Freebox Server

  • État Close
  • Type de tâche Évolution
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Romain FLIEDEL (rfliedel)
  • Système d'exploitation Tous
  • Sévérité Basse
  • Priorité Normale
  • Basée sur la version 2.1.1
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non
Concerne le projet: Freebox Server
Ouverte par aaribaud (aaribaud) - 30/04/2014
Dernière édition par Romain FLIEDEL (rfliedel) - 30/11/2015

FS#14851 - Remplacer tls-remote par verify-x509-name dans les configurations générées

Les configurations produites par la freebox contiennent tls-remote qui va disparaître prochainement

Extrait du man de openvpn v2.3.2 :

–tls-remote name (DEPRECATED)

            [...]
            Please  also  note: This option is now deprecated.  It will be removed either in OpenVPN v2.4 or v2.5.  So please make sure you support the new X.509 name
            formatting described with the --compat-names option as soon as possible by updating your configurations to use --verify-x509-name instead.
Close par  Romain FLIEDEL (rfliedel)
Monday 30 November, 2015 21:55:44
Raison de clôture :  Evolution intégrée
Commentaires supplémentaires de clôture :  En 3.2.0

Cette tache ne dépend pas d'autre tache

Maxime Bizon (mbizon)
Wednesday 30 April, 2014 17:28:31

Si je mets l'option, une personne qui n'a pas le dernier openvpn ne fonctionnera pas...

aaribaud (aaribaud)
Wednesday 30 April, 2014 17:42:35

D'un autre côté, les configs générées actuellement risquent fort de ne pas fonctionner pour une personne qui aura openvpn 2.4 ou supérieur... Je crains qu'il ne faille envisager de faire spécifier la version d'OpenVPN utilisée ( 2.3 ou antérieur, 2.4 ou ultérieur ) au moment de générer la config – ou générer les deux configs dans un zip et dire à l'utilisateur de choisir la bonne selon sa version d'OpenVPN.

Maxime Bizon (mbizon)
Wednesday 30 April, 2014 17:46:34

C'est pas critique dans le sens ou le fichier peut être édité par l'utilisateur, mais oui on peut mettre ça en demande d'evo.

Sébastien PILLIEN (syndrael)
Saturday 7 November, 2015 14:30:39

En évolution pourrait être une bonne idée
Mais entre temps il faudrait spécifier la solution de contournement qui permet de passer du tls-remote au verify-x509-name
Car si on remplace 'brutalement' on obtient l'erreur: VERIFY X509NAME ERROR: C=FR, O=Freebox SA, CN=Freebox OpenVPN server xxx, must be /C=FR/O=Freebox_SA/CN=Freebox_OpenVPN_server_xxx

En tout cas ça pourrait en aider quelques uns d'entre nous.
Merci

Chargement...