FS#36851 : Plus d'accès openvpn

Actions rapides

Consulter le graphique des dépendances

État Nouveau
Pourcentage achevé
0%
Type Anomalie
Catégorie Non trié
Assignée à Personne
Système d'exploitation Tous
Sévérité Basse
Priorité Très Basse
Basée sur la version 4.6.1
Due pour la version Non décidée
Échéance Non décidée
Votes
Privée

Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par pjdl2004 - 20/07/2022

FS#36851 - Plus d'accès openvpn

Bonjour
Depuis qqs semaines impossible de se connecter en utilisant openvpn serveur
J'obtiens l'erreur
7:06 AM OpenSSL: error:0A000086:SSL routines::certificate verify failed
Comment résoudre se problème ?
Merci
Pj

Commentaires (6)
Tâches liées (0/0)

mmakassikis a commenté le 20.07.2022 15:39

Bonjour,

Pouvez-vous m'indiquer la MAC de votre box ?

Quel client utilisez-vous ?

pjdl2004 a commenté le 20.07.2022 15:51

Bonjour
F4:CA:E5:40:A6:FD
Openvpn for Android

mmakassikis a commenté le 21.07.2022 10:08

Je ne vois rien dans les logs, et je n'arrive pas non plus à reproduire. Par contre, je lis que ce message d'erreur peut se produire si un certificat est expiré.

En éditant le profil de connexion dans l'application Android, il y a deux entrées "CA Certificate" et "Client Certificate" dans le premier onglet ("basic"). Est-ce que les certificats sont toujours d'actualité ?

Pouvez-vous rajouter un nouvel utilisateur sur FreeboxOS et retester ?

pjdl2004 a commenté le 21.07.2022 10:26

Bonjour,
Pour les certificats 218 et 178 jours restants
J’ai créé un nouvel utilisteur:même problème

12:21 DEPRECATED OPTION: –cipher set to 'AES-256-CBC' but missing in –data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores –cipher for cipher negotiations.
12:21 OpenVPN 2.6-icsopenvpn [git:icsopenvpn/v0.7.37-0-g53560170] arm64-v8a [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on May 7 2022
12:21 library versions: OpenSSL 3.0.3 3 May 2022, LZO 2.10
12:21 TCP/UDP: Preserving recently used remote address: [AF_INET]x.x.x.x:59181
12:21 UDP link local: (not bound)
12:21 UDP link remote: [AF_INET]x.x.x.x:59181
12:21 VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=FR, O=Freebox SA, CN=Freebox OpenVPN server bd61c31b404cc7401a9d4ebb9fd8707d, serial=9494830304065730217
12:21 OpenSSL: error:0A000086:SSL routines::certificate verify failed
12:21 TLS_ERROR: BIO read tls_read_plaintext error
12:21 TLS Error: TLS object → incoming plaintext read error
12:21 TLS Error: TLS handshake failed
12:21 SIGUSR1[soft,tls-error] received, process restarting

mmakassikis a commenté le 21.07.2022 13:01

12:21 VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=FR, O=Freebox SA, CN=Freebox OpenVPN server bd61c31b404cc7401a9d4ebb9fd8707d, serial=9494830304065730217

L'erreur est ici: la vérification du certificat échoue car l'algo est jugé trop vieux.

Ce qui est tout de même curieux, car les certificats utilisent du SHA256.

Est-ce que cela fonctionne mieux en changeant le "TLS Security Profile" à "legacy" dans l'onglet "Authentication/Encryption" du profil ?

Est-ce que l'application Android est à jour ?

pjdl2004 a commenté le 21.07.2022 14:17

Par défaut sur "Legacy"
J’ai testé avec "insecure" et là ça marche

L’appli Android est à jour et tests sur deux appareils

Remarque sous windows+openvpn pas de connexion alors que cela fonctionne avec un serveur vpn extérieur

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche