindungsaufbau:

Code: Select all

Nov  2 06:36:00 ummeegge nm-openvpn[842]: library versions: OpenSSL 1.1.1  11 Sep 2018, LZO 2.08
OpenSSL Systemversions Abfrage:

Code: Select all

☺  openssl version                                                                                                     
OpenSSL 1.1.1  11 Sep 2018
. Gleiche Version und am gleichen Tag gebaut. Von daher denke ich eher das Whirlpool einfach nicht in die Oberfläche und den dahinter befindlichen Checks eingebaut wurde -->
Image
was du ja auch schon gesehen hattest. Ich denke das wird so ein Ding das da einzupatchen bzw. einpatchen zulassen...

Hab hier ein Linux Mint stehen und network-manager-openvpn-gnome mit Version 1.8.2-1 mal installiert und das probiert nachzustellen. Während sich das syslog auf dem Client da eher ausschweigt, findet sich auf dem Server dann schon Klarheit:

Code: Select all

Nov  2 06:14:50 ipfire openvpnserver[16080]: 192.168.9.4:59056 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.9.4:59056
obwohl der NM beim Import nicht rummeckert und so macht als wollte er eine Verbindung aufbauen, knallts dann bei der Hash Message Authentication, der wird einfach nicht genutzt.
Hab dann mal SHA512 verwendet und da baut er dann die Verbindung auf. Generell muss ich aber sagen das der NM ein paar Verbindungsabbrüche hatte, ich start OpenVPN auf dem Client immer via Konsole und da gibt´s sowas so gut wie gar nicht aber das nur nebenbei.

Zu einer Lösung deines Problems würde mir derzeit nur einfallen einen anderen HMAC zunehmen somit hättest du ja trotzdem das PKCS#12 PWD gespeichert, Klicki-Bunti wäre gegeben. Ausserdem würde ich mir nochmal überlegen ob du wirklich CBC verwenden möchtest. OpenVPN empfiehlt nach Sweet32 (man kann sagen Massaker) vom Cipher-Bock-Chaining wegzugehen und GCM (Gauloise-Counter-Mode) zuverwenden was ja seit der 2.4er Version beim OpenVPN auch geht. GCM bring auch gleich den HMAC mit (SHA256), dennoch brauchts auch eine Auswahl für einen HMAC auf dem IPFire für den ta.key Algo. Ich hatte auch mal testweise AES-256-GCM mit SHA512 mit dem NM probiert und der lief, wie ich es kenne, stabil.

Ein paar Gedanken für nach Hell-O-Ween .

Best Grüße,

UE

EDIT: Ich finde deine Erkennisse zum OpenVPN optimieren ganz interresant, hast du event. Lust das nochmal als seperaten Topic auf der neuen Community Platform --> https://community.ipfire.org/ (geht am Montag offiziell Online und wird das Forum hier nach und nach ersetzen) zu posten ?
Image
Image

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Re: Ubuntu-VPN-Client mit Netzwerkmanager bei Whirpool oder HMAC inkompatibel?

Post by 56kbit » November 3rd, 2019, 12:28 am

Halloween , Hallo Wien - oder wie Falco schon sang: "hello ... vienna ... calling".

Bier war nicht genug aber lecker, Danke an UM. Ein Lichtblick - welch Wortspiel - am Ende des Tunnels.
Habe das Problem HMAC/Whirlpool und Netzwerkmanager ergänzend nachgestellt und weiter eingegrenzt.
@UM - gerne trage ich zu Projekten etwas bei - Der Punkt Performance interessiert mich selber immer, habe noch keine finalen Ergebnisse (hehe, habe ja grad VPN-Probleme) ... aber (nicht mißverstehen) mit diesen neuen Responsive-Design-viel-weisser-Platz-wenig-Listen-Foren werd ich irgendwie nicht so richtig warm :-( Darf ich auch hier ;-) ::)

Ebenso ist Dein guter Vorschlag AES GCM statt Camellia (um CBC abzulösen) völlig richtig (OpenVPN Einstieg zu sweet: https://community.openvpn.net/openvpn/wiki/SWEET32). Aus derzeitiger Inkompatibilität folgernd bleibt wohl nur noch SHA256 oder 512 statt WHIRLPOOL.

Dabei stellt sich vll. aber auch die Frage nach Einhaltung der Governance in vielen Unternehmen und der Herkunft der Cipher, Digests etc.
Camellia nutzte ich gezielt hier und da - da er weder aus kritischen Staaten noch komplett aus Amerika kommt. Dabei glaube ich nicht zwingend an Verschwörung bei AES und National Security - jedoch kenne ich in Deutschland Mittelständler auch persönlich (1xWindkraft, 1xBiotechnologie) welche hier schon einmal Industriespionage hatten). Damit bliebe ggf noch ARIA mit GCM - jedoch ;-) naja, will man Südkorea trauen ?
Oder: Welcher Kombi ist sowohl technisch als auch politisch und im Audit optimal? Zu viel für diesen Thread, Weitere Links siehe unten...

Hier der ergänzende Status zu Inkompatibilität und Fehlersuche
Um auf aktuelle Versionen von openVPN, Netzwerkmanager zu kommen habe ich intensiver Ubuntu Mate 18.04 und 19.10 getestet. Tests mit 16.04 LTS habe ich eingestellt. Folgende habe ich ausgiebiger getestet:

A)
Version ____ Ubuntu 18.04
Nick ______"Bionic"
Kernel ____ 4.15.0-66-generic
Package __ openvpn (2.4.4-2ubuntu1) built on May 14 2019
VPN-ssl __ library versions: OpenSSL 1.1.1 11 Sep 2018 library versions: OpenSSL 1.1.1c 28 May 2019
Package __ network-manager (1.10.6-2ubuntu1.1)
Package __ OpenSSL 1.1.1 _______ -> Test zu OpenSSL 1.1.1d 10 Sep 2019

B)
Version ___ Ubuntu 19.10
Nick _____"Eoan"
Kernel ____ 5.3.0-19-generic
Package __ openvpn (2.4.4-2ubuntu1)
VPN-ssl __ library versions: OpenSSL 1.1.1c 28 May 2019
Package __ network-manager (1.20.4-2ubuntu2)
Package __ OpenSSL 1.1.1c 28 May 2019 _______ -> Test zu OpenSSL 1.1.1d 10 Sep 2019

Also 4 Variationen, A+B mit aktuellen Paketen auf Stand der Distribution und A+B mit manuellem Update der openSSL.
Dabei deckt sich der Test im Groben & Ganzen mit Ergebnis ummeegge :

Summary Netzwerkmanager mit Whirlpool & HMAC:
  1. Die OpenSSL-Version scheint unabhängig vom Problem - OpenVPN nutzt eigene Library
  2. Fehler von ummeegge kann ich bestätigen und ergänzen, s.u.
  3. Bei 19.10 gibt es schon weniger ;) Probleme - funktionieren tut der NM dennoch nicht mit whirlpool und HMAC
  4. Ich würde bis dahin von einem Bug im Zusammenspiel openVPN, Netzwerkmanager, NM-GUI oder derzeitige Versionen der Distis ausgehen
  5. Workarounds: Abwarten und Bier trinken - oder wie ummeegge korrekt meint: anderen Cipher/Digest
  6. Workarounds Patchen auf aktuellsten Netzwerkmanager habe ich für 18.04 verworfen - selbst der neueste zeigt die Probleme, es bedingt viel Aufwand und ggf muss man ebenso das openVPN-Package manuell dazu updaten - ob das dann noch zum 18.04 und dem GUI passt ... ?? :(

    Zu 2 - Fehler Serverseitig, x.y.z.a steht für Client IP incoming:

    Code: Select all

    FALL1:
    openvpnserver[8985]: x.y.z.a:57917 TLS Error: TLS handshake failed
    openvpnserver[8985]: x.y.z.a:57917 SIGUSR1[soft,tls-error] received, client-instance restarting
    openvpnserver[8985]: x.y.z.a:52587 TLS Error: TLS key negotiation failed to occur within 60 seconds
    FALL2:
    openvpnserver[8985]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET] x.y.z.a
    
    Zu 3 - Evolution des Netzwerkmanagers: :P
    3.1_ Screenshot Links (Fall A oben) - Verbindungen mit 18.04:
    ____ Option Whirlpool taucht nicht auf
    ____ Bei Speichern von Import *.ovpn mit Whirlpool-Digest gibts den oben beschriebenen Fehler im Log
    3.2_ Screenshot Mitte (Fall B oben) - Verbindungen mit 19.10 - neu anlegen
    ____ ... immerhin, es gibt schon eine leere Zeile wo der Whirpool mal war ;D
    3.3_ Screenshot Rechts (Fall B oben) - Client 19.10 - Import vorhandener *.ovpn mit Whirlpool-Digest, juchu, er schreibt schon "whirlpool"
    ____ Beim Speichern/Importieren hat der NM und GUI zumindest keine Probleme mehr mit dem Setting/der Codeline an sich
    ____ Nur funktionieren tuts noch nicht, Clientseitig hab ich zB:

    Code: Select all

    @CLIENT, cat /var/log/syslog | grep -i networ    # (=korrektes Speichern)
    networkManager[1039]: <info>  [1572735013.3870] audit: op="connection-update" uuid="9c338c07-bb7c-46ea-91fb-6e67836c51a" name="VPN-TO-IPFire_orig" args="connection.id" pid=2409 uid=1000 result="success"

    Code: Select all

    @Client, cat /var/log/syslog | grep -i vpn
    nm-openvpn[3403]: TLS_ERROR: BIO read tls_read_plaintext error
    nm-openvpn[3403]: TLS Error: TLS object -> incoming plaintext read error
    nm-openvpn[3403]: TLS Error: TLS handshake failed
    nm-openvpn[3403]: SIGUSR1[soft,tls-error] received, process restarting
    Evolution des Netzwerkmanagers - 18.04 - 19.10 neues Profil - 19.10 Import Profil
    1804_und1910.png

    Linksammler - Auswahl von Algos, Cipher & Digest:
    ARIA als Alternative, recht sicher - siehe Studie: https://eprint.iacr.org/2009/334.pdf
    ARIA aus Südkorea - siehe: https://en.wikipedia.org/wiki/ARIA_(cipher)
    Technische Richtlinien, Cipher & TLS vom BSI, siehe : https://www.bsi.bund.de/SharedDocs/Down ... cationFile
    GCM-Modus besser, aber CBC kann kompensiert werden - https://en.wikipedia.org/wiki/Galois/Counter_Mode
    Linksammler - Programme und Versionen:
    Openvpn - Security Announcements - https://community.openvpn.net/openvpn/w ... ouncements
    Netzwerkmanager - Ubuntu Pakete, etc https://packages.ubuntu.com/bionic/network-manager
    Netzwerkmanager - Changelogs, Pakete, etc https://gitlab.freedesktop.org/NetworkM ... aster/NEWS
    Openvpn - Ubuntu Pakets https://packages.ubuntu.com/eoan/openvpn

    P.S.: Immer den Wunsch des Managements und der Kunden beachten - die wollen "Wischen", "Klicken", "Ergebnisse" und dann soll alles Funktionieren oder in die Kategorieren "rot, gelb und grün" passen.

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Re: Ubuntu-VPN-Client mit Netzwerkmanager bei Whirpool oder HMAC inkompatibel?

Post by 56kbit » November 4th, 2019, 11:20 pm

Status gerade bei Update (apt get update , apt-get upgrade) mit 18.04.1 LTS :
Version network manager 1.10.6-2ubuntu1.2
Selbes Verhalten beim NM mit whirpool ...

Post Reply