From josiecki w silvercube.pl Thu Dec 9 11:29:01 2021 From: josiecki w silvercube.pl (Jacek Osiecki) Date: Thu, 9 Dec 2021 11:29:01 +0100 Subject: =?utf-8?Q?OpenVPN_wywala_si=C4=99_ze_starym_cipherem?= Message-ID: Hej, zrobiłem upgrade paru rzeczy, niestety przy tym też musiałem zrobić upgrade openssl i openvpn. No i? mam problem :( Przestał mi działać openvpn. Problem polega na tym, że mam w konfiguracji deklarację: cipher BF-CBC Owszem, nie jest zalecany, ale nie jest też zabroniony. Tymczasem openvpn wstaje, po czym - gdy się podłączy jakiś klient? 2021-12-09 11:17:17 us=293115 controlhost4/x.x.x.x:35559 OpenSSL: error:0308010C:digital envelope routines::unsupported 2021-12-09 11:17:17 us=293122 controlhost4/x.x.x.x:35559 EVP cipher init #1 2021-12-09 11:17:17 us=293127 controlhost4/x.x.x.x:35559 Exiting due to fatal error i nie dość że się nie zestawia połączenie, to w ogóle szlag trafia samego openvpna! Co jest grane? P.S. Po upgradzie/downgradzie rpm do php4 zniknął repackaging pakietów :( Jak to przywrócić? Pozdrawiam, ? Jacek From zawadaa w gmail.com Thu Dec 9 11:59:18 2021 From: zawadaa w gmail.com (Andrzej Zawadzki) Date: Thu, 9 Dec 2021 11:59:18 +0100 Subject: =?UTF-8?Q?Re=3A_OpenVPN_wywala_si=C4=99_ze_starym_cipherem?= In-Reply-To: References: Message-ID: On Thu, Dec 9, 2021 at 11:47 AM Jacek Osiecki wrote: > Hej, > > zrobiłem upgrade paru rzeczy, niestety przy tym też musiałem zrobić > upgrade openssl i openvpn. > No i? mam problem :( > > Przestał mi działać openvpn. > > Problem polega na tym, że mam w konfiguracji deklarację: > > cipher BF-CBC > > Owszem, nie jest zalecany, ale nie jest też zabroniony. > > Tymczasem openvpn wstaje, po czym - gdy się podłączy jakiś klient? > > 2021-12-09 11:17:17 us=293115 controlhost4/x.x.x.x:35559 OpenSSL: > error:0308010C:digital envelope routines::unsupported > 2021-12-09 11:17:17 us=293122 controlhost4/x.x.x.x:35559 EVP cipher init #1 > 2021-12-09 11:17:17 us=293127 controlhost4/x.x.x.x:35559 Exiting due to > fatal error > > Hej, ja do konfiguracji (dla połączeń do starszego Debiana) musiałem dodać: tls-cipher=DEFAULT:@SECLEVEL=0 i działa. Niestety nowy openssl w innych dystrybucjach to jeszcze, jeszcze ;-) O urządzeniach z jakimś firmaware to w ogóle nie wspominać lepiej... -- Andrzej Zawadzki From josiecki w silvercube.pl Thu Dec 9 12:02:56 2021 From: josiecki w silvercube.pl (Jacek Osiecki) Date: Thu, 9 Dec 2021 12:02:56 +0100 Subject: =?utf-8?Q?Re=3A_OpenVPN_wywala_si=C4=99_ze_starym_cipherem?= In-Reply-To: References: Message-ID: <23FCC9D9-06A6-44A2-9B00-57F97FA0209C@silvercube.pl> Wiadomość napisana przez Andrzej Zawadzki w dniu 09.12.2021, o godz. 11:59: > > On Thu, Dec 9, 2021 at 11:47 AM Jacek Osiecki > >> zrobiłem upgrade paru rzeczy, niestety przy tym też musiałem zrobić >> upgrade openssl i openvpn. >> No i? mam problem :( >> >> Przestał mi działać openvpn. >> Hej, ja do konfiguracji (dla połączeń do starszego Debiana) musiałem dodać: > > tls-cipher=DEFAULT:@SECLEVEL=0 no właśnie trafiłem na to? Na razie jeszcze widzę szansę, bo w sumie na pozostałych systemach mogę zrobić upgrade openvpna. Nawet na mikrotiku się udało, tylko musiałem wymusić cipher AES-256-CBC bo nie wiedzieć czemu nie podsuwa go do negocjacji, a mikrotiki w ogóle mają openvpna w dupie :-/ Jak będzie lato to sprawdzę czy mi się stary openwrt podłączy, bo co do niego mam spore wątpliwości? ale to w sumie najmniej istotne. Pozdrawiam, ? Jacek From bszx-pld w bszx.eu Mon Dec 20 15:53:01 2021 From: bszx-pld w bszx.eu (Bartek Szady) Date: Mon, 20 Dec 2021 15:53:01 +0100 Subject: openssl 3.0.0 i error:0A000152:SSL routines::unsafe legacy renegotiation disabled Message-ID: <64aee8b5-9a25-4cd0-455b-380bcc6d9296@bszx.eu> Cześć Zrobiłem upgrade serwera do aktualnych wersji z main (między innymi openssl 3.0.0) i próby połączenia z https://mapy.geoportal.gov.pl wget'em, curl'em, przez php itp kończą się błędem: error:0A000152:SSL routines::unsafe legacy renegotiation disabled Np.: $ curl -v -k https://mapy.geoportal.gov.pl *   Trying 91.223.135.44:443... * Connected to mapy.geoportal.gov.pl (91.223.135.44) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * TLSv1.0 (OUT), TLS header, Certificate Status (22): * TLSv1.3 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS header, Certificate Status (22): * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.2 (OUT), TLS header, Unknown (21): * TLSv1.2 (OUT), TLS alert, handshake failure (552): * error:0A000152:SSL routines::unsafe legacy renegotiation disabled * Closing connection 0 curl: (35) error:0A000152:SSL routines::unsafe legacy renegotiation disabled Na serwerze z openssl 1.1.1l curl się łączy: $ curl -v -k https://mapy.geoportal.gov.pl/ *   Trying 91.223.135.44:443... * Connected to mapy.geoportal.gov.pl (91.223.135.44) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: *  CAfile: /etc/certs/ca-certificates.crt *  CApath: none * TLSv1.3 (OUT), TLS handshake, Client hello (1): * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server did not agree to a protocol * Server certificate: *  subject: CN=*.geoportal.gov.pl *  start date: Mar  4 23:00:00 2021 GMT *  expire date: Mar  4 23:00:00 2022 GMT *  issuer: C=PL; O=Unizeto Technologies S.A.; OU=Certum Certification Authority; CN=Certum Domain Validation CA SHA2 *  SSL certificate verify ok. > GET / HTTP/1.1 > Host: mapy.geoportal.gov.pl > User-Agent: curl/7.78.0 > Accept: */* > * Mark bundle as not supporting multiuse * HTTP 1.0, assume close after body < HTTP/1.0 302 Moved Temporarily < Location: https://mapy.geoportal.gov.pl/imap/ * HTTP/1.0 connection set to keep alive! < Connection: Keep-Alive < Content-Length: 0 Co należy wpisać do openssl.cnf aby zezwolić na takie połączenia? Próbowałem różnych kombinacji w rodzaju: Options = UnsafeLegacyRenegotiation ClientRenegotiation !NoRenegotiation ale efektów to nie przyniosło :-( pozdrawiam         Bartek From arekm w maven.pl Mon Dec 20 16:22:32 2021 From: arekm w maven.pl (=?UTF-8?Q?Arkadiusz_Mi=c5=9bkiewicz?=) Date: Mon, 20 Dec 2021 16:22:32 +0100 Subject: openssl 3.0.0 i error:0A000152:SSL routines::unsafe legacy renegotiation disabled In-Reply-To: <64aee8b5-9a25-4cd0-455b-380bcc6d9296@bszx.eu> References: <64aee8b5-9a25-4cd0-455b-380bcc6d9296@bszx.eu> Message-ID: On 20.12.2021 15:53, Bartek Szady wrote: > Co należy wpisać do openssl.cnf aby zezwolić na takie połączenia? > > Próbowałem różnych kombinacji w rodzaju: > > Options = UnsafeLegacyRenegotiation ClientRenegotiation !NoRenegotiation openssl_conf = openssl_init [openssl_init] ssl_conf = ssl_sect [ssl_sect] system_default = system_default_sect [system_default_sect] Options = UnsafeLegacyRenegotiation wydaje się działać. -- Arkadiusz Miśkiewicz, arekm / ( maven.pl | pld-linux.org ) From bszx-pld w bszx.eu Mon Dec 20 16:43:34 2021 From: bszx-pld w bszx.eu (Bartek Szady) Date: Mon, 20 Dec 2021 16:43:34 +0100 Subject: openssl 3.0.0 i error:0A000152:SSL routines::unsafe legacy renegotiation disabled In-Reply-To: References: <64aee8b5-9a25-4cd0-455b-380bcc6d9296@bszx.eu> Message-ID: <52457161-eeaa-7616-abdb-87cf11b44d8f@bszx.eu> On 12/20/21 16:22, Arkadiusz Miśkiewicz wrote: > On 20.12.2021 15:53, Bartek Szady wrote: > >> Co należy wpisać do openssl.cnf aby zezwolić na takie połączenia? >> >> Próbowałem różnych kombinacji w rodzaju: >> >> Options = UnsafeLegacyRenegotiation ClientRenegotiation !NoRenegotiation > openssl_conf = openssl_init > > [openssl_init] > ssl_conf = ssl_sect > > [ssl_sect] > system_default = system_default_sect > > [system_default_sect] > Options = UnsafeLegacyRenegotiation > > > wydaje się działać. > Działa, wielkie dzięki.         Bartek