pfSense 2.7 OpenVPN Problem
-
**Hallo zusammen!
Nach dem Update von v2.6.0 auf v2.7.0 habe ich ein Problem mit der OpenVPN Verbindung.
Die pfSense dient als OpenVPN Server zu der sich verschiedene Clients verbinden. Nach dem Update können sich einige Clients nicht mehr verbinden, als Algemeiner Name (CN) wird UNDEF angezeigt. Das Protokoll zeigt folgende Fehlermeldungen:
Jul 7 18:56:49 openvpn 79775 xxx.xxx.xxx.xxx:yyyy SIGUSR1[soft,tls-error] received, client-instance restarting Jul 7 18:56:49 openvpn 79775 xxx.xxx.xxx.xxx:yyyy TLS Error: TLS handshake failed Jul 7 18:56:49 openvpn 79775 xxx.xxx.xxx.xxx:yyyy TLS Error: TLS object -> incoming plaintext read error Jul 7 18:56:49 openvpn 79775 xxx.xxx.xxx.xxx:yyyy TLS_ERROR: BIO read tls_read_plaintext error Jul 7 18:56:49 openvpn 79775 xxx.xxx.xxx.xxx:yyyy OpenSSL: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol Jul 7 18:56:49 openvpn 79775 xxx.xxx.xxx.xxx:yyyy TLS error: Unsupported protocol. This typically indicates that client and server have no common TLS version enabled. This can be caused by mismatched tls-version-min and tls-version max options on client and server. If your OpenVPN client is between v2.3.6 and v2.3.2 try adding tls-version-min 1.0 to the client configuration to use TLS 1.0+ instead of TLS 1.0 onlyHier die Konfiguration eines Clients bei dem die Verbindung nicht klappt:
dev tun persist-tun persist-key cipher AES-256-CBC auth SHA256 tls-client nobind client keepalive 10 60 resolv-retry infinite remote xxx.dyndns.info 11194 udp remote-cert-tls server auth-nocache tls-version-min 1.0 <ca> -----BEGIN CERTIFICATE-----Woran kann das liegen?
Danke für Eure Hilfe.
LG
Thomas** -
Hi.
Hast Du auch eine Konfiguration, wo es klappt? :)
Config vom Server wäre auch gut. Unsere Clientkonfiguration sieht bissl anders aus.
Bin der Meinung, dass sich bei OpenVPN 2.6.x einiges in der Config geändert hat.Gruß, Mike
-
This post is deleted! -
Kleine Änderung:
data-ciphers AES-256-CBC statt
cipher AES-256-CBCDie Option data-ciphers-fallback kann auch nützlich sein.
LG
Gladius -
Das Problem kommt wie es scheint schon beim Aufbau des control channel.
Ich verwende schon länger serverseitig in TLS Configuration die Variente tls-crypt.
Damit ist auch clientseitig tls-crypt erforderlich.
Die Änderung auf OpenVPN 2.6.4 mit pfSense 2.7 verlief problemlos. Alle Clients
konnten sich verbindenHier fehlen clientseitig die Optionen tls-crypt oder tls-auth, was darauf schließen läßt, das der Server nicht für
tls-crypt oder tls-auth konfiguriert ist.
Die Konfiguration des Server anzugeben wäre hilfreich.
LG
Gladius -
OpenVPN Client Export Package installieren und die Client Config exportieren, da werden dann alle Parameter automatisch korrekt passend zum Server gesetzt.
-Rico
-
Hallo zusammen!
Danke für die Antworten.
Ich habe jetzt tls-version-min 1.0 in die Server und alle Client Configs eingetragen, jetzt haben wieder alle Clients eine Verbingung.
Hier noch die Server Config:
dev ovpns1 verb 3 dev-type tun dev-node /dev/tun1 writepid /var/run/openvpn_server1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto udp4 auth SHA256 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown client-connect /usr/local/sbin/openvpn.attributes.sh client-disconnect /usr/local/sbin/openvpn.attributes.sh learn-address "/usr/local/sbin/openvpn.learn-address.sh server1" local xxx.xxx.xxx.xxx tls-server server 10.8.0.0 255.255.255.0 client-config-dir /var/etc/openvpn/server1/csc tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'S1_OVPN' 1" lport 11194 management /var/etc/openvpn/server1/sock unix max-clients 100 remote-cert-tls client capath /var/etc/openvpn/server1/ca cert /var/etc/openvpn/server1/cert key /var/etc/openvpn/server1/key dh /etc/dh-parameters.2048 data-ciphers AES-128-CBC:AES-256-CBC:AES-128-GCM:AES-256-GCM data-ciphers-fallback AES-256-CBC allow-compression asym persist-remote-ip float topology subnet tls-version-min 1.0Gruß
Thomas -
@esquire1968-0 said in pfSense 2.7 OpenVPN Problem:
Ich habe jetzt tls-version-min 1.0 in die Server und alle Client Configs eingetragen, jetzt haben wieder alle Clients eine Verbingung.
Tatsächlich haben wir auch noch den ein oder anderen legacy OpenVPN Client, auf dem Server hat hier aber tls-version-min 1.0 ausgereicht.
Die Frage ist jetzt nur wenn der Client mehr kann ob dann auch eine höhere TLS Version verwendet wird...
