Auteur Topic: OpenVPN Client plots down..  (gelezen 2071 keer)

Offline Vronsky

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 1
  • Berichten: 40
OpenVPN Client plots down..
« Gepost op: 26 juni 2021, 11:03:09 »
OpenVPN Client op diverse mobiele devices is plots down gegaan, VPN server draait op een DS218
Let's Encrypt certificaat 2x vernieuwd op de server, verval datum was nog goed.

Hier de error log, ziet iemand iets raars ?? THANKS


10:27:48.449 -- ----- OpenVPN Start -----

10:27:48.450 -- EVENT: CORE_THREAD_ACTIVE

10:27:48.455 -- OpenVPN core 3.git:released:662eae9a:Release android armv7a thumb2 32-bit PT_PROXY

10:27:48.461 -- Frame=512/2048/512 mssfix-ctrl=1250

10:27:48.462 -- UNUSED OPTIONS
1 [tls-client]
5 [pull]
7 [script-security] [2]

10:27:48.463 -- EVENT: RESOLVE

10:27:48.485 -- Contacting ************* via TCPv4

10:27:48.486 -- EVENT: WAIT

10:27:48.510 -- Connecting to [**************]:443 (************) via TCPv4

10:27:48.516 -- EVENT: CONNECTING

10:27:48.523 -- Tunnel Options:V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-client

10:27:48.523 -- Creds: Username/Password

10:27:48.524 -- Peer Info:
IV_VER=3.git:released:662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_GUI_VER=net.openvpn.connect.android_3.2.4-5891
IV_SSO=openurl


10:27:48.701 -- VERIFY FAIL: depth=1, /C=US/O=Let's Encrypt/CN=R3 [unable to get local issuer certificate]

10:27:48.701 -- Transport Error: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

10:27:48.702 -- EVENT: CERT_VERIFY_FAIL info='OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed'

10:27:48.708 -- EVENT: DISCONNECTED

10:27:48.708 -- Tunnel bytes per CPU second: 0

10:27:48.709 -- ----- OpenVPN Stop -----


Vronsky

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.539
Re: OpenVPN Client plots down..
« Reactie #1 Gepost op: 26 juni 2021, 12:57:17 »
OpenVPN Client op diverse mobiele devices is plots down gegaan, VPN server draait op een DS218
Let's Encrypt certificaat 2x vernieuwd op de server, verval datum was nog goed.

Let's Encrypt is niet handig voor Open VPN. Omdat het certificaat al na 2 maand vernieuwd wordt, moet je elke 2 maand je config file opnieuw bij al je devices vernieuwen. NB: na elke vernieuwing op de server is je vorige config file niet meer geldig.

Beter is het om een self-signed certificaat aan te maken. Alleen heeft Synology ook daar de geldigheid verlaagd naar 12 maand als je dit via hun GUI aanmaakt. In elk geval scheelt het iets omdat je dan de config maar eens per jaar hoeft te updaten.  (Ik heb hier al eens een ticket voor aangemaakt, maar ik kreeg niet echt het idee dat ze de geldigheidsperiode zelf kiesbaar willen maken)

Ik heb overiges geen idee of je probleem daar aan ligt. Ik zie wel voor de term TCP in je log, terwijl OpenVPN standaard via het UDP protocol loopt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Vronsky

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 1
  • Berichten: 40
Re: OpenVPN Client plots down..
« Reactie #2 Gepost op: 27 juni 2021, 09:38:18 »
Klopt, heb eea. via TCP lopen, werkt(te?) prima.
Zal eens een nieuwe config file gaan aanmaken.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.539
Re: OpenVPN Client plots down..
« Reactie #3 Gepost op: 27 juni 2021, 11:11:56 »
En als dat niet helpt, is dit misschien de oorzaak:

Citaat
10:27:48.701 -- VERIFY FAIL: depth=1, /C=US/O=Let's Encrypt/CN=R3 [unable to get local issuer certificate]

IV_PLAT=android

Het issuer certificaat is volgens mij het root certificaat. Let's Encrypt is recentelijk overgestapt op een nieuw root certificaat (ISRG Root X1) omdat de oude ongeldig begon te worden. Die overstap is al jaren gepland om OS-en de tijd te geven dit nieuwe certificaat te installeren. Van Android is bekend dat die de  telefoons slecht updaten. Van de oudere Android versies zijn nooit updates uitgegeven waar de nieuwere root certificaten in zaten. Maar dan zou je ook problemen moeten zien bij websites die Let's Encrypt gebruiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Vronsky

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 1
  • Berichten: 40
Re: OpenVPN Client plots down..
« Reactie #4 Gepost op: 27 juni 2021, 11:28:52 »
Thanks, maar ook m'n MacBook en iPad tonen dezelfde foutmelding, 't lijkt dus geen Android/enkel device prob hoewel die Samsung al 3 jaar oud is.

Offline Vronsky

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 1
  • Berichten: 40
Re: OpenVPN Client plots down..
« Reactie #5 Gepost op: 27 juni 2021, 11:51:54 »
Update: VPN Server nieuw config file laten exporteren, CA certificaat-deel copy/paste in oude config file: bingo, werkt weer

Heb dit niet eerder gehad, heeft >1 jaar probleemloos gewerkt met zelfde config file.
VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.

Thanks,
V.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7966
  • Berichten: 43.946
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: OpenVPN Client plots down..
« Reactie #6 Gepost op: 27 juni 2021, 11:56:12 »
Citaat
VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.
Dat klopt wel, maar dan moet je altijd weer exporteren en de Cliënt updaten.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.539
Re: OpenVPN Client plots down..
« Reactie #7 Gepost op: 27 juni 2021, 13:23:35 »
VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.

Klopt, maar dat is direct het probleem bij VPN. Bij HTTPS (Websites) of mail (SMTP), stuurt de server bij het eerste contact een copie van het usercertificaat (de public key) naar de gebruiker om het verdere verkeer mee te versleutelen.
Bij OpenVPN gebeurt dit niet. Daar wordt het usercertificaat via de config file aan de gebruiker gegeven. En die is alleen geldig zolang er geen nieuwe in gebruik genomen wordt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Foutmelding OpenVPN, waaar probleem te zoeken?

Gestart door BabyloniaBoard VPN Server

Reacties: 4
Gelezen: 1860
Laatste bericht 06 oktober 2018, 12:33:49
door Babylonia
OpenVPN: certifcaten en keys in één bestand

Gestart door BartSBoard VPN Server

Reacties: 4
Gelezen: 3124
Laatste bericht 06 maart 2016, 17:29:52
door BartS
OpenVPN '#redirect-gateway def1' werkt niet met gecomprimeerde data-overdracht

Gestart door BabyloniaBoard VPN Server

Reacties: 10
Gelezen: 5158
Laatste bericht 27 april 2018, 19:13:36
door Babylonia
Inloggen via OpenVPN met certificaat

Gestart door UhhhBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 2116
Laatste bericht 20 december 2014, 23:42:32
door Uhhh
OpenVPN vragen mbt. clients

Gestart door HenkGroenBoard VPN Server

Reacties: 22
Gelezen: 3000
Laatste bericht 12 februari 2021, 17:55:23
door Plerry