pfSense 2.7 OpenVPN Problem nach Update

be1001

Hallo,

habe gestern meine pfsense auf die aktuelle Version gebracht. Schlagartig waren alle OpenVPN Verbindungen zu meinen Mikrotik-Clients weg. beim Server die
Einstellung tls-version-min 1.0 ein? Mein Problem ich komme nicht so Leicht an die Clients ran die Stehen bei meinen Eltern und Schwiegereltern, teilweise 300 km weg.

Danke

slu

@be1001
so ganz verstehe ich deine Frage nicht?
Was steht denn in der OpenVPN Log auf dem Server?

be1001

[OpenVPN Server to Mikrotik Client.pdf](Invalid file type. Allowed types are: .png, .jpg, .bmp, .txt, .gif, .xls, .gz, .zip, .pcap, .pcapng, .7z, .xml, .jpeg, .diff, .patch, .tgz, .tar, .0, .cap) Hallo,

das sind so viele anbei ein kleiner Ausschnitt:
ul 26 12:09:14 openvpn 71570 Preserving previous TUN/TAP instance: ovpns8
Jul 26 12:09:14 openvpn 71570 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 26 12:09:13 openvpn 71570 SIGUSR1[soft,tls-error] received, process restarting
Jul 26 12:09:13 openvpn 71570 Fatal TLS error (check_tls_errors_co), restarting
Jul 26 12:09:13 openvpn 71570 TLS Error: TLS handshake failed
Jul 26 12:09:13 openvpn 71570 TLS Error: TLS object -> incoming plaintext read error
Jul 26 12:09:13 openvpn 71570 TLS_ERROR: BIO read tls_read_plaintext error
Jul 26 12:09:13 openvpn 71570 OpenSSL: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca
Jul 26 12:09:12 openvpn 76781 Listening for incoming TCP connection on [AF_INET]217.91.60.176:25444
Jul 26 12:09:12 openvpn 76781 Preserving previous TUN/TAP instance: ovpns5
Jul 26 12:09:12 openvpn 76781 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

Aktuell geht keine Verbindung zu einem Mikrotikclient, komischerweise, ist der OpenVPN zu einem pfsenseClient nicht betroffen.
[OpenVPN Server to Mikrotik Client.pdf](Invalid file type. Allowed types are: .png, .jpg, .bmp, .txt, .gif, .xls, .gz, .zip, .pcap, .pcapng, .7z, .xml, .jpeg, .diff, .patch, .tgz, .tar, .0, .cap)

Zusätzlich habe ich auch jeden Morgen eine Fehlermeldung, die vor 2.07

rash report begins. Anonymous machine information:

amd64
14.0-CURRENT
FreeBSD 14.0-CURRENT #1 RELENG_2_7_0-n255866-686c8d3c1f0: Wed Jun 28 04:21:19 UTC 2023 root@freebsd:/var/jenkins/workspace/pfSense-CE-snapshots-2_7_0-main/obj/amd64/LwYAddCr/var/jenkins/workspace/pfSense-CE-snapshots-2_7_0-main/sources/FreeBSD-src-REL

Crash report details:

PHP Errors:
[26-Jul-2023 06:00:00 Europe/Berlin] PHP Fatal error: Uncaught ValueError: exec(): Argument #1 ($command) cannot be empty in /usr/local/bin/mail_reports_generate.php:61
Stack trace:
#0 /usr/local/bin/mail_reports_generate.php(61): exec('', '')
#1 {main}
thrown in /usr/local/bin/mail_reports_generate.php on line 61

No FreeBSD crash data found.

slu

@be1001 said in pfSense 2.7 OpenVPN Problem nach Update:

Jul 26 12:09:13 openvpn 71570 OpenSSL: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca

Das sieht nach einem Zertifikat Problem aus, evtl. Loglevel hochdrehen?
Auf dem Screenshot kann ich nichts erkennen, viel zu klein.

be1001

Müssen die Zertifikate unter 2.7.0 eine höhere Sicherheitsstufe haben? Habe meine Zertifikate immer mit den Standarteinstellungen erstellt. Abgelaufen sind sie nicht.

slu

@be1001
mehr Loglevel?

https://forum.netgate.com/topic/171707/openvpn-server-certificate-verify-failed-on-pfsense-2-6-0/3

be1001

so richtig schlau werde ich aus dem Beitrag nicht.
Habe jetzt mal den Loglevel für openVPN2 auf 11 gesetzt.

Jul 26 14:44:20 openvpn 15236 /usr/local/sbin/ovpn-linkup ovpns2 1500 0 10.42.42.1 10.42.42.2 init
Jul 26 14:44:20 openvpn 15236 /sbin/ifconfig ovpns2 10.42.42.1 10.42.42.2 mtu 1500 netmask 255.255.255.255 up
Jul 26 14:44:20 openvpn 15236 TUN/TAP device ovpns2 exists previously, keep at program end
Jul 26 14:44:20 openvpn 15154 dev = 'ovpns2'
Jul 26 14:44:19 openvpn 82902 Flushing states on OpenVPN interface ovpns2 (Link Down)
Jul 26 14:44:19 openvpn 98318 /usr/local/sbin/ovpn-linkdown ovpns2 1500 0 10.42.42.1 10.42.42.2 init
Jul 26 14:44:19 openvpn 98318 /sbin/ifconfig ovpns2 10.42.42.1 -alias
Jul 26 14:43:51 openvpn 98318 /usr/local/sbin/ovpn-linkup ovpns2 1500 0 10.42.42.1 10.42.42.2 init
Jul 26 14:43:51 openvpn 98318 /sbin/ifconfig ovpns2 10.42.42.1 10.42.42.2 mtu 1500 netmask 255.255.255.255 up
Jul 26 14:43:51 openvpn 98318 TUN/TAP device ovpns2 exists previously, keep at program end
Jul 26 14:43:51 openvpn 98105 dev = 'ovpns2'
Jul 26 14:43:50 openvpn 66818 Flushing states on OpenVPN interface ovpns2 (Link Down)
Jul 26 14:43:50 openvpn 45248 /usr/local/sbin/ovpn-linkdown ovpns2 1500 0 10.42.42.1 10.42.42.2 init
Jul 26 14:43:50 openvpn 45248 /sbin/ifconfig ovpns2 10.42.42.1 -alias