Proszę o pomoc, jakieś wskazówki bo już pomysłów brak ...
Jest od lat działająca sieć VPN postawiona w całości na routerach RT-N16 (tryb TAP).
Jeden z nich robi za serwer (publiczny adres IP) a pozostali to podłączeni do niego trzej klienci.
Na wszystkich routerach Tomato w wersji MIPSR2-132 K26 USB AIO
Certyfikaty wygenerowane kilka lat temu na kompie z Win7 w OpenVPN v 2.1.4
Wszystko działa od paru lat stabilnie.
Teraz jednego klienta chcę podmienić z modelu RT-N16 na model RT-AC68U (ver. E1)
Ten nowy router już prze-flashowany na FreshTomato do najnowszej wersji 2020.8
Przenoszę metodą kopiuj-wklej certyfikaty z gui jednego z obecnych klientów (ca.crt, klient.crt, oraz klient.key) do gui nowego routera na FreshTomato, klikam przycisk start now i klapa klient się nie odpala (przycisk nie zmienia napisu ze start now na stop now).
Nowy router ma połączenie z internetem, pamięć nvram kilkukrotnie czyszczona, próbowałem na różnych wersjach począwszy od 2019.3 wzwyż i bez efektu.
Podłączam z powrotem starego RT-N16 i ten działa bez problemu.
Tak się zastanawiam czy przypadkiem problemem są stare certyfikaty generowane w 2014 roku ale skoro na jednym działają to dlaczego na drugim mają nie działać ...
Edytowany przez posucha dnia 09-01-2021 16:24
Powiadasz tomato 132, lata temu to było i pewnie jakiś OpenVPN przed 2.4. Najlepiej jakbyś wgrał wszędzie to samo tomato 2020.8, zainstalował OpenVPN 2.5 na kompie i zrobił wszystkie certy od nowa - tak chyba będzie najprościej, niż szukać co gdzie i kiedy się pozmieniało i próbować aktualizować certy po kolei.
A pozmieniało się kilka rzeczy w kluczach, głównie z powodu wykrytych podatności.
Edytowany przez Gomi dnia 09-01-2021 16:49
I właśnie tego tak po cichu się obawiam i wolałbym unikąć ...
Z dwoma klientami nie ma problemu mogę podmienić na nich softy, z serwerem też nie będzie kłopotu, jak coś nie wypali to są w miarę blisko i można do nich podjechać ale jeden klient jest na łączu LTE (zdalny monitoring z działki) i to jeszcze 160 kilosów ode mnie.
Na tego to się zdalnie nie wbije po podmianie softu ale jak trzeba będzie (czytaj nie będzie innego rozwiązania obecnego problemu) to odżałuje jeden dzień z weekendu i się tam podjedzie i zmieni softa na nowszego z nowszymi certyfikatami.
Nowa wersja openVPN (we freshtomato) wymusza wyższy poziom bezpieczeństwa na certyfikatach, stąd problemy. Pewnie w logach znajdziesz coś w stylu "SSL_CTX_use_certificate:ca md too weak"
Rozwiązanie tymczasowe i w sumie niezalecane to obniżenie poziomu bezpieczeństwa nowego openVPN poprzez dodanie do konfiguracji wpisu
Cytat
tls-cipher "DEFAULT:@SECLEVEL=0"
Da ci to czas na przygotowanie sobie nowych certyfikatów z lepszym szyfrowaniem.
Proxmox VE:i7-7700T, 64GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology DS920+ VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2