Upgrade von 19.7 zu 20.1 OpenVPN funktioniert nicht mehr

Started by firebl, April 01, 2020, 01:21:03 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 01, 2020, 01:21:03 AM Last Edit: April 03, 2020, 02:27:44 PM by firebl
Guten Tag zusammen,

ich nutze Opnsense und baue per pppoe über einen Vigor165 eine DSL Verbindung auf. Von Unterwegs greife ich per OpenVPN und DDNS auf das Netzwerk zu. Seit dem Upgrade von 19.7 zu 20.7 bekomme ich von Ausserhalb nur noch TLS Fehler. Was genau hat sich durch das Upgrade verändert? Sind Einstellungen hinzu gekommen?
Ein Neuaufsetzen der Opnsense kommt aus Zeitgründen aktuell nicht in Frage, daher hoffe ich, das dieses Problem vlt auch so gelöst werden kann.

Viele Grüße
Johannes
April 01, 2020, 08:40:05 AM #1
Glaskugel gerade in Wartung, was für TLS Fehler im Detail bekommst du denn?
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
April 01, 2020, 08:45:21 AM #2
Es geht um 20.1.x, oder?


Grüsse
Franco
April 03, 2020, 02:32:06 PM #3 Last Edit: April 04, 2020, 07:15:02 AM by firebl
Korrekt es geht um 20.1


Das mit der Glaskugel ist korrekt. Ich hoffte darauf, dass es da eine bekannte Änderung o.Ä. beim Übergang zu dieser Version gibt.

Der Fehler aus Client sicht ist Error message: mbed TLS:SSL read error: X509 - Certificate verification failed. e.g. CRL, CA or signature check failed.

Bei den Clients habe ich bereits die VPN Verbindung gelöscht und mit einem neu herunter geladenen Client-Export-Verzeichnis wieder erstellt. Keine Besserung.

Hier scheint also eine Einstellung in der Opnsense verändert worden zu sein durch das Update.

€dit:
Die Windows OpenVPN-App zeigt an, dass das Zertifikat abgelaufen sei. Wie kann ich das erneuern?
April 04, 2020, 10:43:05 AM #4
So ein paar mehr Angaben wären nett.
Welches Zertifikat. Das Server oder das der CA?
April 12, 2020, 07:49:15 AM #5
Hallo,

ich habe das Problem selbst finden können :)

Es hatte garnichts mit dem Upgrade zu tun, der Zeitpunkt war Zufall.

Ich nutze eine interne CA für die TLS authentifizierung. Deren root Zertifikat ist ungefähr zum gleichen Zeitpunkt abgelaufen, da ich nur 365 Tage gewählt hatte. Daher wurde auch das Benutzer Zertifikat des OpenVPN Nutzers ungültig.

Nachdem ich kurzerhand die CA sowie den Benutzer neuerstellt habe, läuft der VPN jetzt wieder :)

Das Zertifikat des Web access ist auch abgelaufen, lässt sich dies irgendwie erneuern?
April 14, 2020, 08:07:53 PM #6
QuoteDas Zertifikat des Web access ist auch abgelaufen, lässt sich dies irgendwie erneuern?

Ja du kannst ein neues Zertifikat so wie du es für den VPN gemacht hast generien mit deiner bestehen CA. Und unter System -> Einstellungen -> Verwaltung

Punkt: SSL Zertifikat

kannst du das Zertifikat für die Webgui / Webserver setzen.
Print
Go Up Pages1
User actions