OpenVPN Client plots down..

[Vronsky]

OpenVPN Client op diverse mobiele devices is plots down gegaan, VPN server draait op een DS218
Let's Encrypt certificaat 2x vernieuwd op de server, verval datum was nog goed.

Hier de error log, ziet iemand iets raars ?? THANKS


10:27:48.449 -- ----- OpenVPN Start -----

10:27:48.450 -- EVENT: CORE_THREAD_ACTIVE

10:27:48.455 -- OpenVPN core 3.git:released:662eae9a:Release android armv7a thumb2 32-bit PT_PROXY

10:27:48.461 -- Frame=512/2048/512 mssfix-ctrl=1250

10:27:48.462 -- UNUSED OPTIONS
1 [tls-client]
5 [pull]
7 [script-security] [2]

10:27:48.463 -- EVENT: RESOLVE

10:27:48.485 -- Contacting ************* via TCPv4

10:27:48.486 -- EVENT: WAIT

10:27:48.510 -- Connecting to [**************]:443 (************) via TCPv4

10:27:48.516 -- EVENT: CONNECTING

10:27:48.523 -- Tunnel Options:V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-client

10:27:48.523 -- Creds: Username/Password

10:27:48.524 -- Peer Info:
IV_VER=3.git:released:662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_GUI_VER=net.openvpn.connect.android_3.2.4-5891
IV_SSO=openurl


10:27:48.701 -- VERIFY FAIL: depth=1, /C=US/O=Let's Encrypt/CN=R3 [unable to get local issuer certificate]

10:27:48.701 -- Transport Error: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

10:27:48.702 -- EVENT: CERT_VERIFY_FAIL info='OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed'

10:27:48.708 -- EVENT: DISCONNECTED

10:27:48.708 -- Tunnel bytes per CPU second: 0

10:27:48.709 -- ----- OpenVPN Stop -----


Vronsky

[Briolet]

OpenVPN Client op diverse mobiele devices is plots down gegaan, VPN server draait op een DS218
Let's Encrypt certificaat 2x vernieuwd op de server, verval datum was nog goed.

Let's Encrypt is niet handig voor Open VPN. Omdat het certificaat al na 2 maand vernieuwd wordt, moet je elke 2 maand je config file opnieuw bij al je devices vernieuwen. NB: na elke vernieuwing op de server is je vorige config file niet meer geldig.

Beter is het om een self-signed certificaat aan te maken. Alleen heeft Synology ook daar de geldigheid verlaagd naar 12 maand als je dit via hun GUI aanmaakt. In elk geval scheelt het iets omdat je dan de config maar eens per jaar hoeft te updaten.  (Ik heb hier al eens een ticket voor aangemaakt, maar ik kreeg niet echt het idee dat ze de geldigheidsperiode zelf kiesbaar willen maken)

Ik heb overiges geen idee of je probleem daar aan ligt. Ik zie wel voor de term TCP in je log, terwijl OpenVPN standaard via het UDP protocol loopt.

[Vronsky]

Klopt, heb eea. via TCP lopen, werkt(te?) prima.
Zal eens een nieuwe config file gaan aanmaken.

[Briolet]

En als dat niet helpt, is dit misschien de oorzaak:

10:27:48.701 -- VERIFY FAIL: depth=1, /C=US/O=Let's Encrypt/CN=R3 [unable to get local issuer certificate]
…
IV_PLAT=android

Het issuer certificaat is volgens mij het root certificaat. Let's Encrypt is recentelijk overgestapt op een nieuw root certificaat (ISRG Root X1) omdat de oude ongeldig begon te worden. Die overstap is al jaren gepland om OS-en de tijd te geven dit nieuwe certificaat te installeren. Van Android is bekend dat die de  telefoons slecht updaten. Van de oudere Android versies zijn nooit updates uitgegeven waar de nieuwere root certificaten in zaten. Maar dan zou je ook problemen moeten zien bij websites die Let's Encrypt gebruiken.

[Vronsky]

Thanks, maar ook m'n MacBook en iPad tonen dezelfde foutmelding, 't lijkt dus geen Android/enkel device prob hoewel die Samsung al 3 jaar oud is.

[Vronsky]

Update: VPN Server nieuw config file laten exporteren, CA certificaat-deel copy/paste in oude config file: bingo, werkt weer

Heb dit niet eerder gehad, heeft >1 jaar probleemloos gewerkt met zelfde config file.
VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.

Thanks,
V.

[Birdy]

VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.

Dat klopt wel, maar dan moet je altijd weer exporteren en de Cliënt updaten.

[Briolet]

VPN Server ververst Let's Encrypt automatisch, meen ik te begrijpen.

Klopt, maar dat is direct het probleem bij VPN. Bij HTTPS (Websites) of mail (SMTP), stuurt de server bij het eerste contact een copie van het usercertificaat (de public key) naar de gebruiker om het verdere verkeer mee te versleutelen.
Bij OpenVPN gebeurt dit niet. Daar wordt het usercertificaat via de config file aan de gebruiker gegeven. En die is alleen geldig zolang er geen nieuwe in gebruik genomen wordt.