FS#14851 : Remplacer tls-remote par verify-x509-name dans les configurations générées

État Fermée
Pourcentage achevé
100%
Type Évolution
Catégorie Services locaux → Serveur VPN
Assignée à

rfliedel
Système d'exploitation Tous
Sévérité Basse
Priorité Très Basse
Basée sur la version 2.1.1
Due pour la version Non décidée
Échéance Non décidée
Votes
Privée

Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par aaribaud - 30/04/2014
Dernière modification par rfliedel - 30/11/2015

FS#14851 - Remplacer tls-remote par verify-x509-name dans les configurations générées

Les configurations produites par la freebox contiennent tls-remote qui va disparaître prochainement

Extrait du man de openvpn v2.3.2 :

–tls-remote name (DEPRECATED)

            [...]
            Please  also  note: This option is now deprecated.  It will be removed either in OpenVPN v2.4 or v2.5.  So please make sure you support the new X.509 name
            formatting described with the --compat-names option as soon as possible by updating your configurations to use --verify-x509-name instead.

Fermée par rfliedel
30.11.2015 21:55
Raison de la fermeture : Evolution intégrée
Commentaires de fermeture :

En 3.2.0

Commentaires (4)
Tâches liées (0/0)

mbizon a commenté le 30.04.2014 17:28

Si je mets l'option, une personne qui n'a pas le dernier openvpn ne fonctionnera pas...

aaribaud a commenté le 30.04.2014 17:42

D'un autre côté, les configs générées actuellement risquent fort de ne pas fonctionner pour une personne qui aura openvpn 2.4 ou supérieur... Je crains qu'il ne faille envisager de faire spécifier la version d'OpenVPN utilisée ( 2.3 ou antérieur, 2.4 ou ultérieur ) au moment de générer la config – ou générer les deux configs dans un zip et dire à l'utilisateur de choisir la bonne selon sa version d'OpenVPN.

mbizon a commenté le 30.04.2014 17:46

C'est pas critique dans le sens ou le fichier peut être édité par l'utilisateur, mais oui on peut mettre ça en demande d'evo.

syndrael a commenté le 07.11.2015 14:30

En évolution pourrait être une bonne idée
Mais entre temps il faudrait spécifier la solution de contournement qui permet de passer du tls-remote au verify-x509-name
Car si on remplace 'brutalement' on obtient l'erreur: VERIFY X509NAME ERROR: C=FR, O=Freebox SA, CN=Freebox OpenVPN server xxx, must be /C=FR/O=Freebox_SA/CN=Freebox_OpenVPN_server_xxx

En tout cas ça pourrait en aider quelques uns d'entre nous.
Merci

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche