Ovpn TLS Handshake failed
Ovpn TLS Handshake failed
Moin zusammen,
Ich bekomme plötzlich und ohne jegliche Änderung einen TLS Handshake failed, wenn ich versuche, die Verbindung aufzubauen.
Ich habe auch die Client-Zertifikate gelöscht und neu erstellt, jedoch ohne Erfolg.
Wisst ihr, wo man ansetzen kann?
Dankeschön
Ich bekomme plötzlich und ohne jegliche Änderung einen TLS Handshake failed, wenn ich versuche, die Verbindung aufzubauen.
Ich habe auch die Client-Zertifikate gelöscht und neu erstellt, jedoch ohne Erfolg.
Wisst ihr, wo man ansetzen kann?
Dankeschön
Re: Ovpn TLS Handshake failed
Hallo, ich schließe mich mal hier an. Ich habe gestern gesehen das meine VPN Verbindung nicht mehr geht und dachte das ein Zertifikat abgelaufen ist. Geändert habe ich nichts, am 02.04. um 3Uhr trat das Problem auf. Vielleicht handelt es sich um das selbe Problem.
Hier ein Teil des Logs, vielleicht hilft es.
Hier ein Teil des Logs, vielleicht hilft es.
Code: Select all
03:01:54 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS Error: Unroutable control packet received fro m [AF_INET]1.1.1.1:45470 (si=3 op=P_CONTROL_V1)
03:01:53 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS ERROR: received control packet with stale ses sion-id=58e73d7b 4ce0ff55
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS Error: TLS handshake failed
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS Error: TLS object -> incoming plaintext read error
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS_ERROR: BIO read tls_read_plaintext error
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 OpenSSL: error:1417C086:SSL routines:tls_process_ client_certificate:certificate verify failed
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS: Initial packet from [AF_INET]1.1.1.1: 45470, sid=431fc2dd 1101980f
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIV E reinit_src=1
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS Error: TLS handshake failed
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS Error: TLS object -> incoming plaintext read error
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS_ERROR: BIO read tls_read_plaintext error
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 OpenSSL: error:1417C086:SSL routines:tls_process_ client_certificate:certificate verify failed
03:01:50 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
03:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS: soft reset sec=0 bytes=511744/-1 pkts=1880/0
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RS A-AES256-GCM-SHA384, 2048 bit RSA
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 Incoming Data Channel: Cipher 'AES-256-CBC' initi alized with 256 bit key
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 Outgoing Data Channel: Cipher 'AES-256-CBC' initi alized with 256 bit key
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_TCPNL=1
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_COMP_STUBv2=1
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_COMP_STUB=1
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_LZO=1
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_LZ4v2=1
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_LZ4=1
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_PROTO=2
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_PLAT=linux
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 peer info: IV_VER=2.4.5
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 VERIFY OK: depth=0, C=DE, O=IPFirexxx, CN=yyy
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 VERIFY SCRIPT OK: depth=0, C=DE, O=IPFirexxx, CN=xopenVPNx
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 VERIFY OK: depth=1, C=DE, O=IPFirexxx, CN=IPF irexxx CA
02:01:49 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 VERIFY SCRIPT OK: depth=1, C=DE, O=IPFirexxx, CN=IPFirexxx CA
02:01:48 openvpnserver[15601]: xopenVPNx/1.1.1.1:45470 TLS: tls_process: killed expiring key
Re: Ovpn TLS Handshake failed
Hallo zusammen,
@G666
kannst du mal folgendes auf der console ausführen
und dann ein
und das Ergebnis (wenn vorhanden) posten ?
@lenny
schau mal ob es da noch mehr infos im Log gibt. Bei G666 ist das hier
ein Hinweis...
Grüsse,
UE
@G666
kannst du mal folgendes auf der console ausführen
Code: Select all
/etc/fcron.daily/openvpn-crl-updater
Code: Select all
grep CRL /var/log/messages
@lenny
schau mal ob es da noch mehr infos im Log gibt. Bei G666 ist das hier
Code: Select all
VERIFY ERROR: depth=0, error=CRL has expired: C=D E, O=IPFirexxx, CN=xopenVPNx
Grüsse,
UE
Re: Ovpn TLS Handshake failed
Klingt interessant, bei mir ist es auch erst seit gestern!
Ich schaue später Zuhause Mal...
Ich schaue später Zuhause Mal...
Re: Ovpn TLS Handshake failed
Das geht bei mir nicht, die Datei ist nicht vorhanden.
-bash: /etc/fcron.daily/openvpn-crl-updater: No such file or directory
-bash: /etc/fcron.daily/openvpn-crl-updater: No such file or directory
Re: Ovpn TLS Handshake failed
08:09 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
08:09 TLS_ERROR: BIO read tls_read_plaintext error
08:09 TLS Error: TLS object -> incoming plaintext read error
08:09 TLS Error: TLS handshake failed
08:09 SIGUSR1[soft,tls-error] received, process restarting
08:09 SIGINT[hard,init_instance] received, process exiting
08:09 TLS_ERROR: BIO read tls_read_plaintext error
08:09 TLS Error: TLS object -> incoming plaintext read error
08:09 TLS Error: TLS handshake failed
08:09 SIGUSR1[soft,tls-error] received, process restarting
08:09 SIGINT[hard,init_instance] received, process exiting
Re: Ovpn TLS Handshake failed
Mmhh, die sollte eigentlich schon da sein die ist Bestandteil vom Kernsystem. Kann es sein das du im fcron.daily mal aufgeräumt hast
?
Du kannst sie dir hier laden --> https://raw.githubusercontent.com/ipfir ... rl-updater , um potentielle Windows Editor Zeilenumbruchprobleme vorzubeugen geht auch folgendes:
und dann die Kommandos von oben nochmal probieren bzw. schauen ob das VPN wieder will.
@lenny
schau mal bitte nach der VERIFY Zeile...
UE

Du kannst sie dir hier laden --> https://raw.githubusercontent.com/ipfir ... rl-updater , um potentielle Windows Editor Zeilenumbruchprobleme vorzubeugen geht auch folgendes:
Code: Select all
cd /etc/fcron.daily
wget https://raw.githubusercontent.com/ipfire/ipfire-2.x/master/config/ovpn/openvpn-crl-updater
chmod 750 openvpn-crl-updater
@lenny
schau mal bitte nach der VERIFY Zeile...
UE
Re: Ovpn TLS Handshake failed
Nein da habe ich nichts gelöscht, mein System ist recht frisch. Das Update von 127 auf 128 ist fehlgeschlagen und mein System nicht mehr hochgefahren. Danach musste ich es neu installieren.
Apr 5 09:50:35 Homeserver openvpn: CRL has been updated
Läuft, das war mein Fehler.
Danke.
Apr 5 09:50:35 Homeserver openvpn: CRL has been updated
Läuft, das war mein Fehler.
Danke.
Re: Ovpn TLS Handshake failed
deckt sich auch mit mir, frische Installation mit eingespieltem BackupNein da habe ich nichts gelöscht, mein System ist recht frisch. Das Update von 127 auf 128 ist fehlgeschlagen und mein System nicht mehr hochgefahren. Danach musste ich es neu installieren.
08:09 TLS_ERROR: BIO read tls_read_plaintext error
08:09 TLS Error: TLS object -> incoming plaintext read error
Re: Ovpn TLS Handshake failed
Ihr hatte beide ein frisch installiertes Core 128 und das CRL Skript unter /etc/fcron.daily hat gefehlt ? Checks du das bei dir auch nochmal gegen lenny ?
Grüsse,
UE
Grüsse,
UE
Re: Ovpn TLS Handshake failed
C128 - Frisch installiert, JA!
Checke ich gerne, jedoch ohne VPN Verbindung, erst heute Nachmittag
bin echt gespannt, gerade, weil es bis gestern auch noch wunderbar funktionierte.
Danke schon mal für die schnelle Hilfe!
Checke ich gerne, jedoch ohne VPN Verbindung, erst heute Nachmittag

Danke schon mal für die schnelle Hilfe!
Re: Ovpn TLS Handshake failed
Jo gerne,
mit OpenSSL-1.1.0 wurde das CRL handling ausgebaut und muss seit dem vom OpenVPN gemacht werden weswegen das Skript da ist. Die CRL ist mehrere Tage gültig bis sie abläuft von daher taucht das Problem nicht sofort auf.
Im Core 129 hab ich gerade mal in der DEV Umgebung geschaut und das Skript ist da vorhanden. Wenn das Problem bei dir lenny das selbe ist, mach ich mir mal ein Core 128 in der VM auf und check das gegen...
Grüsse,
UE
mit OpenSSL-1.1.0 wurde das CRL handling ausgebaut und muss seit dem vom OpenVPN gemacht werden weswegen das Skript da ist. Die CRL ist mehrere Tage gültig bis sie abläuft von daher taucht das Problem nicht sofort auf.
Im Core 129 hab ich gerade mal in der DEV Umgebung geschaut und das Skript ist da vorhanden. Wenn das Problem bei dir lenny das selbe ist, mach ich mir mal ein Core 128 in der VM auf und check das gegen...
Grüsse,
UE
Re: Ovpn TLS Handshake failed
Die Idee mit der VM finde ich gut und habe das mal getestet. Ausprobiert habe ich ipfire-2.21.x86_64-full-core128.iso und habe extra den openVPN Server gestartet aber die Datei fehlt auch da. Es war nur trim und info.txt vorhanden.
Re: Ovpn TLS Handshake failed
yeah. Dankeschön!
dann waren wir wohl die ersten, wo es ausgetimed ist
dann waren wir wohl die ersten, wo es ausgetimed ist
