Openvpn [Réglé]
Connection impossible
Système et matériels / Installation et configuration
bozzoh Membre non connecté
-
- Voir le profil du membre bozzoh
- Inscrit le : 22/01/2022
- Groupes :
Sur une Cauldron KDE-Plasma toute fraiche installée, j'ai un soucis avec openvpn, connection impossible et voilà ce que me retourne en boucle konsole:
Code :
# openvpn Suede1.openvpn
2022-01-22 20:23:43 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1436)
2022-01-22 20:23:43 TCP/UDP: Preserving recently used remote address: [AF_INET]31.187.93.161:443
2022-01-22 20:23:43 Attempting to establish TCP connection with [AF_INET]31.187.93.161:443 [nonblock]
2022-01-22 20:23:43 TCP connection established with [AF_INET]31.187.93.161:443
2022-01-22 20:23:43 TCP_CLIENT link local: (not bound)
2022-01-22 20:23:43 TCP_CLIENT link remote: [AF_INET]31.187.93.161:443
2022-01-22 20:23:43 VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=NL, ST=NL, L=Amsterdam, O=VPNFacile, CN=server, emailAddress=tech@vpnfacile.net, serial=1
2022-01-22 20:23:43 OpenSSL: error:0A000086:SSL routines::certificate verify failed
2022-01-22 20:23:43 TLS_ERROR: BIO read tls_read_plaintext error
2022-01-22 20:23:43 TLS Error: TLS object -> incoming plaintext read error
2022-01-22 20:23:43 TLS Error: TLS handshake failed
2022-01-22 20:23:43 Fatal TLS error (check_tls_errors_co), restarting
2022-01-22 20:23:43 SIGUSR1[soft,tls-error] received, process restarting
2022-01-22 20:23:48 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Celà ne provient pas des fichiers de config car Manjaro se connecte sans soucis, c'est un dossier partagé
J'avoue ne pas trop comprendre les messages de retour ?
Edit jybz : remplacement de la balise couleur par code
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
Citation :
VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak
Mageia est aux standards de la sécurité. Le TLS v1 est désactivé au niveau du système.
Comment vérifier le certificat du serveur vpn ?
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
Pour désécuriser mageia :
Code BASH :
update-crypto-policies --set LEGACYPour le test, tu peux le faire et confirmer que le vpn marche.
Puis, re-sécuriser :
Code BASH :
update-crypto-policies --set DEFAULTSi ce test est concluant : contact ton fournisseur vpn pour qu'ils se mettent à jour.
(Manjaro devrait en faire autant si ça se confirme)
bozzoh Membre non connecté
-
- Voir le profil du membre bozzoh
- Inscrit le : 22/01/2022
- Groupes :
J'ai appliqué ta commande puis j'ai rebooté comme un message me l'a conseillé, mais toujours la même erreur après reboot
Puis j'ai re-appliqué ta commande et essayé de me connecter sans rebooter mais rien à faire le problème persiste
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
De ce que je comprendrais cela pourrait avoir à voir la version d' openssl utilisée.
http://ics-openvpn.blinkt.de/FAQ.html
En téléchargeant la liste des certificats de vpnfacile, j' obtiens pour la CA ( j' ai vu la commande ci dessous ici (https://www.snbforums.com/threads/openvpn-2-4-5-cannot-connect-because-of-weak-algorithm.45428/):
Code BASH :
openssl x509 -in test.pem -noout -text | grep Signature Signature Algorithm: sha1WithRSAEncryption Signature Algorithm: sha1WithRSAEncryption
Je suppose donc que SHA1 n' est probablement plus supporté.
edit: plutôt que 0 j' essaierais plus 1 ( 0 supprime toute la sécurité https://www.openssl.org/docs/man1.1.1/man3/SSL_CTX_set_security_level.html)
C' est surprenant qu' avec la politique LEGACY, cela ne fonctionne pas puisque cela autorise le RSA-SHA1 en tant qu' algorithme de signature ansi que longeur de clé de 1023 plus ( le niveau par défaut n' autorise que des clés de 2048 ou plus ( n' a plus le RSA-SHA1 en algorithme de signature)).
edit 2: Visiblement le legacy mets le paramètres seclevel à 1, donc si cela ne marche pas, c' est qu' il y a un problème avec le fichier fourni par vpnfacile.
Édité par nic80 Le 23/01/2022 à 10h24
bozzoh Membre non connecté
-
- Voir le profil du membre bozzoh
- Inscrit le : 22/01/2022
- Groupes :
nic80 :
Je suppose donc que SHA1 n' est probablement plus supporté.
edit: plutôt que 0 j' essaierais plus 1 ( 0 supprime toute la sécurité https://www.openssl.org/docs/man1.1.1/man3/SSL_CTX_set_security_level.html)
C' est surprenant qu' avec la politique LEGACY, cela ne fonctionne pas puisque cela autorise le RSA-SHA1 en tant qu' algorithme de signature ansi que longeur de clé de 1023 plus ( le niveau par défaut n' autorise que des clés de 2048 ou plus ( n' a plus le RSA-SHA1 en algorithme de signature)).
edit 2: Visiblement le legacy mets le paramètres seclevel à 1, donc si cela ne marche pas, c' est qu' il y a un problème avec le fichier fourni par vpnfacile.
Je suppose donc que SHA1 n' est probablement plus supporté.
edit: plutôt que 0 j' essaierais plus 1 ( 0 supprime toute la sécurité https://www.openssl.org/docs/man1.1.1/man3/SSL_CTX_set_security_level.html)
C' est surprenant qu' avec la politique LEGACY, cela ne fonctionne pas puisque cela autorise le RSA-SHA1 en tant qu' algorithme de signature ansi que longeur de clé de 1023 plus ( le niveau par défaut n' autorise que des clés de 2048 ou plus ( n' a plus le RSA-SHA1 en algorithme de signature)).
edit 2: Visiblement le legacy mets le paramètres seclevel à 1, donc si cela ne marche pas, c' est qu' il y a un problème avec le fichier fourni par vpnfacile.
Merci nic80, mais là ça devient trop compliqué pour moi, mes compétences en info sont très primaires et limitées :(
Donc du coup je test un autre fournisseur: https://fra.privateinternetaccess.com/ 30 jours d'essai remboursable
Et nouvelle galère impossible de se connecter, j'ai bidouillé le très peu de paramètres modifiables comme le choix du protocole UDP/TCP et deux ou trois autres options c'est tout ce qu'il y a mais pas de connection...jusqu'à ce que j'ai l'idée de désactiver le pare-feu
Et là miracle!
Connection en 4 sec chrono, j'ai essayé plusieurs serveurs dont certains à l'autre bout du monde et fais des tests de vitesse, ok tout baigne c'est nickel hormis ce détail que mon pare-feu est complètement désactivé, quel service spécifique faut-il autoriser pour le réactiver tout en autorisant le vpn?
(oui je pourrais tester un par un mais pu envie lol)
Édité par bozzoh Le 25/01/2022 à 10h58
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
Mais, est-ce normal qu'un VPN installe un logiciel serveur sur l'ordinateur ?
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
bozzoh Membre non connecté
-
- Voir le profil du membre bozzoh
- Inscrit le : 22/01/2022
- Groupes :
Jybz :
Mais, est-ce normal qu'un VPN installe un logiciel serveur sur l'ordinateur ?
Mais, est-ce normal qu'un VPN installe un logiciel serveur sur l'ordinateur ?
C'est juste une petitre GUI de connection, du moins j'espère hihi
squid-f :
Merci squid-f jer vais regarder ça
bozzoh Membre non connecté
-
- Voir le profil du membre bozzoh
- Inscrit le : 22/01/2022
- Groupes :
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie