LINUX.ORG.RU
решено ФорумAdmin

После обновления OpenVPN до 2.4 перестали коннектиться клиенты

 ,


0

1

Всем привет!

Такая ситуация: есть OpenVPN на CentOS7, стояла версия 2.3.14 и всё было ок, прилетело обновление 2.4.2 - клиенты перестали коннектиться. Проблема в изменении в OpenVPN 2.4.x способа работы с crl.pem, но я не догнал как исправить и пришлось делать downgrade на 2.3.14 и залочить пакет от обновлений до выяснения, как безболезненно пофиксить без полной переустановки OpenVPN и перевыпуска сертификатов для всех клиентов.

Подскажите, пожалуйста, как победить. Сертификаты генерировал при помощи easy-rsa.



Последнее исправление: cetjs2 (всего исправлений: 1)

Вангую что в логах все уже написано. Это я вполне серьезно. verify-x509-name не оно ?

anc ★★★★★
()
Ответ на: комментарий от anc

В логах на клиентах было: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) - под это много что подходит. Перерыл все настройки firewall, но всё было ок, менял порты, udp на tcp. Ставил логгирование в openvpn на verb 7 - ничего указывающего на косяк с crl.pem не было :\ В англоязычном сегменте тоже тишина. В итоге нашел issue на гитхабе с описанием проблемы.

Фикс при использовании EasyRSA такой:

./easyrsa gen-crl
mv pki/crl.pem /etc/openvpn/
Если используете OpenSSL:
openssl ca -gencrl -keyfile ca.key -cert ca.crt -out crl.pem -config openssl.cnf
mv crl.pem /etc/openvpn/

JohnnyW
() автор топика
Ответ на: комментарий от JohnnyW

В итоге нашел issue на гитхабе с описанием проблемы.

Можно ссылку? А то какое-то странное решение.

anc ★★★★★
()
Ответ на: комментарий от anc

Проблема с коннектом диагностируется так: если убираем «crl-verify crl.pem» из server.conf, то это наш случай.

Вот тут описано: https://bugzilla.redhat.com/show_bug.cgi?id=1446623 https://bugzilla.redhat.com/show_bug.cgi?id=1451696 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=849909 https://github.com/NethServer/dev/issues/5271

JohnnyW
() автор топика
Ответ на: комментарий от JohnnyW

Ещё внимательно смотрите, чтобы бы после обновления CRL прописан правильный путь к crl.pem в server.conf, иначе OpenVPN будет «падать» при загрузке.

JohnnyW
() автор топика

есть OpenVPN на CentOS7, стояла версия 2.3.14 и всё было ок, прилетело обновление 2.4.2

А откуда оно прилетело? В CentOS версия не должна измениться.

vlb ★★★
()

Судя по «TLS key negotiation failed» включен tls-auth. У клиентов ключи есть?

N-N
()
Ответ на: комментарий от JohnnyW

И еще желательно иметь не протухший crl.pem

Я по этим граблям тоже прошел при апгрейде.

PS На 2.4.3 нужно обновлятся.

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.