Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense 2.7 OpenVPN Problem

    Scheduled Pinned Locked Moved Deutsch
    8 Posts 5 Posters 917 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      esquire1968 0
      last edited by

      **Hallo zusammen!

      Nach dem Update von v2.6.0 auf v2.7.0 habe ich ein Problem mit der OpenVPN Verbindung.

      Die pfSense dient als OpenVPN Server zu der sich verschiedene Clients verbinden. Nach dem Update können sich einige Clients nicht mehr verbinden, als Algemeiner Name (CN) wird UNDEF angezeigt. Das Protokoll zeigt folgende Fehlermeldungen:

      Jul 7 18:56:49 openvpn 79775  xxx.xxx.xxx.xxx:yyyy SIGUSR1[soft,tls-error] received, client-instance restarting
Jul 7 18:56:49 openvpn 79775  xxx.xxx.xxx.xxx:yyyy TLS Error: TLS handshake failed
Jul 7 18:56:49 openvpn 79775  xxx.xxx.xxx.xxx:yyyy TLS Error: TLS object -> incoming plaintext read error
Jul 7 18:56:49 openvpn 79775  xxx.xxx.xxx.xxx:yyyy TLS_ERROR: BIO read tls_read_plaintext error
Jul 7 18:56:49 openvpn 79775  xxx.xxx.xxx.xxx:yyyy OpenSSL: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol
Jul 7 18:56:49 openvpn 79775 xxx.xxx.xxx.xxx:yyyy TLS error: Unsupported protocol. This typically indicates that client and server have no common TLS version enabled. This can be caused by mismatched tls-version-min and tls-version max options on client and server. If your OpenVPN client is between v2.3.6 and v2.3.2 try adding tls-version-min 1.0 to the client configuration to use TLS 1.0+ instead of TLS 1.0 only

      Hier die Konfiguration eines Clients bei dem die Verbindung nicht klappt:

      dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
nobind
client
keepalive 10 60
resolv-retry infinite
remote xxx.dyndns.info 11194 udp
remote-cert-tls server
auth-nocache
tls-version-min 1.0 
<ca>
-----BEGIN CERTIFICATE-----

      Woran kann das liegen?

      Danke für Eure Hilfe.

      LG
      Thomas**

      mike69M G 4 Replies Last reply Reply Quote 0
      • mike69M
        mike69 Rebel Alliance @esquire1968 0
        last edited by mike69

        @esquire1968-0

        Hi.

        Hast Du auch eine Konfiguration, wo es klappt? :)

        Config vom Server wäre auch gut. Unsere Clientkonfiguration sieht bissl anders aus.
        Bin der Meinung, dass sich bei OpenVPN 2.6.x einiges in der Config geändert hat.

        Gruß, Mike

        DG FTTH 400/200
        Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

        1 Reply Last reply Reply Quote 0
        • G
          Gladius @esquire1968 0
          last edited by

          This post is deleted!
          1 Reply Last reply Reply Quote 0
          • G
            Gladius @esquire1968 0
            last edited by

            @esquire1968-0

            Kleine Änderung:
            data-ciphers AES-256-CBC statt
            cipher AES-256-CBC

            Die Option data-ciphers-fallback kann auch nützlich sein.

            LG
            Gladius

            1 Reply Last reply Reply Quote 0
            • G
              Gladius @esquire1968 0
              last edited by

              @esquire1968-0

              Das Problem kommt wie es scheint schon beim Aufbau des control channel.

              Ich verwende schon länger serverseitig in TLS Configuration die Variente tls-crypt.
              Damit ist auch clientseitig tls-crypt erforderlich.
              Die Änderung auf OpenVPN 2.6.4 mit pfSense 2.7 verlief problemlos. Alle Clients
              konnten sich verbinden

              Hier fehlen clientseitig die Optionen tls-crypt oder tls-auth, was darauf schließen läßt, das der Server nicht für
              tls-crypt oder tls-auth konfiguriert ist.
              Die Konfiguration des Server anzugeben wäre hilfreich.
              LG
              Gladius

              1 Reply Last reply Reply Quote 0
              • RicoR
                Rico LAYER 8 Rebel Alliance
                last edited by

                OpenVPN Client Export Package installieren und die Client Config exportieren, da werden dann alle Parameter automatisch korrekt passend zum Server gesetzt.

                -Rico

                1 Reply Last reply Reply Quote 2
                • E
                  esquire1968 0
                  last edited by

                  Hallo zusammen!

                  Danke für die Antworten.

                  Ich habe jetzt tls-version-min 1.0 in die Server und alle Client Configs eingetragen, jetzt haben wieder alle Clients eine Verbingung.

                  Hier noch die Server Config:

                  dev ovpns1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
learn-address "/usr/local/sbin/openvpn.learn-address.sh server1"
local xxx.xxx.xxx.xxx
tls-server
server 10.8.0.0 255.255.255.0
client-config-dir /var/etc/openvpn/server1/csc
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'S1_OVPN' 1"
lport 11194
management /var/etc/openvpn/server1/sock unix
max-clients 100
remote-cert-tls client
capath /var/etc/openvpn/server1/ca
cert /var/etc/openvpn/server1/cert 
key /var/etc/openvpn/server1/key 
dh /etc/dh-parameters.2048
data-ciphers AES-128-CBC:AES-256-CBC:AES-128-GCM:AES-256-GCM
data-ciphers-fallback AES-256-CBC
allow-compression asym
persist-remote-ip
float
topology subnet
tls-version-min 1.0

                  Gruß
                  Thomas

                  S 1 Reply Last reply Reply Quote 0
                  • S
                    slu @esquire1968 0
                    last edited by

                    @esquire1968-0 said in pfSense 2.7 OpenVPN Problem:

                    Ich habe jetzt tls-version-min 1.0 in die Server und alle Client Configs eingetragen, jetzt haben wieder alle Clients eine Verbingung.

                    Tatsächlich haben wir auch noch den ein oder anderen legacy OpenVPN Client, auf dem Server hat hier aber tls-version-min 1.0 ausgereicht.
                    Die Frage ist jetzt nur wenn der Client mehr kann ob dann auch eine höhere TLS Version verwendet wird...

                    pfSense Gold subscription

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.