Februar, 2019

OpenVPN Update auf 2.4

Freitag, Februar 1st, 2019

Beim updaten von Debian 8 auf 9 ist beim updaten von OpenVPN openvpn:amd64 2.3.4-5+deb8u2 2.4.0-6+deb9u2 folgendes Problem im Server Log aufgetaucht:

Jan 16 08:57:05 gw openvpn[21175]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Jan 16 08:57:05 gw openvpn[21175]: TLS Error: TLS handshake failed
Jan 16 08:57:05 gw openvpn[21175]: TCP/UDP: Closing socket
Jan 16 08:57:05 gw openvpn[21175]: SIGUSR1[soft,tls-error] received, process restarting

Es stellte sich herraus das die von easy-rsa erstelte crl.pem abgelaufen war. Dies Prüft man mit:

openssl crl -in easy-rsa2/keys/crl.pem -text

Im der Server Konfigurationsdatei wurde die Certificate Revocation List (CRL) geprüft:

crl-verify ./easy-rsa2/keys/crl.pem

Eigentlich wäre es schön wenn die crl.pem automatisch mit neuem Ablaufdatum erstellt würde. Meine Vorgehensweise um dies mit easy-rsa mitteln zum machen war:

cd /etc/openvpn/easy-rsa2
source ./vars
./list-crl
/revoke-full 

Hier habe ich ein bereits abgelaufenes Zertifikat noch einmal revokert.