OPNsense Forum

International Forums => German - Deutsch => Topic started by: Meditux on October 05, 2022, 03:27:35 pm

Title: OPNsense 22.7.5 Rückkehr des Fehlers Peer Certificate Revocation List
Post by: Meditux on October 05, 2022, 03:27:35 pm
Hi Leute,

leider ist nach dem Update von OPNsense 22.7.4 auf Version OPNsense 22.7.5 wieder der alte Fehler mit dem Laden der Peer Certificate Revocation List am Start.

Der Fehler bezieht sich auf OpenVPN.

Als Workaround hilft es die Peer Certificate Revocation List zu deaktivieren.

CRL: cannot read CRL from file /var/etc/openvpn/server1.crl-verify

Das Update lief sauber durch, keine weiteren Fehler feststellbar.

Gruß Meditux
Title: Re: OPNsense 22.7.5 Rückkehr des Fehlers Peer Certificate Revocation List
Post by: robgnu on October 06, 2022, 09:32:25 am
Kann den Fehler bestätigen... Musste die Liste auch gerade deaktivieren...
Title: Re: OPNsense 22.7.5 Rückkehr des Fehlers Peer Certificate Revocation List
Post by: franco on October 06, 2022, 10:45:47 am
Vorerst...

# opnsense-patch 1ba8910df4d6


Grüsse
Franco
Title: Re: OPNsense 22.7.5 Rückkehr des Fehlers Peer Certificate Revocation List
Post by: franco on October 06, 2022, 01:03:45 pm
Es wird wohl unweigerlich noch ein CRL Update geben nachdem das generelle Problem identifiziert wurde:

Eine CRL wird beim Erstellen nicht abgespeichert, sondern erst wenn ein Zertifikat hinzugefügt wird. Das Problem beseht schon seit 22.1 und vermutlich lang davor, kam aber durch Seiteneffekte nicht zum Tragen, siehe Patch aus 22.7.5 der schon erwähnt wurde:

https://github.com/opnsense/core/commit/1ba8910df4d6

Die CRL Situation ist generell nicht zufriedenstellend. Die ursprüngliche Implementation wird nun vollständig isoliert auf der CRL Manager Seite, was auch bedeutet, dass leere CRL's in keiner Form mehr als Seiteneffekt erzeugt oder "repariert" werden.

Hat man eine kaputte CRL im OpenVPN so kann (und konnte man schon viele Jahre) die gespeicherte CRL in der config.xml reparieren indem ein Zertifikat hinzufügt wird. Will man kein Blinkzertifikat erstellen dafür kann man ein beliebiges nehmen und danach gleich wieder entfernen. Das führt dann zu einem Zustand den die CRL eigentlich bei der Erstellung schon gehabt haben sollte und den OpenVPN akzeptiert.


Grüsse
Franco
Title: Re: OPNsense 22.7.5 Rückkehr des Fehlers Peer Certificate Revocation List
Post by: Meditux on October 06, 2022, 02:10:13 pm
Hi Franco,

der Patch (# opnsense-patch 1ba8910df4d6) funktioniert! Danke für die ausführliche Beschreibung.

Ich bin sicherheitshalber noch einmal den aufgezeigten Weg über das zurückgezogene Dummy-Zertifikat gefolgt.

Gruß Meditux
Title: Re: OPNsense 22.7.5 Rückkehr des Fehlers Peer Certificate Revocation List
Post by: franco on October 06, 2022, 02:20:53 pm
Hi Meditux,

Dann sollte es mit dem erneuten Patch auch klappen, oder

# opnsense-revert opnsense

(Falls ein Testzeitfenster zur Verfügung steht.)


Danke
Franco
Title: Re: OPNsense 22.7.5 Rückkehr des Fehlers Peer Certificate Revocation List
Post by: coolmint on October 06, 2022, 02:55:13 pm
Vorerst...

# opnsense-patch 1ba8910df4d6


Grüsse
Franco

Der Patch hat funktioniert (ohne Dummy-Zertifikat), hatte ebenfalls erneut das 'CRL-Problem' nach dem letzten Update.

Vielen Dank!

Grüsse
coolmint
Title: Re: OPNsense 22.7.5 Rückkehr des Fehlers Peer Certificate Revocation List
Post by: Meditux on October 06, 2022, 03:23:22 pm
Hi Meditux,

Dann sollte es mit dem erneuten Patch auch klappen, oder

# opnsense-revert opnsense

(Falls ein Testzeitfenster zur Verfügung steht.)


Danke
Franco


Message from opnsense-22.7.5:

--
Yes, I'm back in black

und die VPN läuft ohne Probleme!

Gruß und Dank Meditux