21.1.2 mit LibreSSL: OpenVPN defekt

Started by t-i-m, January 27, 2021, 09:22:28 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 27, 2021, 09:22:28 AM Last Edit: February 24, 2021, 03:04:21 PM by t-i-m
Hallo zusammen,

ich bin der Neue. :-)

Nach dem Update auf 20.7.8 hat es meinen OpenVPN-Server zerlegt. Er weigert sich beharrlich Client-Zertifikate zu validieren:

Code Select
openvpn[60369]: [IP entfernt]:54698 TLS: Initial packet from [AF_INET][IP entfernt]:54698, sid=aa06c2ae 33a59729
openvpn[60369]: [IP entfernt]:54698 OpenSSL: error:1404A416:SSL routines:ST_ACCEPT:sslv3 alert certificate unknown
openvpn[60369]: [IP entfernt]:54698 OpenSSL: error:14FFF086:SSL routines:(UNKNOWN)SSL_internal:certificate verify failed
openvpn[60369]: [IP entfernt]:54698 TLS_ERROR: BIO read tls_read_plaintext error
openvpn[60369]: [IP entfernt]:54698 TLS Error: TLS object -> incoming plaintext read error
openvpn[60369]: [IP entfernt]:54698 TLS Error: TLS handshake failed
openvpn[60369]: [IP entfernt]:54698 SIGUSR1[soft,tls-error] received, client-instance restarting

Im Rahmen der Fehleranalyse habe ich zwischenzeitlich sogar VPN CA, Client-Zertifikate und den OpenVPN-Server komplett neu erstellt – leider ohne Erfolg.

Da in den Release Notes auf ein Update von LibreSSL hingewiesen wird und dieses Update auch mit der Validierung von $_dingen zu tun hat, habe ich im nächsten Schritt das Basissystem von LibreSSL auf OpenSSL gedreht. Und siehe da: OpenVPN läuft wieder.

Gibt es hierzu irgendwelche Erkenntnisse oder bin ich ein bedauerlicher Einzellfall?

Danke und viele Grüße
Tim

EDIT: Version im Subject angepasst. Problem besteht jetzt (auch) in 21.1.2.
January 27, 2021, 09:32:49 AM #1
Hi Tim,

Da scheint es Probleme mit LibreSSL 3.2 zu geben. Von Tor hatte ich das auch mitbekommen.

Die GUI z.B. ist aber fehlerfrei und läuft nun auch mit TLS 1.3.

Aktuell gibt es da leider nur die Möglichkeit die OpenSSL Variante zu verwenden, um dem Problem aus dem Weg zu gehen.

Sobald es ein LibreSSL 3.2 Update gibt werden wir das natürlich hinzufügen.


Grüsse
Franco
January 27, 2021, 11:40:55 AM #2
Hi Franco,

vielen Dank für diese Info!  :)
Ich hatte auch leider schon so etwas in dieser Richtung befürchtet. Also heißt es abwarten und Tee trinken. Mit OpenSSL kann ich temporär gut leben.

Beste Grüße
Tim
February 03, 2021, 09:38:33 AM #3
Oha, da scheint doch einiges im Argen wenn man dem OpenBSD Errata Patch glauben will...

https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/013_libressl.patch.sig

Leider noch kein LibreSSL 3.2.4 in Sicht....


Grüsse
Franco
February 10, 2021, 09:37:37 AM #4
Hi Franco,

hab Deinen Beitrag gerade erst gelesen. Das mit den Notifications hatte ich noch nicht so raus.  :o
Danke für die Info. Dann wundert es ja auch nicht, dass das Update auf 21.1 nicht geholfen hat.

Grüße
Tim
February 24, 2021, 03:01:43 PM #5
Quote from: franco on February 03, 2021, 09:38:33 AM
Leider noch kein LibreSSL 3.2.4 in Sicht....

Mit OPNsense 21.1.2 ist LibreSSL 3.2.4 rein gekommen. Leider hat dieser Version mein Problem auch nicht behoben.
February 24, 2021, 03:04:58 PM #6
Hi Tim,

Danke für die Info.

Nur um sicher zu gehen bitte auch noch OpenVPN Paket neu installieren (System: Firmware: Packages)


Grüsse
Franco
February 24, 2021, 03:05:49 PM #7
Hmm, ach nein, das müsste ja automatisch wechseln wenn du vorher auf OpenSSL warst.
February 24, 2021, 03:11:47 PM #8
Hi Franco,

ja, so ist es. Hab es trotzdem nochmal neu installiert - sicher ist sicher. :-) Leider bringt das auch nichts.

Grüße
Tim
February 24, 2021, 03:12:55 PM #9
Ok, danke, dann vermute ich das wird mit LibreSSl 3.2.x auch nicht mehr besser. :/


Grüsse
Franco
Print
Go Up Pages1
User actions