Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Anomalie
  • Catégorie Non trié
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Basse
  • Priorité Normale
  • Basée sur la version 4.6.1
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non

FS#36851 - Plus d'accès openvpn

Bonjour
Depuis qqs semaines impossible de se connecter en utilisant openvpn serveur
J’obtiens l’erreur
7:06 AM OpenSSL: error:0A000086:SSL routines::certificate verify failed
Comment résoudre se problème ?
Merci
Pj

Cette tache ne dépend pas d'autre tache

Marios Makassikis (mmakassikis)
mercredi 20 juillet, 2022 15:39:37

Bonjour,

Pouvez-vous m’indiquer la MAC de votre box ?

Quel client utilisez-vous ?

pjdl (pjdl2004)
mercredi 20 juillet, 2022 15:51:37

Bonjour
F4:CA:E5:40:A6:FD
Openvpn for Android

Marios Makassikis (mmakassikis)
jeudi 21 juillet, 2022 10:08:04

Je ne vois rien dans les logs, et je n’arrive pas non plus à reproduire. Par contre, je lis que ce message d’erreur peut se produire si un certificat est expiré.

En éditant le profil de connexion dans l’application Android, il y a deux entrées “CA Certificate” et “Client Certificate” dans le premier onglet (”basic”). Est-ce que les certificats sont toujours d’actualité ?

Pouvez-vous rajouter un nouvel utilisateur sur FreeboxOS et retester ?

pjdl (pjdl2004)
jeudi 21 juillet, 2022 10:26:56

Bonjour,
Pour les certificats 218 et 178 jours restants
J’ai créé un nouvel utilisteur:même problème

12:21 DEPRECATED OPTION: –cipher set to ‘AES-256-CBC’ but missing in –data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores –cipher for cipher negotiations.
12:21 OpenVPN 2.6-icsopenvpn [git:icsopenvpn/v0.7.37-0-g53560170] arm64-v8a [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on May 7 2022
12:21 library versions: OpenSSL 3.0.3 3 May 2022, LZO 2.10
12:21 TCP/UDP: Preserving recently used remote address: [AF_INET]x.x.x.x:59181
12:21 UDP link local: (not bound)
12:21 UDP link remote: [AF_INET]x.x.x.x:59181
12:21 VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=FR, O=Freebox SA, CN=Freebox OpenVPN server bd61c31b404cc7401a9d4ebb9fd8707d, serial=9494830304065730217
12:21 OpenSSL: error:0A000086:SSL routines::certificate verify failed
12:21 TLS_ERROR: BIO read tls_read_plaintext error
12:21 TLS Error: TLS object → incoming plaintext read error
12:21 TLS Error: TLS handshake failed
12:21 SIGUSR1[soft,tls-error] received, process restarting

Marios Makassikis (mmakassikis)
jeudi 21 juillet, 2022 13:01:07
12:21 VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=FR, O=Freebox SA, CN=Freebox OpenVPN server bd61c31b404cc7401a9d4ebb9fd8707d, serial=9494830304065730217

L’erreur est ici: la vérification du certificat échoue car l’algo est jugé trop vieux.

Ce qui est tout de même curieux, car les certificats utilisent du SHA256.

Est-ce que cela fonctionne mieux en changeant le “TLS Security Profile” à “legacy” dans l’onglet “Authentication/Encryption” du profil ?

Est-ce que l’application Android est à jour ?

pjdl (pjdl2004)
jeudi 21 juillet, 2022 14:17:58

Par défaut sur “Legacy” J’ai testé avec “insecure” et là ça marche

L’appli Android est à jour et tests sur deux appareils

Remarque sous windows+openvpn pas de connexion alors que cela fonctionne avec un serveur vpn extérieur

Chargement...