Ovpn TLS Handshake failed

[lenny]

Moin zusammen,
Ich bekomme plötzlich und ohne jegliche Änderung einen TLS Handshake failed, wenn ich versuche, die Verbindung aufzubauen.
Ich habe auch die Client-Zertifikate gelöscht und neu erstellt, jedoch ohne Erfolg.
Wisst ihr, wo man ansetzen kann?
Dankeschön

[G666]

Hallo, ich schließe mich mal hier an. Ich habe gestern gesehen das meine VPN Verbindung nicht mehr geht und dachte das ein Zertifikat abgelaufen ist. Geändert habe ich nichts, am 02.04. um 3Uhr trat das Problem auf. Vielleicht handelt es sich um das selbe Problem.

Hier ein Teil des Logs, vielleicht hilft es.

Code: Select all

03:01:54	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: Unroutable control packet received fro m [AF_INET]1.1.1.1:45470 (si=3 op=P_CONTROL_V1)
03:01:53	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS ERROR: received control packet with stale ses sion-id=58e73d7b 4ce0ff55
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS handshake failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS object -> incoming plaintext read error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS_ERROR: BIO read tls_read_plaintext error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 OpenSSL: error:1417C086:SSL routines:tls_process_ client_certificate:certificate verify failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: Initial packet from [AF_INET]1.1.1.1: 45470, sid=431fc2dd 1101980f
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIV E reinit_src=1
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS handshake failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS Error: TLS object -> incoming plaintext read error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS_ERROR: BIO read tls_read_plaintext error
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 OpenSSL: error:1417C086:SSL routines:tls_process_ client_certificate:certificate verify failed
03:01:50	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
03:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: soft reset sec=0 bytes=511744/-1 pkts=1880/0
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RS A-AES256-GCM-SHA384, 2048 bit RSA
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Incoming Data Channel: Cipher 'AES-256-CBC' initi alized with 256 bit key
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 Outgoing Data Channel: Cipher 'AES-256-CBC' initi alized with 256 bit key
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_TCPNL=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_COMP_STUBv2=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_COMP_STUB=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZO=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZ4v2=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_LZ4=1
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_PROTO=2
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_PLAT=linux
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 peer info: IV_VER=2.4.5
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY OK: depth=0, C=DE, O=IPFirexxx, CN=yyy
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY SCRIPT OK: depth=0, C=DE, O=IPFirexxx, CN=xopenVPNx
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY OK: depth=1, C=DE, O=IPFirexxx, CN=IPF irexxx CA
02:01:49	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 VERIFY SCRIPT OK: depth=1, C=DE, O=IPFirexxx, CN=IPFirexxx CA
02:01:48	openvpnserver[15601]: 	xopenVPNx/1.1.1.1:45470 TLS: tls_process: killed expiring key

[ummeegge]

Hallo zusammen,
@G666
kannst du mal folgendes auf der console ausführen

Code: Select all

/etc/fcron.daily/openvpn-crl-updater 

und dann ein

Code: Select all

grep CRL /var/log/messages

und das Ergebnis (wenn vorhanden) posten ?

@lenny
schau mal ob es da noch mehr infos im Log gibt. Bei G666 ist das hier

Code: Select all

VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx

ein Hinweis...

Grüsse,

UE

[lenny]

Klingt interessant, bei mir ist es auch erst seit gestern!
Ich schaue später Zuhause Mal...

[G666]

Das geht bei mir nicht, die Datei ist nicht vorhanden.

-bash: /etc/fcron.daily/openvpn-crl-updater: No such file or directory

[lenny]

08:09 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

08:09 TLS_ERROR: BIO read tls_read_plaintext error

08:09 TLS Error: TLS object -> incoming plaintext read error

08:09 TLS Error: TLS handshake failed

08:09 SIGUSR1[soft,tls-error] received, process restarting

08:09 SIGINT[hard,init_instance] received, process exiting

[ummeegge]

Mmhh, die sollte eigentlich schon da sein die ist Bestandteil vom Kernsystem. Kann es sein das du im fcron.daily mal aufgeräumt hast ?
Du kannst sie dir hier laden --> https://raw.githubusercontent.com/ipfir ... rl-updater , um potentielle Windows Editor Zeilenumbruchprobleme vorzubeugen geht auch folgendes:

Code: Select all

cd /etc/fcron.daily
wget https://raw.githubusercontent.com/ipfire/ipfire-2.x/master/config/ovpn/openvpn-crl-updater
chmod 750 openvpn-crl-updater

und dann die Kommandos von oben nochmal probieren bzw. schauen ob das VPN wieder will.

@lenny
schau mal bitte nach der VERIFY Zeile...

UE

[G666]

Nein da habe ich nichts gelöscht, mein System ist recht frisch. Das Update von 127 auf 128 ist fehlgeschlagen und mein System nicht mehr hochgefahren. Danach musste ich es neu installieren.

Apr 5 09:50:35 Homeserver openvpn: CRL has been updated

Läuft, das war mein Fehler.

Danke.

[lenny]

Nein da habe ich nichts gelöscht, mein System ist recht frisch. Das Update von 127 auf 128 ist fehlgeschlagen und mein System nicht mehr hochgefahren. Danach musste ich es neu installieren.

deckt sich auch mit mir, frische Installation mit eingespieltem Backup


08:09 TLS_ERROR: BIO read tls_read_plaintext error

08:09 TLS Error: TLS object -> incoming plaintext read error

[ummeegge]

Ihr hatte beide ein frisch installiertes Core 128 und das CRL Skript unter /etc/fcron.daily hat gefehlt ? Checks du das bei dir auch nochmal gegen lenny ?

Grüsse,

UE

[lenny]

C128 - Frisch installiert, JA!
Checke ich gerne, jedoch ohne VPN Verbindung, erst heute Nachmittag bin echt gespannt, gerade, weil es bis gestern auch noch wunderbar funktionierte.
Danke schon mal für die schnelle Hilfe!

[ummeegge]

Jo gerne,
mit OpenSSL-1.1.0 wurde das CRL handling ausgebaut und muss seit dem vom OpenVPN gemacht werden weswegen das Skript da ist. Die CRL ist mehrere Tage gültig bis sie abläuft von daher taucht das Problem nicht sofort auf.

Im Core 129 hab ich gerade mal in der DEV Umgebung geschaut und das Skript ist da vorhanden. Wenn das Problem bei dir lenny das selbe ist, mach ich mir mal ein Core 128 in der VM auf und check das gegen...

Grüsse,

UE

[G666]

Die Idee mit der VM finde ich gut und habe das mal getestet. Ausprobiert habe ich ipfire-2.21.x86_64-full-core128.iso und habe extra den openVPN Server gestartet aber die Datei fehlt auch da. Es war nur trim und info.txt vorhanden.

[lenny]

yeah. Dankeschön!
dann waren wir wohl die ersten, wo es ausgetimed ist

[ummeegge]

Hab mal einen File gebugged --> https://bugzilla.ipfire.org/show_bug.cgi?id=12039 .

Grüssle,

UE