Temat: OpenVPN na gargoyle się rozsypał

Cześć
Próbowałem połączyć się na trzech urządzeniach z domowym routerem na openvpn. Nie można połączyć się, a logi są takie:

Mon Nov 25 07:36:45 2024 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
Mon Nov 25 07:36:45 2024 Windows version 10.0 (Windows 10 or greater) 64bit
Mon Nov 25 07:36:45 2024 library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
Mon Nov 25 07:36:45 2024 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Nov 25 07:36:45 2024 Need hold release from management interface, waiting...
Mon Nov 25 07:36:46 2024 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Nov 25 07:36:46 2024 MANAGEMENT: CMD 'state on'
Mon Nov 25 07:36:46 2024 MANAGEMENT: CMD 'log all on'
Mon Nov 25 07:36:46 2024 MANAGEMENT: CMD 'echo all on'
Mon Nov 25 07:36:46 2024 MANAGEMENT: CMD 'bytecount 5'
Mon Nov 25 07:36:46 2024 MANAGEMENT: CMD 'hold off'
Mon Nov 25 07:36:46 2024 MANAGEMENT: CMD 'hold release'
Mon Nov 25 07:36:46 2024 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Mon Nov 25 07:36:46 2024 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 07:36:46 2024 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 07:36:46 2024 MANAGEMENT: >STATE:1732516606,RESOLVE,,,,,,
Mon Nov 25 07:36:46 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]178.235.17.103:443
Mon Nov 25 07:36:46 2024 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Nov 25 07:36:46 2024 Attempting to establish TCP connection with [AF_INET]178.235.17.103:443 [nonblock]
Mon Nov 25 07:36:46 2024 MANAGEMENT: >STATE:1732516606,TCP_CONNECT,,,,,,
Mon Nov 25 07:36:46 2024 TCP connection established with [AF_INET]178.235.17.103:443
Mon Nov 25 07:36:46 2024 TCP_CLIENT link local: (not bound)
Mon Nov 25 07:36:46 2024 TCP_CLIENT link remote: [AF_INET]178.235.17.103:443
Mon Nov 25 07:36:46 2024 MANAGEMENT: >STATE:1732516606,WAIT,,,,,,
Mon Nov 25 07:36:46 2024 MANAGEMENT: >STATE:1732516606,AUTH,,,,,,
Mon Nov 25 07:36:46 2024 TLS: Initial packet from [AF_INET]178.235.17.103:443, sid=4d4c354a 0a056fa0
Mon Nov 25 07:36:46 2024 VERIFY OK: depth=1, C=??, ST=UnknownProvince, L=UnknownCity, O=UnknownOrg, OU=UnknownOrgUnit, CN=ddjxovruvfcahaa, emailAddress=ddjxovruvfcahaa@phdopmlvcieescz.com
Mon Nov 25 07:36:46 2024 VERIFY KU OK
Mon Nov 25 07:36:46 2024 Validating certificate extended key usage
Mon Nov 25 07:36:46 2024 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon Nov 25 07:36:46 2024 VERIFY EKU OK
Mon Nov 25 07:36:46 2024 VERIFY OK: depth=0, C=??, ST=UnknownProvince, L=UnknownCity, O=UnknownOrg, OU=UnknownOrgUnit, CN=server, emailAddress=ddjxovruvfcahaa@phdopmlvcieescz.com
Mon Nov 25 07:36:46 2024 Connection reset, restarting [0]

Konfiguracja klienta:

client
remote          domena.duckdns.org 443
dev             tun
proto           tcp-client
status          current_status
resolv-retry    infinite
remote-cert-tls server
topology        subnet
verb            3

data-ciphers    AES-256-GCM

nobind
persist-key
persist-tun

push-peer-info
<ca>
-----BEGIN CERTIFICATE-----

Na ten moment jestem poza domem, więc nie mam dostępu do routera. Konfiguracja routera nie była zmieniana od wielu miesięcy, a cały czas połączenie działało. Nawet na wszelki wypadek ustawiłem restart routera w nocy, żeby zapobiec zawieszaniu się na skutek jakiegoś ukrytego błędu oprogramowania, który może spowodować usterkę.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

2

Odp: OpenVPN na gargoyle się rozsypał

Np. czasu nie zsynchronizował. Jak masz tam kogoś to niech go wyłączą i wyłączą ponownie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: OpenVPN na gargoyle się rozsypał

Mon Nov 25 17:14:19 2024 daemon.err openvpn(custom_config)[9840]: 5.172.255.255:8397 TLS Error: TLS key negotiation fail
ed to occur within 60 seconds (check your network connectivity)
Mon Nov 25 17:14:19 2024 daemon.err openvpn(custom_config)[9840]: 5.172.255.255:8397 TLS Error: TLS handshake failed
Mon Nov 25 17:14:19 2024 daemon.err openvpn(custom_config)[9840]: 5.172.255.255:8397 Fatal TLS error (check_tls_errors_c
o), restarting
Mon Nov 25 17:14:19 2024 daemon.notice openvpn(custom_config)[9840]: 5.172.255.255:8397 SIGUSR1[soft,tls-error] received
, client-instance restarting
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: Outgoing Control Channel Authentication: Using 160
bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: Incoming Control Channel Authentication: Using 160
bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: TCP connection established with [AF_INET]185.208.15
6.160:50510
Mon Nov 25 17:16:00 2024 daemon.warn openvpn(custom_config)[9840]: 185.208.156.160:50510 WARNING: Bad encapsulated packe
t length from peer (5635), which must be > 0 and <= 1626 -- please ensure that --tun-mtu or --link-mtu is equal on both
peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Mon Nov 25 17:16:00 2024 daemon.err openvpn(custom_config)[9840]: 185.208.156.160:50510 Connection reset, restarting [0]
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: 185.208.156.160:50510 SIGUSR1[soft,connection-reset
] received, client-instance restarting
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: Outgoing Control Channel Authentication: Using 160
bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: Incoming Control Channel Authentication: Using 160
bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: TCP connection established with [AF_INET]185.208.15
6.160:50514
Mon Nov 25 17:16:00 2024 daemon.warn openvpn(custom_config)[9840]: 185.208.156.160:50514 WARNING: Bad encapsulated packe
t length from peer (18245), which must be > 0 and <= 1626 -- please ensure that --tun-mtu or --link-mtu is equal on both
 peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Mon Nov 25 17:16:00 2024 daemon.err openvpn(custom_config)[9840]: 185.208.156.160:50514 Connection reset, restarting [0]
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: 185.208.156.160:50514 SIGUSR1[soft,connection-reset
] received, client-instance restarting
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: Outgoing Control Channel Authentication: Using 160
bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: Incoming Control Channel Authentication: Using 160
bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: TCP connection established with [AF_INET]188.117.14
9.2:57272
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: 188.117.149.2:57272 TLS: Initial packet from [AF_IN
ET]188.117.149.2:57272, sid=1a79cc99 de78c82c
Mon Nov 25 17:16:00 2024 daemon.err openvpn(custom_config)[9840]: 188.117.149.2:57272 VERIFY ERROR: depth=0, error=CRL h
as expired: C=??, ST=UnknownProvince, L=UnknownCity, O=UnknownOrg, OU=UnknownOrgUnit, CN=rkucinowy, emailAddress=rkucino
wy@tpmnbhkgvdbujlw.com, serial=2
Mon Nov 25 17:16:00 2024 daemon.err openvpn(custom_config)[9840]: 188.117.149.2:57272 OpenSSL: error:1417C086:SSL routin
es:tls_process_client_certificate:certificate verify failed
Mon Nov 25 17:16:00 2024 daemon.err openvpn(custom_config)[9840]: 188.117.149.2:57272 TLS_ERROR: BIO read tls_read_plain
text error
Mon Nov 25 17:16:00 2024 daemon.err openvpn(custom_config)[9840]: 188.117.149.2:57272 TLS Error: TLS object -> incoming
plaintext read error
Mon Nov 25 17:16:00 2024 daemon.err openvpn(custom_config)[9840]: 188.117.149.2:57272 TLS Error: TLS handshake failed
Mon Nov 25 17:16:00 2024 daemon.err openvpn(custom_config)[9840]: 188.117.149.2:57272 Fatal TLS error (check_tls_errors_
co), restarting
Mon Nov 25 17:16:00 2024 daemon.notice openvpn(custom_config)[9840]: 188.117.149.2:57272 SIGUSR1[soft,tls-error] receive
d, client-instance restarting
Mon Nov 25 17:17:37 2024 authpriv.info dropbear[16245]: Child connection from 192.168.1.105:36604
Mon Nov 25 17:18:43 2024 authpriv.notice dropbear[16245]: Password auth succeeded for 'root' from 192.168.1.105:36604
Mon Nov 25 17:19:19 2024 daemon.notice openvpn(custom_config)[9840]: Outgoing Control Channel Authentication: Using 160
bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 17:19:19 2024 daemon.notice openvpn(custom_config)[9840]: Incoming Control Channel Authentication: Using 160
bit message hash 'SHA1' for HMAC authentication
Mon Nov 25 17:19:19 2024 daemon.notice openvpn(custom_config)[9840]: TCP connection established with [AF_INET]5.172.255.
255:8410
root@Gargoyle:~#
MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

4

Odp: OpenVPN na gargoyle się rozsypał

Sprawdź te certyfikaty.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: OpenVPN na gargoyle się rozsypał

Jak to zrobić jeśli nie mam backupu?

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

6

Odp: OpenVPN na gargoyle się rozsypał

Nic, po prostu sprawdź certyfikaty. Czy nie upłynął ich termin ważności.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7

Odp: OpenVPN na gargoyle się rozsypał

Ważne do 2037.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

8

Odp: OpenVPN na gargoyle się rozsypał

A klient nadal używa tych samych wygenerowanych z serwera?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9

Odp: OpenVPN na gargoyle się rozsypał

Połączyłem się przez zdalny pulpit i nadpisałem świeży config ovpn. To samo.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

10

Odp: OpenVPN na gargoyle się rozsypał

A certyfikaty? Też nowe wygenerowałeś?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11

Odp: OpenVPN na gargoyle się rozsypał

Nie o to chodzi. Po prostu pobrałem ponownie plik ovpn, żeby mieć pewność, że nie są zmodyfikowane lokalnie. Chyba po prostu trzeba będzie wygenerować nowe. Czy da się zrobić to tak, żeby zachować w gui listę urządzeń, żeby nie wklepywać od nowa?

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

12

Odp: OpenVPN na gargoyle się rozsypał

Certy robią się chyba podczas dodawania klienta tylko. Chyba że ręcznie polecisz z poleceniami.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

13 (edytowany przez badziewiak 2024-11-25 22:14:59)

Odp: OpenVPN na gargoyle się rozsypał

Czyli po prostu wywalić i dodać od nowa... A co z certami serwera? Wywalić je ręcznie?
Mniejsza o to. Dodałem nowego klienta i działa.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

14

Odp: OpenVPN na gargoyle się rozsypał

Witam
Znowu coś się schrzaniło...

Mon May 26 21:47:50 2025 authpriv.notice dropbear[20919]: Password auth succeeded for 'root' from 192.168.1.104:51016
Mon May 26 21:47:51 2025 daemon.notice openvpn(custom_config)[21205]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon May 26 21:47:51 2025 daemon.notice openvpn(custom_config)[21205]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon May 26 21:47:51 2025 daemon.notice openvpn(custom_config)[21205]: TCP connection established with [AF_INET]5.184.246.22:2789
Mon May 26 21:47:51 2025 daemon.notice openvpn(custom_config)[21205]: 5.184.246.22:2789 TLS: Initial packet from [AF_INET]5.184.246.22:2789, sid=557dbe97 3d0024a7
Mon May 26 21:47:51 2025 daemon.notice openvpn(custom_config)[21205]: 5.184.246.22:2789 VERIFY SCRIPT OK: depth=1, C=??, ST=UnknownProvince, L=UnknownCity, O=UnknownOrg, OU=UnknownOrgUnit, CN=ddjxovruvfcahaa, emailAddress=ddjxovruvfcahaa@phdopmlvcieescz.com
Mon May 26 21:47:51 2025 daemon.notice openvpn(custom_config)[21205]: 5.184.246.22:2789 VERIFY OK: depth=1, C=??, ST=UnknownProvince, L=UnknownCity, O=UnknownOrg, OU=UnknownOrgUnit, CN=ddjxovruvfcahaa, emailAddress=ddjxovruvfcahaa@phdopmlvcieescz.com
Mon May 26 21:47:51 2025 daemon.err openvpn(custom_config)[21205]: 5.184.246.22:2789 VERIFY ERROR: depth=0, subject=C=??, ST=UnknownProvince, L=UnknownCity, O=UnknownOrg, OU=UnknownOrgUnit, CN=moto_30_ultra, emailAddress=moto_30_ultra@cxabrgblhydycxq.com, serial=14: The CRL is expired
Mon May 26 21:47:51 2025 daemon.err openvpn(custom_config)[21205]: 5.184.246.22:2789 TLS_ERROR: read tls_read_plaintext error: X509 - Certificate verification failed, e.g. CRL, CA or signature check failed
Mon May 26 21:47:51 2025 daemon.err openvpn(custom_config)[21205]: 5.184.246.22:2789 TLS Error: TLS object -> incoming plaintext read error
Mon May 26 21:47:51 2025 daemon.err openvpn(custom_config)[21205]: 5.184.246.22:2789 TLS Error: TLS handshake failed
Mon May 26 21:47:51 2025 daemon.err openvpn(custom_config)[21205]: 5.184.246.22:2789 Fatal TLS error (check_tls_errors_co), restarting
Mon May 26 21:47:51 2025 daemon.notice openvpn(custom_config)[21205]: 5.184.246.22:2789 SIGUSR1[soft,tls-error] received, client-instance restarting
Mon May 26 21:47:51 2025 kern.info kernel: [  510.512922] igc 0000:05:00.0 eth4: NIC Link is Up 10 Mbps Full Duplex, Flow Control: RX
Mon May 26 21:47:51 2025 kern.info kernel: [  510.537278] br-lan: port 2(eth4) entered blocking state
Mon May 26 21:47:51 2025 kern.info kernel: [  510.553032] br-lan: port 2(eth4) entered forwarding state
Mon May 26 21:47:51 2025 daemon.notice netifd: Network device 'eth4' link is up
root@Gargoyle:~#
MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

15

Odp: OpenVPN na gargoyle się rozsypał

The CRL is expired

Wygeneruj nowy przez easyrsa gen-crl

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

16 (edytowany przez badziewiak 2025-05-26 20:55:45)

Odp: OpenVPN na gargoyle się rozsypał

Czyli muszę wygenerować nowe klucze?
Nie doczytałem powyżej...

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

17

Odp: OpenVPN na gargoyle się rozsypał

root@Gargoyle:~# easyrsa gen-crl
No Easy-RSA 'vars' configuration file exists!
/usr/bin/easyrsa: line 1174: openssl: not found

EasyRSA version 3.1.7

Error
-----
* OpenSSL must either exist in your PATH
  or be defined in your vars file.

Invalid SSL output for 'version':

/usr/bin/easyrsa: line 1190: openssl: not found
MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

18

Odp: OpenVPN na gargoyle się rozsypał

Nie. Wygeneruj nowy CRL - to "lista odwowyłania certyfikatów"

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

19

Odp: OpenVPN na gargoyle się rozsypał

badziewiak napisał/a:
root@Gargoyle:~# easyrsa gen-crl
No Easy-RSA 'vars' configuration file exists!
/usr/bin/easyrsa: line 1174: openssl: not found

EasyRSA version 3.1.7

Error
-----
* OpenSSL must either exist in your PATH
  or be defined in your vars file.

Invalid SSL output for 'version':

/usr/bin/easyrsa: line 1190: openssl: not found

ehh, a może taka mała sugestia że przydała by sie instalacja openssl?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

20

Odp: OpenVPN na gargoyle się rozsypał

Motyla noga...

opkg install libopenssl openssl-util
opkg install openvpn-openssl openvpn-easy-rsa

Chyba czegoś jeszcze brakuje...

root@Gargoyle:~# easyrsa gen-crl
No Easy-RSA 'vars' configuration file exists!

EasyRSA version 3.1.7

Error
-----
EASYRSA_PKI does not exist (perhaps you need to run init-pki)?
Expected to find the EASYRSA_PKI at:
* /root/pki
MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

21 (edytowany przez Cezary 2025-05-26 21:44:30)

Odp: OpenVPN na gargoyle się rozsypał

cd /etc/easy-rsa/
easyrsa gen-crl

?

PS albo wywal z konfiga crl-verify crl.pem czy podobną linię.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

22

Odp: OpenVPN na gargoyle się rozsypał

Dobra, zrobiłem radykalnie, bo potrzebuję stały dostęp z zewnątrz: Zaktualizowałem system bez zachowania konfiguracji. Dlaczego tak dziwnie? Bo reset ustawień przez gui nie zadziałał. A dlaczego reset? Bo skopałem openvpn, a nie miałem czasu bawić się.
Dzięki za pomoc.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

23 (edytowany przez lantis 2025-05-27 14:36:37)

Odp: OpenVPN na gargoyle się rozsypał

https://github.com/ericpaulbishop/gargo … pn.sh#L567

. /usr/lib/gargoyle/openvpn.sh
generate_crl
/etc/init.d/openvpn restart

That should have done it.
A GUI option will appear to fix this in the future. I did not have time to build it so added the backend only.