Temat: Jak wyczyścić OpenVPN ze starych konfiguracji.

Mam 2 routery WRT1900ACS.
Konfiguruję jako klienty do serwera zdalnego.

Identyczna wersja Gorgoyle 1.13.0.0pre9 i konfiguracja klienta w pliku na jednym łączy, a na drugim nie chce.
Tam gdzie nie chce działać, router poprzednio pracował jako server VPN. Robię czyszczenie "Wyczyść istniejące klucze...", ale podejrzewam, że muszę wywalić coś głębiej.
Jak widzicie jestem zielony. Doradźcie czy da się na samym OpenVPN zrobić czyszczenie. Router jest daleko ode mnie.

Błąd z loga:
Sat Apr 10 21:28:31 2021 daemon.err openvpn(custom_config)[21971]: OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Sat Apr 10 21:28:31 2021 daemon.err openvpn(custom_config)[21971]: TLS_ERROR: BIO read tls_read_plaintext error
Sat Apr 10 21:28:31 2021 daemon.err openvpn(custom_config)[21971]: TLS Error: TLS object -> incoming plaintext read error
Sat Apr 10 21:28:31 2021 daemon.err openvpn(custom_config)[21971]: TLS Error: TLS handshake failed

Z góry dziękuję.

2

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Jakim drugim? GUI umożliwia zrobienie jednego klienta. Więc co właściwie robisz?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Mam 2 identyczne routery. Na jednym przygotowana konfiguracja działa, a na drugim nie.
Ten na którym nie działa wcześniej działał jako serwer OpenVPN.

4

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Dodajesz konfig i certyfikaty?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Ostatecznie mam wszystko w jednym pliku ovpn, ale ten plik chodzi na drugim routerze i łączy bez przeszkód.
Podejrzewam, że po tym jak ten router chodził jako serwer zostały jakieś śmieci.

6

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Nie ma śmieci. Wszystko jest z konfiga. Pokaz pełny log z połączenia, nie wycinaj nic z tekstu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Sat Apr 10 22:04:23 2021 user.notice root: openvpn stopped, restarting
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[3772]: SIGTERM[hard,init_instance] received, process exiting
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: OpenVPN 2.4.4 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: library versions: OpenSSL 1.1.1i  8 Dec 2020, LZO 2.10
Sat Apr 10 22:04:23 2021 daemon.warn openvpn(custom_config)[4429]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sat Apr 10 22:04:23 2021 daemon.warn openvpn(custom_config)[4429]: WARNING: Failed to stat CRL file, not (re)loading CRL.
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: TCP/UDP: Preserving recently used remote address: [AF_INET]185.201.113.243:1194
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: UDP link local: (not bound)
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: UDP link remote: [AF_INET]185.201.113.243:1194
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: TLS: Initial packet from [AF_INET]185.201.113.243:1194, sid=e88e16e1 94faba4d
Sat Apr 10 22:04:23 2021 daemon.warn openvpn(custom_config)[4429]: WARNING: Failed to stat CRL file, not (re)loading CRL.
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: VERIFY SCRIPT OK: depth=1, CN=server
Sat Apr 10 22:04:23 2021 daemon.err openvpn(custom_config)[4429]: VERIFY ERROR: CRL not loaded
Sat Apr 10 22:04:23 2021 daemon.err openvpn(custom_config)[4429]: OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Sat Apr 10 22:04:23 2021 daemon.err openvpn(custom_config)[4429]: TLS_ERROR: BIO read tls_read_plaintext error
Sat Apr 10 22:04:23 2021 daemon.err openvpn(custom_config)[4429]: TLS Error: TLS object -> incoming plaintext read error
Sat Apr 10 22:04:23 2021 daemon.err openvpn(custom_config)[4429]: TLS Error: TLS handshake failed
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: SIGUSR1[soft,tls-error] received, process restarting
Sat Apr 10 22:04:23 2021 daemon.notice openvpn(custom_config)[4429]: Restart pause, 5 second(s)

8

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Pliku crl nie przeniosłeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Przepraszam jeżeli czegoś nie rozumiem. Ale ja nie używam żadnego crl w konfiguracji. Teraz ten drugi router zresetowałem do czystego i wrzuciłem ten pojedynczy plik z konfiguracjami i to działa  od razu. Żadnych crl.

Stawiam dwa razy Latte jeżeli napiszesz mi co zrobić z tym CRL smile

10

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

To jest plik zawierający informację o odwołaniu certyfikatów klientów. Skoro go chciał to jednak gdzieś go użyłeś. Sam z siebie on się nie robi.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Poprzednio ten router działał jako serwer OpenVPN i tam bawiłem się w dodawanie i usuwanie userów.
Czy da się to wymaganie jakoś usunąć?

12 (edytowany przez damianusm 2021-04-10 23:05:58)

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Zauważyłem, że do pliku konfiguracji który ładuję na dole dolepiane są linie:
crl-verify /etc/openvpn/crl.pem
down /etc/openvpn.down
script-security 2
tls-verify "/usr/lib/gargoyle/ovpn-cn-check.sh /etc/openvpn/verified-userlist"
up /etc/openvpn.up

Na drugim routerze też są dolepiane, ale bez linii 'crl-verify /etc/openvpn/crl.pem' i tam to działa. Dlaczego dodawana jest ta linia?

13

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Mówiłem że nie przekopiowałeś, mówiłem ze go ci brakuje. Bo bawiłeś się certyfikatami. Jak konfig chciał to musisz mieć też ten plik.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

14

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Żeby było jasne jeszcze raz.
Kiedyś router testowałem jako serwer OpenVPN, ale teraz już mnie tamta konfiguracja nie interesuje. Teraz mam całkowicie nowy serwer gdzie indziej. Na nowym serwerze nie usuwałem userów, a poza tym ta sama konfiguracja działa bez problemu. Wiec wywaliłem pliki konfiguracyjne z przycisku i skonfigurowałem klienta.
Rozumiem, ze usługa wymaga tego pliku PEM dla starej instancji serwera OpenVPN którego konfigurację usunąłem?

Gdzie zatem powinien być plik crl do skopiowania do katalogu OpenVPN? Nie mogę go znaleźć. Wchodzę przez ssh i szukam i nic.

15 (edytowany przez Cezary 2021-04-11 07:32:10)

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Skąd masz konfig klienta? Sam go robiłeś czy wygenerował się z serwera? Jeżeli z serwera to tam też musisz mieć crl.

Zawsze możesz usunąć te linie z crl. Ona nie jest wymagana do działania.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

16

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Konfiga mam z serwera OpenVPN skonfigurowanego teraz na Win Server 2019. Pliki generowałem poprzez EasyRSAv3 pobranym z GIT'a.

Ale ten sam konfig ovpn na drugim routerze robionym na czysto działa i nic nie trzeba kopiować. Nie wymaga tego pliku i nie dodaje linii  "crl-verify /etc/openvpn/crl.pem" dlatego to jest właśnie dziwne. Na serwerze win 2019 nie usuwałem żadnych użytkowników. Nie odwoływałem certów.

17

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Samo się nie dodało, nie wiem po co od kliku postów tak się głowisz nad tym. Albo przekopiuj plik, albo usuń to z konfiga, nie ma sensu się zastanawiać dłużej nad tym.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

18

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Ale Gargoyle sam dodaje tę linię do konfiga.

Ja dodaję plik bez tej linii, a po zapisaniu pliku ta linia już jest   crl-verify /etc/openvpn/crl.pem

Musi mieć to związek z poprzednią instancją kiedy ten router latał jako serwer.

19

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Usuń ręcznie, zapisz, zapomnij.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

20

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

No właśnie nie mogę usunąć bo to samo wraca. No tak jest i nie chce być inaczej.

Wchodzę o etc/OpenVPN  i mam tylko jeden plik grouter_xxx.conf z moją konfiguracją.
Edytuję to poprzez vi, zapisuję :wq, sprawdzam poprzez cat czy to jest i nie ma linii.
Restartuję router i po restarcie ta linia wraca crl-verify /etc/openvpn/crl.pem.

Czy mam to zrobić jakoś inaczej?

21

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Ja dodaję klienta przez gui i w żadnym przypadku nie dodaje się to. Wyczyść router do ustawień domyślnych, dodaj klienta i zobacz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

22

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

U mnie na drugim routerze też się to nie dodaje i jest pięknie.

Nie mogę zrobić czyszczenia routera bo jest on daleko ode mnie i nie mogę bo padnie sieć.

Nie da się wyczyścić lub zresetować samej usługi OpenVPN? Gdzie w Gargoylu leżą te certy?

Zrobiłem wiele testów i  chyba nie wszystko się czyści pod przyciskeim, bo jeżeli zrobię z routera serwer, potem czyszczenie, a następnie zrobię z niego klienta to w zakładce serwera pozostają userzy. Gdzieś to siedzi. Nie mogę tego znaleźć.

23

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Panie Cezary mam scenariusz wywołania tego błędu na drugim routerze - może to coś rozjaśni:

1. Uruchom serwer OpenVPN.
2. Dodaj config klienta.
3. Zapisz konfigurację. 
4. Usuń config klienta.
5. Zapisz konfigurację.
6. Wyłącz usługę OpenVPN i z przycisku 'Wyczyść istniejące klucze OpenVPN'.
7. Uruchom OpenVPN jako klient i dodaj konfigurację.

Obecne zachowanie: do konfiguracji dodawana jest linia crl-verify /etc/openvpn/crl.pem

24

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Tak, mam. Z /etc/config/openvpn wywal opcję crl_verify

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

25

Odp: Jak wyczyścić OpenVPN ze starych konfiguracji.

Dziękuję, napiszę jutro czy się udało ponieważ chyba na skutek mojego cudowania coś nie wstało i nie mam dostępu.