Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

OpenVPN non si connette

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
gciacci



Registrato: 03/08/09 12:20
Messaggi: 89

MessaggioInviato: Mar Gen 17, 2017 5:54 pm    Oggetto: OpenVPN non si connette Rispondi citando

Dall'ultimo aggiornamento alla 3.7.0 il client OpenVPN ha smesso di funzionare con questo errore nei log:

VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: O=xxx, OU=porrione 96b8, CN=ZeroShell
OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed

Forse non accetta più i certificati self signed?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Mar Gen 17, 2017 7:51 pm    Oggetto: Rispondi citando

Credo che il problema sia un altro, le mie VPNs (L2L e H2L) funzionano,
se lo usi devi sostituire --tls-remote .... con --verify-x509-name
ciao
Top
Profilo Invia messaggio privato
gciacci



Registrato: 03/08/09 12:20
Messaggi: 89

MessaggioInviato: Mer Gen 18, 2017 9:17 am    Oggetto: Rispondi citando

Non usavo nessun parametro, ho verificato che installazioni con ZS3.6 funzionano perfettamente. Client OpenVPN aggiornato.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Gen 18, 2017 9:57 am    Oggetto: Rispondi citando

anche io ho lo stesso problema con la Openvpn Host to Lan dopo l'aggiornamento.

Da lato server non vedo righe di log. Sul client errore TLS.
Sto investigando...

la VPN con Openvpn LAN to LAN funziona però sull'interfaccia web rimane scritto: "Connecting to remote peer :1195 (UDP)" in rosso e nel log "WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC)"

devo investigare anche questo, ma con meno urgenza dato che funziona.

Credo che si renderà necessario un bugfix per modificare i parametri di default di openvpn. Con la versione 2.4 è cambiato qualcosa.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Gen 18, 2017 12:15 pm    Oggetto: Rispondi citando

Per il secondo problema (VPN LAN to LAN) ho risolto mettendo il parametro aggiuntivo "--cipher AES-256-CBC"
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Gen 18, 2017 3:35 pm    Oggetto: Rispondi citando

Risolto anche il primo problema.

Basta leggere il BUG FIX #00 - OpenVPN and Captive Portal - ID 23700

Citazione:

[..]
The new OpenSSL 1.0.2 c_rehash command computes the digest of the certificates with SHA1 instead of MD5 and this produces a reset of the Trusted CAs either in the case of Host-to-Lan VPN and in the case of the Captive Portal which are using X509 authentication. You must re-select the Trusted CAs in both cases by pressing the Authentication Button.
Top
Profilo Invia messaggio privato
gciacci



Registrato: 03/08/09 12:20
Messaggi: 89

MessaggioInviato: Mer Gen 18, 2017 7:14 pm    Oggetto: Rispondi citando

Il problema della VPN H2L è stato risolto velocemente come descritto nel bugfix, ma per la L2L, nonostante il parametro aggiuntivo, continuo a ricevere questo messaggio nei log:
Codice:
Inactivity timeout (--ping-restart), restarting

Su 7 VPN centrate in un unico ZS 3.7 solo una non riesce a rimanere stabile, le altre 6 non hanno problemi. Quella che salta è una 3.7, le altre metà 3.6 e metà 3.7 per ora, in attesa di allineamento di tutte.
Top
Profilo Invia messaggio privato
gciacci



Registrato: 03/08/09 12:20
Messaggi: 89

MessaggioInviato: Ven Feb 10, 2017 12:51 pm    Oggetto: Rispondi citando

Piccolo aggiornamento sul problema. Tutte le 8 postazioni sono allineate alla 3.7.1 ed hanno la cifratura a 256 bit, i problemi sono quasi scomparsi ma ogni tanto le VPN cadono per un paio di minuti e poi risalgono da sole.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it