После обновления OpenVPN до 2.4 перестали коннектиться клиенты

Вангую что в логах все уже написано. Это я вполне серьезно. verify-x509-name не оно ?

В логах на клиентах было: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) - под это много что подходит. Перерыл все настройки firewall, но всё было ок, менял порты, udp на tcp. Ставил логгирование в openvpn на verb 7 - ничего указывающего на косяк с crl.pem не было :\ В англоязычном сегменте тоже тишина. В итоге нашел issue на гитхабе с описанием проблемы.

Фикс при использовании EasyRSA такой:

./easyrsa gen-crl
mv pki/crl.pem /etc/openvpn/

openssl ca -gencrl -keyfile ca.key -cert ca.crt -out crl.pem -config openssl.cnf
mv crl.pem /etc/openvpn/

В итоге нашел issue на гитхабе с описанием проблемы.

Можно ссылку? А то какое-то странное решение.

Проблема с коннектом диагностируется так: если убираем «crl-verify crl.pem» из server.conf, то это наш случай.

Вот тут описано: https://bugzilla.redhat.com/show_bug.cgi?id=1446623 https://bugzilla.redhat.com/show_bug.cgi?id=1451696 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=849909 https://github.com/NethServer/dev/issues/5271

Ещё внимательно смотрите, чтобы бы после обновления CRL прописан правильный путь к crl.pem в server.conf, иначе OpenVPN будет «падать» при загрузке.

есть OpenVPN на CentOS7, стояла версия 2.3.14 и всё было ок, прилетело обновление 2.4.2

А откуда оно прилетело? В CentOS версия не должна измениться.

Судя по «TLS key negotiation failed» включен tls-auth. У клиентов ключи есть?

Спасибо. Все ясно.

И еще желательно иметь не протухший crl.pem

Я по этим граблям тоже прошел при апгрейде.

PS На 2.4.3 нужно обновлятся.