[Решено] перестал работать ВПН после обновления с 11 до 12 версии

Автор Сергей из НН, 06 сентября 2023, 11:25:02

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Сергей из НН

Всем добрый день.
Проблема такая. Обновил Debian с 11 до 12 версии и пеерстало работать ВПН соединение.
Почитав по интернетам причины и способы решения впн починил. добавил поддержку старых алгоритмов.
в /etc/ssl/openssl.cnf добавил
[openssl_init]
providers = provider_sect
[provider_sect]
default = default_sect
legacy = legacy_sect
[default_sect]
activate = 1
[legacy_sect]
activate = 1
в файл конфигурации впн соединения (.ovpn) добавил строки
tls-version-min 1.0
tls-cert-profile insecure
providers legacy default
compat-mode 2.3.0

теперь из консоли соединение работает
sudo openvpn myconnection.ovpn

но не подключается это соединение, если его запускать в GUI NetworkManager.
конфиги этих соединений находятся в /etc/NetworkManager/system-connections
Если добавляю новые настройки из .ovpn файла в .nmconnection, то они похоже не действуют либо неизвестны нетворкменеджеру.
Делаю создание соединения импортом настроек из .ovpn файла, то получившееся соединение тоже не работает.

В логах при соединении ошибка
сен 06 11:00:19 mycomp nm-openvpn[7360]: TLS error: Unsupported protocol. This typically indicates that client and server have no common TLS version enabled. This can be caused by mismatched tls-version-min and tls-version-max options on client and server. If your OpenVPN client is between v2.3.6 and v2.3.2 try adding tls-version-min 1.0 to the client configuration to use TLS 1.0+ instead of TLS 1.0 only
сен 06 11:00:19 mycomp nm-openvpn[7360]: OpenSSL: error:0A000102:SSL routines::unsupported protocol
сен 06 11:00:19 mycomp nm-openvpn[7360]: TLS_ERROR: BIO read tls_read_plaintext error
сен 06 11:00:19 mycomp nm-openvpn[7360]: TLS Error: TLS object -> incoming plaintext read error
сен 06 11:00:19 mycomp nm-openvpn[7360]: TLS Error: TLS handshake failed

Помогите, пожалуйста, починить это соединение.

dzhoser

Ошибка TLS: неподдерживаемый протокол. Обычно это означает, что на клиенте и сервере не включена общая версия TLS. Это может быть вызвано несовпадением параметров tls-version-min и tls-version-max на клиенте и сервере. Если ваш клиент OpenVPN находится между версиями 2.3.6 и 2.3.2, попробуйте добавить tls-version-min 1.0 в конфигурацию клиента, чтобы использовать только TLS 1.0+ вместо TLS 1.0.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Сергей из НН

так вот как раз эти параметры я и добавил в файл конфигурации.
openvpn использует конфиг .ovpn, и воспринимает эти параметры и подключается нормально.
networkmanager использует свой конфиг .nmconnection. если в этот конфиг в секции vpn указать эти же параметры, то networkmanager их уже не воспринимает почему-то.

dzhoser

Настройки такие?
# config vpn ssl settings
    set reqclientcert disable
    set ssl-max-proto-ver tls1-1
    set ssl-min-proto-ver tls1-0
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Сергей из НН

#4
если я эти настройки прописываю в файл конфигурации соединения в networkmanager, то это соединение пропадает из списка доступных

я ведь правильно записываю эти настройки, в файл соединения myvpncon.nmconnection в раздел [vpn]?

на сервере настройки такие не запишешь, серверная часть это железка pfsense и настройки на ней менять не получится.

а вот почему соединения пропадают.
после смены файла настроек соединения делаю nmcli con reload чтобы nm увидел изменения
и в логах такие ошибки
сен 07 12:31:44 mycomp NetworkManager[745]: <warn>  [1694079104.4868] keyfile: load: "/etc/NetworkManager/system-connections/myvpncon.nmconnection": failed to load connection: Файл ключей содержит строку «ssl-max-proto-ver tls1-1», которая не является парой «ключ-значение», группой или комментарием
и так по всем трем параметрам

07 сентября 2023, 12:40:51
решил проблему, почему соединение пропадает. невнимательно записывал параметры.

вобщем параметры в конфиг .nmconnection добавил
set reqclientcert disable
set ssl-max-proto-ver tls1-1
set ssl-min-proto-ver tls1-0

но соединение не устанавливается
ошибка из лога

сен 07 12:38:23 mycomp NetworkManager[745]: <warn>  [1694079503.3534] vpn[0x5560c68ec740,0531f3ce-984d-4e09-b98b-636152049fde,"myvpncon"]: connect: failed to connect interactively: 'GDBus.Error:org.freedesktop.NetworkManager.VPN.Error.BadArguments: свойство «ssl-max-proto-ver» некорректно или не поддерживается'
и так по всем трем параметрам

07 сентября 2023, 13:30:19
увидел nm эти настройки. теперь при соединении такая ошибка

OpenSSL: error:0A00014D:SSL routines::legacy sigalg disallowed or unsupported

07 сентября 2023, 14:02:56
а все, можно закрывать тему.
я решил проблему.
в .nmconnection файл надо было добавить
tls-cipher=DEFAULT:@SECLEVEL=0
tls-version-min=1.0

большое спасибо за помощь