Messages

Hello,

We are on OPNsense 22.1.6-amd64 with OpenSSL and facing this problem, too.

Our Nextcloud is a plain stand-alone installation, no NAS plugin, Docker or something else.

The Nextcloud's certificate was created with our OPNsense internal CA. Nevertheless the backup on our Nextcloud fails with "ssl_verify_result":20.

A quick test via SSH with curl und openssl s_client also fails.

Code Select Expand

curl: (60) SSL certificate problem: unable to get local issuer certificate

openssl: Verify return code: 21 (unable to verify the first certificate)

As the Nextcloud's certificate was provided by OPNsense internal CA it looks like OPNsense doesn't trust itself anymore.

THX
Tim

Hi Franco,

ja, so ist es. Hab es trotzdem nochmal neu installiert - sicher ist sicher. :-) Leider bringt das auch nichts.

Grüße
Tim

Leider noch kein LibreSSL 3.2.4 in Sicht....

Mit OPNsense 21.1.2 ist LibreSSL 3.2.4 rein gekommen. Leider hat dieser Version mein Problem auch nicht behoben.

"File Only" ist die einfachste und zuverlässigste Variante, wenn Du den offiziellen OpenVPN-Client nutzen willst.

Hi Franco,

hab Deinen Beitrag gerade erst gelesen. Das mit den Notifications hatte ich noch nicht so raus.  :o
Danke für die Info. Dann wundert es ja auch nicht, dass das Update auf 21.1 nicht geholfen hat.

Grüße
Tim

Wichtig wäre sicher noch, dass die OpnSense auf einem ESXi V6.5 virtualisiert läuft. Die beiden NIC sind aber entsprechend an die VM weitergeleitet und min. der LAN-Port funktioniert ja auch.

Muss das VLAN dann nicht auch irgendwie ESX-seitig konfiguriert sein?

Grüße
Tim

Hi Franco,

vielen Dank für diese Info!  :)
Ich hatte auch leider schon so etwas in dieser Richtung befürchtet. Also heißt es abwarten und Tee trinken. Mit OpenSSL kann ich temporär gut leben.

Beste Grüße
Tim

Hallo zusammen,

ich bin der Neue. :-)

Nach dem Update auf 20.7.8 hat es meinen OpenVPN-Server zerlegt. Er weigert sich beharrlich Client-Zertifikate zu validieren:

Code Select Expand

openvpn[60369]: [IP entfernt]:54698 TLS: Initial packet from [AF_INET][IP entfernt]:54698, sid=aa06c2ae 33a59729
openvpn[60369]: [IP entfernt]:54698 OpenSSL: error:1404A416:SSL routines:ST_ACCEPT:sslv3 alert certificate unknown
openvpn[60369]: [IP entfernt]:54698 OpenSSL: error:14FFF086:SSL routines:(UNKNOWN)SSL_internal:certificate verify failed
openvpn[60369]: [IP entfernt]:54698 TLS_ERROR: BIO read tls_read_plaintext error
openvpn[60369]: [IP entfernt]:54698 TLS Error: TLS object -> incoming plaintext read error
openvpn[60369]: [IP entfernt]:54698 TLS Error: TLS handshake failed
openvpn[60369]: [IP entfernt]:54698 SIGUSR1[soft,tls-error] received, client-instance restarting

Im Rahmen der Fehleranalyse habe ich zwischenzeitlich sogar VPN CA, Client-Zertifikate und den OpenVPN-Server komplett neu erstellt – leider ohne Erfolg.

Da in den Release Notes auf ein Update von LibreSSL hingewiesen wird und dieses Update auch mit der Validierung von $_dingen zu tun hat, habe ich im nächsten Schritt das Basissystem von LibreSSL auf OpenSSL gedreht. Und siehe da: OpenVPN läuft wieder.

Gibt es hierzu irgendwelche Erkenntnisse oder bin ich ein bedauerlicher Einzellfall?

Danke und viele Grüße
Tim

EDIT: Version im Subject angepasst. Problem besteht jetzt (auch) in 21.1.2.