OPNsense Update 24.7 - OpenVPN Server starten nicht mehr...

Started by Mabub, July 25, 2024, 05:17:29 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
July 25, 2024, 05:17:29 PM Last Edit: July 25, 2024, 05:22:10 PM by Mabub
Nach dem Update auf 24.7 starten alle OpenVPN Server nicht mehr...

2024-07-25T17:09:45   Notice   openvpn_server1   Exiting due to fatal error   
2024-07-25T17:09:45   Error   openvpn_server1   FreeBSD ifconfig failed: external program exited with error status: 1

... weiter bin ich noch nicht. Hat jemand das selbe Problem und/oder evtl. eine Lösung?

EDIT:
2024-07-25T17:09:45   Warning   openvpn_server1   DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.

July 25, 2024, 10:02:09 PM #1 Last Edit: July 25, 2024, 10:13:44 PM by Marcel_75
Ich hatte genau das selbe Problem und dachte mir, kein Problem – schmeißt Du halt die eh als 'legacy' gekennzeichnete alte Variante über Bord und machst das mittels der neuen "Instances".

Leider ist die Anleitung dazu aber auch eher dürftig, insbesondere wenn man Road Warrior OpenVPN machen möchte (ich benötige diese OpenVPN-Verbindungen inkl. 'redirect all traffic' für mein Mobiltelefon und meinen Laptop).

Mir ist ehrlich gesagt unverständlich, wie man so etwas als "release" rausgeben kann, wenn die OpenVPN Server (in der "legacy" Variante) dann plötzlich nicht mehr funktionieren!

Das wäre nicht so dramatisch, wenn es wenigstens eine ausführliche aktuelle Anleitung für die Einrichtung der neuen "Instances" gäbe – diese hier ist jedenfalls alles andere als "vollständig":

https://docs.opnsense.org/manual/how-tos/sslvpn_instance_roadwarrior.html

Ein konkretes Beispiel:

Redirect gateway - Leave empty

If you want all outgoing IP traffic to be redirected over the VPN, you can set the option to default. For this to work, a manual NAT outbound rule must be created.

An keiner Stelle wird dann erläutert, wie genau diese NAT outbound Regel auszusehen hat!

So ist das leider schnell einfach nur "Gefrickel" wie ich das mittlerweile von OPNsense gewohnt bin... :/

pfSense würde sich solche Schnitzer jedenfalls nicht leisten, die mögen sehr träge und "oldschool" unterwegs sein, dafür wird dort aber offensichtlich auch intensiver im Vorfeld getestet.

Wirklich sehr ärgerlich...

Bin gespannt, was hier jetzt die "Lösung" sein wird.
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
July 25, 2024, 10:11:02 PM #2
OpenVPN präferiert leider ohne Userkonfiguration DCO wenn es verfügbar ist nun da es in FreeBSD 14.1 läuft, was aber gar nicht funktioniert mit unserer Legacy Implementierung.

https://github.com/opnsense/core/commit/89135cdc

# opnsense-patch 89135cdc


Grüsse
Franco
July 25, 2024, 10:17:28 PM #3
Danke Franco für die schnelle Rückmeldung.

Wie kann man denn DCO dauerhaft "unterbinden" wenn man weiterhin auf die Legacy-Variante angewiesen sein sollte (bei mir z.B. betrifft das eine ganze Menge von OPNsense-Instanzen).

Und falls es diese Möglichkeit nicht geben sollte, könntet ihr alternativ für die neuere "Instances"-Variante der OpenVPN-Server ausführlichere Anleitungen bereitstellen?
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
July 25, 2024, 10:21:05 PM #4
Patch installieren oder "disable-dco" in die Advanced Config. Server/Client neu starten. Fertig.

Die "Instances" sind alle schon darauf getrimmt nur optional DCO zu verwenden.

Das kommt morgen auch als Hotfix.


Grüsse
Franco
July 25, 2024, 10:24:11 PM #5
ok, vielen Dank für die Info  :)

Auf lange Sicht fliegen die legacy Varianten aber wahrscheinlich komplett raus und man wird irgendwann gezwungen sein, auf die neue instances Variante umzustellen?

Wäre es da nicht gut, wenn tatsächlich etwas ausführliche tutorials dazu zur Verfügung stehen würden?
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
July 25, 2024, 10:28:30 PM #6
Perspektivisch ja. Praktisch ist es schwer zu sagen wie lange Server/Client noch enthalten sein werden. Features werden dort keine mehr angenommen. Und sowohl der Code als auch die Docs können in dieser Zeit noch erweitert werden. Mindestens 2025, aber Legacy IPsec ist ja vorher noch Thema... ;)


Grüsse
Franco
July 25, 2024, 11:32:17 PM #7
Erst mal viele Dank für den Backround. Sehe das wieMarcel_75, undokumentiert ist das schon recht übel und auch die Logs (Debugging) sind leider keine Hilfe dazu. Also auf den Hotfix warten... :)
July 26, 2024, 09:01:31 AM #8
> undokumentiert ist das schon recht übel

Ist leider nur so gut dokumentiert wie der Grossteil das möchte. ;)

Bei DCO bin ich leider gespalten über Handhabung, dass es OpenVPN einfach versucht zu aktivieren, aber nicht alle Rahmenbedingungen abklappert. Eine davon übrigens diese hier:

https://github.com/OpenVPN/openvpn/commit/82036c17

Hotfix ist jetzt freigegeben.


Grüsse
Franco
July 26, 2024, 09:19:18 AM #9
Habe es jetzt mittlerweile am laufen mit der neuen "Instances"-Variante.

Bei Interesse kann ich das auch mal (inklusive aussagekräftiger Screenshots) hier dokumentieren, das würde dem einen oder anderen User, der nicht so tief in der Materie drin steckt, sicher helfen (mich eingeschlossen).  ;)

Also mein Road Warrior OpenVPN funktioniert jetzt wieder problemlos, wobei es drei "warnings" im log gibt, deren Bedeutung / Ursache mir nicht ganz klar sind (wahrscheinlich kann ich diese ignorieren)?

Code Select
2024-07-26T09:13:03 Warning openvpn_server1 •••.•••.•••.•••:12392 CRL: cannot read CRL from file /var/etc/openvpn/server-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.crl-verify
2024-07-26T09:13:03 Warning openvpn_server1 •••.•••.•••.•••:12392 OpenSSL: error:0480006C:PEM routines::no start line:
2024-07-26T09:13:03 Warning openvpn_server1 •••.•••.•••.•••:12392 OpenSSL: error:0308010C:digital envelope routines::unsupported:Global default library context, Algorithm (none : 0), Properties (<null>)
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
July 26, 2024, 09:31:47 AM #10
Datei vielleicht leer? Alle 3 Fehler beziehen sich darauf.


Grüsse
Franco
July 26, 2024, 10:48:24 AM #11
Eigentlich nicht, in /var/etc/openvpn ist die Datei server-••••••••-••••-••••-••••-••••••••••••.crl-verify vorhanden und die hat auch einen Inhalt:

Code Select
-----BEGIN X509 CRL-----
MIIC+DCB4z••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
••••••••••••••••••••••••••••••••••••••••••••••••••••••Xk1hU=
-----END X509 CRL-----
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
July 26, 2024, 11:00:49 AM #12
Sieht (jetzt) gut aus. Vielleicht war die Datei beim ersten Mal nicht geschrieben und es kam der Fehler. Eine Race Condition zwischen den Subsystemen OpenVPN und Trust vielleicht?


Grüsse
Franco
July 26, 2024, 11:02:41 AM #13
Diese 'warnings' bekomme ich halt wie gesagt trotzdem in den logs...

Bin halt kein Entwickler, ob da jetzt ein 'race condition' oder ähnliches vorliegt, kann ich nicht einschätzen leider.

Aber vllt. sollte sich das dann ein Entwickler doch mal genauer ansehen?
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
July 26, 2024, 11:11:08 AM #14
> Aber vllt. sollte sich das dann ein Entwickler doch mal genauer ansehen?

Noch genauer? :)

Ich glaube an dieser Stelle macht es Sinn ein Ticket zu erstellen.


Grüsse
Franco
Print
Go Up Pages1 2
User actions