OpenVPN Update auf 2.4
Beim updaten von Debian 8 auf 9 ist beim updaten von OpenVPN openvpn:amd64 2.3.4-5+deb8u2 2.4.0-6+deb9u2 folgendes Problem im Server Log aufgetaucht:
Jan 16 08:57:05 gw openvpn[21175]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Jan 16 08:57:05 gw openvpn[21175]: TLS Error: TLS handshake failed
Jan 16 08:57:05 gw openvpn[21175]: TCP/UDP: Closing socket
Jan 16 08:57:05 gw openvpn[21175]: SIGUSR1[soft,tls-error] received, process restarting
Es stellte sich herraus das die von easy-rsa erstelte crl.pem abgelaufen war. Dies Prüft man mit:
openssl crl -in easy-rsa2/keys/crl.pem -text
Im der Server Konfigurationsdatei wurde die Certificate Revocation List (CRL) geprüft:
crl-verify ./easy-rsa2/keys/crl.pem
Eigentlich wäre es schön wenn die crl.pem automatisch mit neuem Ablaufdatum erstellt würde. Meine Vorgehensweise um dies mit easy-rsa mitteln zum machen war:
cd /etc/openvpn/easy-rsa2 source ./vars ./list-crl /revoke-full
Hier habe ich ein bereits abgelaufenes Zertifikat noch einmal revokert.