Po upgrade na 21 nejde OpenVPN [vyřešeno]

RNA · prosinec 12, 2014, 12:01am

A nejde a nejde.
Oba klienti.
v logu je:


Fri Dec 12 00:56:32 2014 us=678007 Local Options hash (VER=V4): '41690919'
Fri Dec 12 00:56:32 2014 us=678039 Expected Remote Options hash (VER=V4): '530fdded'
Fri Dec 12 00:56:32 2014 us=678064 UDPv4 link local: [undef]
Fri Dec 12 00:56:32 2014 us=678089 UDPv4 link remote: [AF_INET]123.123.123.123:1194
Fri Dec 12 00:56:32 2014 us=684386 TLS: Initial packet from [AF_INET]123.123.123.123:1194, sid=3c2ec0db 0053fc63
Fri Dec 12 00:56:32 2014 us=728116 VERIFY OK: depth=1, C=CZ, ST=Czech Republic, L=Liberec, O=Applic s.r.o., OU=Applic Liberec, CN=Applic Root CA, emailAddress=root@applic.cz
Fri Dec 12 00:56:32 2014 us=728228 VERIFY ERROR: depth=0, error=certificate signature failure: C=CZ, ST=Czech Republic, O=Applic s.r.o., CN=gw.applic.cz
Fri Dec 12 00:56:32 2014 us=728370 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Dec 12 00:56:32 2014 us=728405 TLS Error: TLS object -> incoming plaintext read error
Fri Dec 12 00:56:32 2014 us=728425 TLS Error: TLS handshake failed
Fri Dec 12 00:56:32 2014 us=728584 TCP/UDP: Closing socket
Fri Dec 12 00:56:32 2014 us=728645 SIGUSR1[soft,tls-error] received, process restarting
Fri Dec 12 00:56:32 2014 us=728674 Restart pause, 2 second(s)

Nechápu, co mu najednou vadí na certifikátech, ještě před pár hodinama na FC 20 to chodilo. na serverech se nic neměnilo.

stderr · prosinec 12, 2014, 6:22am

Podle chyby “VERIFY ERROR: depth=0, error=certificate signature failure” by to mohlo ukazovat na zmenu, kdy je klic podepsany pomoci algoritmu MD5 a to se openssl uz nelibi: https://docs.fedoraproject.org/en-US/Fedora/21/html/Release_Notes/sect-Release_Notes-Changes_for_Sysadmin.html#security-openssl-md5 Odpovidajici bug je tu: https://bugzilla.redhat.com/show_bug.cgi?id=1157260. Tim padem by melo pomoct povoleni pomoci promenne OPENSSL_ENABLE_MD5_VERIFY=1.

RNA · prosinec 12, 2014, 9:57am

Takhle to mám udělat?

[root@asrock rna]# cat /usr/lib/systemd/system/NetworkManager.service
[Unit]
Description=Network Manager
Wants=network.target
Before=network.target network.service

[Service]
Type=dbus
BusName=org.freedesktop.NetworkManager
Environment=“OPENSSL_ENABLE_MD5_VERIFY=1”
ExecStart=/usr/sbin/NetworkManager --no-daemon

NM doesn’t want systemd to kill its children for it

KillMode=process

[Install]
WantedBy=multi-user.target
Alias=dbus-org.freedesktop.NetworkManager.service
Also=NetworkManager-dispatcher.service

(pozor změna, příspevek editován)

RNA · prosinec 12, 2014, 10:23am

Tak to nepomohlo…

pro 12 11:20:50 asrock openvpn[1510]: Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:…:0 ]
pro 12 11:20:50 asrock openvpn[1510]: Socket Buffers: R=[212992->131072] S=[212992->131072]
pro 12 11:20:50 asrock openvpn[1510]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:…/1 ]
pro 12 11:20:50 asrock openvpn[1510]: Local Options String: ‘V4,dev-type tun,link-mtu 1558,tu…ent’
pro 12 11:20:50 asrock openvpn[1510]: Expected Remote Options String: ‘V4,dev-type tun,link-m…ver’
pro 12 11:20:50 asrock openvpn[1510]: Local Options hash (VER=V4): ‘66096c33’
pro 12 11:20:50 asrock openvpn[1510]: Expected Remote Options hash (VER=V4): ‘691e95c7’
pro 12 11:20:50 asrock openvpn[1510]: UDPv4 link local: [undef]
pro 12 11:20:50 asrock openvpn[1510]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:41521
pro 12 11:20:50 asrock openvpn[1510]: TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:41521,…a327
pro 12 11:20:50 asrock openvpn[1510]: VERIFY OK: depth=1, C=CZ, ST=LB, L=LIBEREC, O=APPLIC, O…c.cz
pro 12 11:20:50 asrock openvpn[1510]: VERIFY ERROR: depth=0, error=certificate signature fail…c.cz
pro 12 11:20:50 asrock openvpn[1510]: TLS_ERROR: BIO read tls_read_plaintext error: error:140…iled
pro 12 11:20:50 asrock openvpn[1510]: TLS Error: TLS object -> incoming plaintext read error
pro 12 11:20:50 asrock openvpn[1510]: TLS Error: TLS handshake failed
pro 12 11:20:50 asrock openvpn[1510]: TCP/UDP: Closing socket
pro 12 11:20:50 asrock openvpn[1510]: SIGUSR1[soft,tls-error] received, process restarting
pro 12 11:20:50 asrock openvpn[1510]: Restart pause, 2 second(s)
Hint: Some lines were ellipsized, use -l to show in full.

RNA · prosinec 12, 2014, 4:34pm

Kdepak, nic nepomáhá.

Tady: https://www.centos.org/forums/viewtopic.php?f=50&t=47210
je asi ten můj případ, ale ani toto
[Service]
Environment=“OPENSSL_ENABLE_MD5_VERIFY=1 NSS_HASH_ALG_SUPPORT=+MD5”
v souboru /usr/lib/systemd/system/NetworkManager.service
nemá účinek.

Kdybych měl jistotu, že to pomůže, tak bych převygeneroval klíče a cetifikáty (34 kusů), ale pak stejně přetrvá problém s připojením, které nmení moje a tudíž mám jen klientský klíč a certifikát od cizí organizace.

Nebo mám zkusit nějakou jinou distribuci, než bude toto výyřešeno?

b1r50q · prosinec 13, 2014, 8:54pm

Měl jsem podobný problém a vyřešil jsem to pomocí proměnných:
NSS_HASH_ALG_SUPPORT=+MD5
OPENSSL_ENABLE_MD5_VERIFY=1

RNA · prosinec 14, 2014, 6:13pm

Uff… A je to.

Ovšem, žádný Networkmanager, ale přímo spouštěcí skript služby openvpn.

Toto je funkční řešení:

root@asrock rna]# cat /usr/lib/systemd/system/openvpn@.service
[Unit]
Description=OpenVPN Robust And Highly Flexible Tunneling Application On %I
After=network.target
[Service]
Environment=“NSS_HASH_ALG_SUPPORT=+MD5”
Environment=“OPENSSL_ENABLE_MD5_VERIFY=1”
PrivateTmp=true
Type=forking
PIDFile=/var/run/openvpn/%i.pid
ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/%i.pid --cd /etc/openvpn/ --config %i.conf
[Install]
WantedBy=multi-user.target

Takže, vyřešeno.
Děkuji všem respondentům za spolupráci.