Auteur Topic: OpenVPN Client plots down..  (gelezen 1712 keer)

Offline Vronsky

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 1
  • Berichten: 40
OpenVPN Client plots down..
« Gepost op: 26 juni 2021, 11:03:09 »
OpenVPN Client op diverse mobiele devices is plots down gegaan, VPN server draait op een DS218
Let's Encrypt certificaat 2x vernieuwd op de server, verval datum was nog goed.

Hier de error log, ziet iemand iets raars ?? THANKS


10:27:48.449 -- ----- OpenVPN Start -----

10:27:48.450 -- EVENT: CORE_THREAD_ACTIVE

10:27:48.455 -- OpenVPN core 3.git:released:662eae9a:Release android armv7a thumb2 32-bit PT_PROXY

10:27:48.461 -- Frame=512/2048/512 mssfix-ctrl=1250

10:27:48.462 -- UNUSED OPTIONS
1 [tls-client]
5 [pull]
7 [script-security] [2]

10:27:48.463 -- EVENT: RESOLVE

10:27:48.485 -- Contacting ************* via TCPv4

10:27:48.486 -- EVENT: WAIT

10:27:48.510 -- Connecting to [**************]:443 (************) via TCPv4

10:27:48.516 -- EVENT: CONNECTING

10:27:48.523 -- Tunnel Options:V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-client

10:27:48.523 -- Creds: Username/Password

10:27:48.524 -- Peer Info:
IV_VER=3.git:released:662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_GUI_VER=net.openvpn.connect.android_3.2.4-5891
IV_SSO=openurl


10:27:48.701 -- VERIFY FAIL: depth=1, /C=US/O=Let's Encrypt/CN=R3 [unable to get local issuer certificate]

10:27:48.701 -- Transport Error: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

10:27:48.702 -- EVENT: CERT_VERIFY_FAIL info='OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed'

10:27:48.708 -- EVENT: DISCONNECTED

10:27:48.708 -- Tunnel bytes per CPU second: 0

10:27:48.709 -- ----- OpenVPN Stop -----


Vronsky

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: OpenVPN Client plots down..
« Reactie #1 Gepost op: 26 juni 2021, 12:57:17 »
OpenVPN Client op diverse mobiele devices is plots down gegaan, VPN server draait op een DS218
Let's Encrypt certificaat 2x vernieuwd op de server, verval datum was nog goed.

Let's Encrypt is niet handig voor Open VPN. Omdat het certificaat al na 2 maand vernieuwd wordt, moet je elke 2 maand je config file opnieuw bij al je devices vernieuwen. NB: na elke vernieuwing op de server is je vorige config file niet meer geldig.

Beter is het om een self-signed certificaat aan te maken. Alleen heeft Synology ook daar de geldigheid verlaagd naar 12 maand als je dit via hun GUI aanmaakt. In elk geval scheelt het iets omdat je dan de config maar eens per jaar hoeft te updaten.  (Ik heb hier al eens een ticket voor aangemaakt, maar ik kreeg niet echt het idee dat ze de geldigheidsperiode zelf kiesbaar willen maken)

Ik heb overiges geen idee of je probleem daar aan ligt. Ik zie wel voor de term TCP in je log, terwijl OpenVPN standaard via het UDP protocol loopt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Vronsky

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 1
  • Berichten: 40
Re: OpenVPN Client plots down..
« Reactie #2 Gepost op: 27 juni 2021, 09:38:18 »
Klopt, heb eea. via TCP lopen, werkt(te?) prima.
Zal eens een nieuwe config file gaan aanmaken.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: OpenVPN Client plots down..
« Reactie #3 Gepost op: 27 juni 2021, 11:11:56 »
En als dat niet helpt, is dit misschien de oorzaak:

Citaat
10:27:48.701 -- VERIFY FAIL: depth=1, /C=US/O=Let's Encrypt/CN=R3 [unable to get local issuer certificate]

IV_PLAT=android

Het issuer certificaat is volgens mij het root certificaat. Let's Encrypt is recentelijk overgestapt op een nieuw root certificaat (ISRG Root X1) omdat de oude ongeldig begon te worden. Die overstap is al jaren gepland om OS-en de tijd te geven dit nieuwe certificaat te installeren. Van Android is bekend dat die de  telefoons slecht updaten. Van de oudere Android versies zijn nooit updates uitgegeven waar de nieuwere root certificaten in zaten. Maar dan zou je ook problemen moeten zien bij websites die Let's Encrypt gebruiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Vronsky

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 1
  • Berichten: 40
Re: OpenVPN Client plots down..
« Reactie #4 Gepost op: 27 juni 2021, 11:28:52 »
Thanks, maar ook m'n MacBook en iPad tonen dezelfde foutmelding, 't lijkt dus geen Android/enkel device prob hoewel die Samsung al 3 jaar oud is.

Offline Vronsky

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 1
  • Berichten: 40
Re: OpenVPN Client plots down..
« Reactie #5 Gepost op: 27 juni 2021, 11:51:54 »
Update: VPN Server nieuw config file laten exporteren, CA certificaat-deel copy/paste in oude config file: bingo, werkt weer

Heb dit niet eerder gehad, heeft >1 jaar probleemloos gewerkt met zelfde config file.
VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.

Thanks,
V.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.099
  • FIFO / LIFO
    • Truebase
Re: OpenVPN Client plots down..
« Reactie #6 Gepost op: 27 juni 2021, 11:56:12 »
Citaat
VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.
Dat klopt wel, maar dan moet je altijd weer exporteren en de Cliënt updaten.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: OpenVPN Client plots down..
« Reactie #7 Gepost op: 27 juni 2021, 13:23:35 »
VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.

Klopt, maar dat is direct het probleem bij VPN. Bij HTTPS (Websites) of mail (SMTP), stuurt de server bij het eerste contact een copie van het usercertificaat (de public key) naar de gebruiker om het verdere verkeer mee te versleutelen.
Bij OpenVPN gebeurt dit niet. Daar wordt het usercertificaat via de config file aan de gebruiker gegeven. En die is alleen geldig zolang er geen nieuwe in gebruik genomen wordt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 1779
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
Inloggen via OpenVPN met certificaat

Gestart door UhhhBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 1777
Laatste bericht 20 december 2014, 23:42:32
door Uhhh
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3101
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 1904
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
OpenVPN (SPK) op DS106j - test nodig

Gestart door AnonymousBoard Overige 3rd party packages

Reacties: 5
Gelezen: 7848
Laatste bericht 29 januari 2009, 12:10:13
door wizjos