Fedora 33 a OpenVPN

Vážení spolutrpitelé,
po upgrade na 33 mi na jednom počítači přestala fungovat OpenVPN server a to tak, že z asi 60 klientů se přihlásí pouze 8 a i ti občas vypadávají. Je zvláštní, že ti mlčící klienti jsou připojeni přes mobilní operátory a modemy, zatímco klienti na pevných linkách jsou v pořádku.
V logu OpenVPN mi to píše něco v tom smyslu, že nesouhlasí verze protokolu TLS.
Upgradnul jsem takto 3 počítače, zdánlivě všechno chodilo, nevšiml jsem si, že na jednom mi zmizel klient na VPN síti a upgradnul jsem produkční server s těmi 60 klienty. Zatím tam mám spuštěný downgrade na 32, ještě to nedoběhlo.
Na internetu se dají najít nářky na téma FC 33 a OpenVPN, ale to se týká přechodu na systemd.resolved, to jsem zkoušel a ten běží a všechno se správně resolví.
Co teď? Jestli ten downgrade nepomůže, tak budu muset instalovat zčista dočista včetně fůry aplikací. Achich ouvej.

Problem s certifikaty muze byt zpusobeny kryptografickou politikou viz https://mojefedora.cz/fedora-33-zprisnila-kryptografickou-politiku/

V pripade OpenVPN jsem jeste zaznamenal problemy v kombinaci se systemd-resolved. Bylo by dobre zkontrolovat viz https://fedoramagazine.org/systemd-resolved-introduction-to-split-dns/

Tak si říkám, kdyby tam byla nějaká zásadní chyba, tak by se nepřipojil žádný klient a ne že jich tam 8 zůstane a 55 nic.

No, downgrade dopadl dle očekávání, už jsem nenabůtoval, zcela sveřepá černá obrazovka, ani nouzový režim, jsem zvědav, jestli něco zůstalo na disku, potřeboval bych alespoň /etc/openvpn , /home a /var /www. Naštěstí je záloha aktuální.
Tak mám dnes v noci co dělat.

Jestli část připojí a část ne, tak to dost pravděpodobně vypadá na tu striktnější kryptografickou politiku. Ono se to nezdá, ale VPN se slabými kryptografickými protokoly/metodami je dnes hromada.
Anebo to může být nějaké starší nastavení, třeba slabší certifikát, který má člověk už několik let nastavený a který ta VPN už primárně nepoužívá, ale pořád ho z důvodů kompatibility akceptuje, ale nová politika už ho nedovolí použít.

Po nastavení kryptografické politky z F32 to nefungovalo? Jak ji nastavit, je v tom článku, na kterých odkazoval @jmlich.

Jo, tohle to vyřešilo:
update-crypto-policies --set DEFAULT:FEDORA32

Mezitím jsem ovšem zlikvidoval pomocí pokusu o downgrade celý systém a instalovat FC32 na čistý disk. Nicměně vyzkoušel jsem na jiném počítači s 33, kam se připojoval jen jeden klient a tímto jsem ho zprovoznil.
Uf.