[Solved] Nach Stromausfall funktioniert der VPN Server nicht mehr richtig...

Started by inkasso, June 25, 2021, 11:37:07 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 25, 2021, 11:37:07 AM Last Edit: June 28, 2021, 08:32:09 AM by inkasso
und auch, wenn es schon ein Klischee ist: ich hab nichts gemacht! ;)

Die Konfiguration funktionierte einwandfrei bis vor dem Stromausfall. Danach waren VPN Verbindungen zur Sense plötzlich nicht mehr möglich. Auf der Sense sah ich, dass der Service gar nicht lief. Starten funktionierte nicht.

Im Log stand etwas davon, dass auf die Zertifikatsdatei unter /var/etc/openvpn/server1.cert nicht zugegriffen werden könne. Also dachte ich mir: tauschen wir das Server Zertifikat der Konfiguration 1x aus, speichern, stellen es wieder zurück... Danach wird er wohl alle Dateien neu erzeugt haben, die er braucht. Half auch nix.

Anschließend hab ich mir die Konfigurations-History angesehen und hatte eine automatische Änderung durch ein Script drin:

(system): /usr/local/opnsense/mvc/script/run_migrations.php made changes

Das war die einzige Änderung vor den Problemen heute, also hab ich die Konfiguration mal zurückgesetzt auf den Stand vor dieser Änderung. Danach hab ich die Firewall neu gestartet.

VPN Server startet nun und meckert nicht mehr. Leider können die Clients sich nicht verbinden und ich weiß nicht warum. Auf der Server-Seite sieht man die eingehenden Verbindungen mit einer späteren Meldung, dass der TLS-Handshake einen Timeout hätte.

Auf der ClientSeite bekomme ich:

Code Select
2021-06-25 10:28:47 TCP/UDP: Preserving recently used remote address: [AF_INET]***.**.***.***:1194
2021-06-25 10:28:47 UDP link local (bound): [AF_INET][undef]:0
2021-06-25 10:28:47 UDP link remote: [AF_INET]***.**.***.***:1194
2021-06-25 10:28:47 VERIFY ERROR: depth=0, error=self signed certificate: C=NL, ST=Zuid-Holland, L=Middelharnis, O=OPNsense, serial=463518504637238763134003138908402031171473038652
2021-06-25 10:28:47 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2021-06-25 10:28:47 TLS_ERROR: BIO read tls_read_plaintext error
2021-06-25 10:28:47 TLS Error: TLS object -> incoming plaintext read error
2021-06-25 10:28:47 TLS Error: TLS handshake failed
2021-06-25 10:28:47 SIGUSR1[soft,tls-error] received, process restarting


Auf der Serverseite sieht es so aus:
(nicht wundern, ich habs zu unterschiedlichen Zeiten rauskopiert. Die Server-Uhr und die Client-Uhr laufen korrekt)

Code Select
2021-06-25T11:33:16 openvpn[67720] MANAGEMENT: Client disconnected
2021-06-25T11:33:16 openvpn[67720] MANAGEMENT: CMD 'quit'
2021-06-25T11:33:15 openvpn[67720] MANAGEMENT: CMD 'status 2'
2021-06-25T11:33:15 openvpn[67720] MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2021-06-25T11:32:24 openvpn[67720] **.***.***.142:4120 SIGUSR1[soft,tls-error] received, client-instance restarting
2021-06-25T11:32:24 openvpn[67720] **.***.***.142:4120 TLS Error: TLS handshake failed
2021-06-25T11:32:24 openvpn[67720] **.***.***.142:4120 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2021-06-25T11:32:14 openvpn[67720] MANAGEMENT: Client disconnected
2021-06-25T11:32:14 openvpn[67720] MANAGEMENT: CMD 'quit'
2021-06-25T11:32:14 openvpn[67720] MANAGEMENT: CMD 'status 2'
2021-06-25T11:32:13 openvpn[67720] MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2021-06-25T11:31:24 openvpn[67720] **.***.***.142:4120 TLS: Initial packet from [AF_INET]**.***.***.142:4120, sid=2610c3b6 9e31d3c7

Die CA und die Zertifikate, die daraus generiert wurden, sind nicht abgelaufen.
Google brachte mich leider auch nicht wirklich weiter.

Code Select
Versions OPNsense 20.7.8_4-amd64
FreeBSD 12.1-RELEASE-p12-HBSD
OpenSSL 1.1.1i 8 Dec 2020

Ich weiß, die Version ist veraltet. Ein Update ist für übernächste Woche vorgesehen, wenn ich wieder persönlich vor Ort sein kann. Ein Releasewechsel remote ist mir aber zu heiß.

Jemand ne Idee wo es hakt und was ich probieren könnte?

Gruß

Manuel
June 25, 2021, 03:57:39 PM #1
Laut Log liefert dein OVPN Server das Default self signed GUI Zertifikat aus. Sieht mir nicht so sinnvoll aus, ich bezweifle dass die Clients dagegen ausgestellt wurden?
Solang die Clients ne andere CA lokal zum Vergleich haben als du im Server wird das nicht klappen. Das was die Clients haben/wollen muss wieder eingespielt werden und im VPN Server auch ausgewählt werden. :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 26, 2021, 12:57:33 PM #2
Doch wurden sie.. Und ja, ich bin deiner Meinung, dass es dumm ist.

Ich hab ja selbst einen der Clients und hab geschaut, welches Zertifikat erwartet wird. So leicht isses leider nicht.

Klar könnte ich jetzt zum Test mal ein neues SelfSigned erstellen und das dann für den VPN Server nutzen und prüfen ob ich mich damit dann verbinden kann. Bei Erfolg müsste ich dann allerdings allen Clients das neue Zertifikat verteilen und das möchte ich gern vermeiden.
June 28, 2021, 08:06:44 AM #3 Last Edit: June 28, 2021, 08:31:45 AM by inkasso
Ok man merkt da war das Hirn im Wochenend-Modus...

Ich hab die CA überprüft und nicht das Zertifikat. Neues Zertifikat mit der bekannten CA erstellt und zugewiesen => Verbindung wird hergestellt.

Brauch wohl dringend Urlaub. Mein nächstes Problem hat dann ein Neustart gelöst.  ::)

Danke für den Schubs in die richtige Richtung!
June 29, 2021, 11:13:00 PM #4
Kommt vor :)
Aktuell bist du sicher nicht der einzige der Urlaub nötig hätte, ich schließ mich da gern an ;)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions