Nach dem Update auf 24.7 starten alle OpenVPN Server nicht mehr...
2024-07-25T17:09:45 Notice openvpn_server1 Exiting due to fatal error
2024-07-25T17:09:45 Error openvpn_server1 FreeBSD ifconfig failed: external program exited with error status: 1
... weiter bin ich noch nicht. Hat jemand das selbe Problem und/oder evtl. eine Lösung?
EDIT:
2024-07-25T17:09:45 Warning openvpn_server1 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.
Ich hatte genau das selbe Problem und dachte mir, kein Problem – schmeißt Du halt die eh als 'legacy' gekennzeichnete alte Variante über Bord und machst das mittels der neuen "Instances".
Leider ist die Anleitung dazu aber auch eher dürftig, insbesondere wenn man Road Warrior OpenVPN machen möchte (ich benötige diese OpenVPN-Verbindungen inkl. 'redirect all traffic' für mein Mobiltelefon und meinen Laptop).
Mir ist ehrlich gesagt unverständlich, wie man so etwas als "release" rausgeben kann, wenn die OpenVPN Server (in der "legacy" Variante) dann plötzlich nicht mehr funktionieren!
Das wäre nicht so dramatisch, wenn es wenigstens eine ausführliche aktuelle Anleitung für die Einrichtung der neuen "Instances" gäbe – diese hier ist jedenfalls alles andere als "vollständig":
https://docs.opnsense.org/manual/how-tos/sslvpn_instance_roadwarrior.html
Ein konkretes Beispiel:
Redirect gateway - Leave empty
If you want all outgoing IP traffic to be redirected over the VPN, you can set the option to default. For this to work, a manual NAT outbound rule must be created.
An keiner Stelle wird dann erläutert, wie genau diese NAT outbound Regel auszusehen hat!
So ist das leider schnell einfach nur "Gefrickel" wie ich das mittlerweile von OPNsense gewohnt bin... :/
pfSense würde sich solche Schnitzer jedenfalls nicht leisten, die mögen sehr träge und "oldschool" unterwegs sein, dafür wird dort aber offensichtlich auch intensiver im Vorfeld getestet.
Wirklich sehr ärgerlich...
Bin gespannt, was hier jetzt die "Lösung" sein wird.
OpenVPN präferiert leider ohne Userkonfiguration DCO wenn es verfügbar ist nun da es in FreeBSD 14.1 läuft, was aber gar nicht funktioniert mit unserer Legacy Implementierung.
https://github.com/opnsense/core/commit/89135cdc
# opnsense-patch 89135cdc
Grüsse
Franco
Danke Franco für die schnelle Rückmeldung.
Wie kann man denn DCO dauerhaft "unterbinden" wenn man weiterhin auf die Legacy-Variante angewiesen sein sollte (bei mir z.B. betrifft das eine ganze Menge von OPNsense-Instanzen).
Und falls es diese Möglichkeit nicht geben sollte, könntet ihr alternativ für die neuere "Instances"-Variante der OpenVPN-Server ausführlichere Anleitungen bereitstellen?
Patch installieren oder "disable-dco" in die Advanced Config. Server/Client neu starten. Fertig.
Die "Instances" sind alle schon darauf getrimmt nur optional DCO zu verwenden.
Das kommt morgen auch als Hotfix.
Grüsse
Franco
ok, vielen Dank für die Info :)
Auf lange Sicht fliegen die legacy Varianten aber wahrscheinlich komplett raus und man wird irgendwann gezwungen sein, auf die neue instances Variante umzustellen?
Wäre es da nicht gut, wenn tatsächlich etwas ausführliche tutorials dazu zur Verfügung stehen würden?
Perspektivisch ja. Praktisch ist es schwer zu sagen wie lange Server/Client noch enthalten sein werden. Features werden dort keine mehr angenommen. Und sowohl der Code als auch die Docs können in dieser Zeit noch erweitert werden. Mindestens 2025, aber Legacy IPsec ist ja vorher noch Thema... ;)
Grüsse
Franco
Erst mal viele Dank für den Backround. Sehe das wieMarcel_75, undokumentiert ist das schon recht übel und auch die Logs (Debugging) sind leider keine Hilfe dazu. Also auf den Hotfix warten... :)
> undokumentiert ist das schon recht übel
Ist leider nur so gut dokumentiert wie der Grossteil das möchte. ;)
Bei DCO bin ich leider gespalten über Handhabung, dass es OpenVPN einfach versucht zu aktivieren, aber nicht alle Rahmenbedingungen abklappert. Eine davon übrigens diese hier:
https://github.com/OpenVPN/openvpn/commit/82036c17
Hotfix ist jetzt freigegeben.
Grüsse
Franco
Habe es jetzt mittlerweile am laufen mit der neuen "Instances"-Variante.
Bei Interesse kann ich das auch mal (inklusive aussagekräftiger Screenshots) hier dokumentieren, das würde dem einen oder anderen User, der nicht so tief in der Materie drin steckt, sicher helfen (mich eingeschlossen). ;)
Also mein Road Warrior OpenVPN funktioniert jetzt wieder problemlos, wobei es drei "warnings" im log gibt, deren Bedeutung / Ursache mir nicht ganz klar sind (wahrscheinlich kann ich diese ignorieren)?
2024-07-26T09:13:03 Warning openvpn_server1 •••.•••.•••.•••:12392 CRL: cannot read CRL from file /var/etc/openvpn/server-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.crl-verify
2024-07-26T09:13:03 Warning openvpn_server1 •••.•••.•••.•••:12392 OpenSSL: error:0480006C:PEM routines::no start line:
2024-07-26T09:13:03 Warning openvpn_server1 •••.•••.•••.•••:12392 OpenSSL: error:0308010C:digital envelope routines::unsupported:Global default library context, Algorithm (none : 0), Properties (<null>)
Datei vielleicht leer? Alle 3 Fehler beziehen sich darauf.
Grüsse
Franco
Eigentlich nicht, in /var/etc/openvpn ist die Datei server-••••••••-••••-••••-••••-••••••••••••.crl-verify vorhanden und die hat auch einen Inhalt:
-----BEGIN X509 CRL-----
MIIC+DCB4z••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••Xk1hU=
-----END X509 CRL-----
Sieht (jetzt) gut aus. Vielleicht war die Datei beim ersten Mal nicht geschrieben und es kam der Fehler. Eine Race Condition zwischen den Subsystemen OpenVPN und Trust vielleicht?
Grüsse
Franco
Diese 'warnings' bekomme ich halt wie gesagt trotzdem in den logs...
Bin halt kein Entwickler, ob da jetzt ein 'race condition' oder ähnliches vorliegt, kann ich nicht einschätzen leider.
Aber vllt. sollte sich das dann ein Entwickler doch mal genauer ansehen?
> Aber vllt. sollte sich das dann ein Entwickler doch mal genauer ansehen?
Noch genauer? :)
Ich glaube an dieser Stelle macht es Sinn ein Ticket zu erstellen.
Grüsse
Franco
ok :)
PS: Diese warnings verschwinden übrigens komplett, wenn man die "Certificate Revocation List" auf 'none' stellt, also deaktiviert.
Das Thema gab es ja schon mal vor ein paar Jahren, siehe:
https://forum.opnsense.org/index.php?topic=30569.0
Vielen Dank Franco, für den schnellen und erstklassigen Support!
Ich habe heute ein Backup 24.1 auf Update (Hotfix) 24.7_5 hochgezogen, OpenVPN Server starten wieder. In den Logs habe ich allerdings keine Warungen wie Marcel_75, scheint alles i.O. zu sein.
Die DCO-Funktion ist aber nicht im GUI zu finden, also wurde nur im Code geändert?
Die DCO Funktion gibt es nicht für legacy sondern nur für die neuen instances.
Alles klar. Dann nochmal vielen Dank an euch. 8)
> Vielen Dank Franco, für den schnellen und erstklassigen Support!
Gerne. Ich spreche mal mit den OpenVPN Entwicklern über das Verhalten. Scheint mir korrekturbedürftig damit niemand anderes darüber stolpert in Zukunft.
Grüsse
Franco