[RESOLU] IPCOP 1.4.10 et Zerina 0.9.1.b

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

[RESOLU] IPCOP 1.4.10 et Zerina 0.9.1.b

Messagepar Ne$Tor13 » 12 Nov 2005 19:26

Salut,

Depuis que je suis passé à la version 1.4.10 de IPCOP, mes tunnels openvpn sont morts.
J'utilise zerina dont j'étais jusqu'à présent assez content (jusqu'à 1.4.9).

Côté serveur:
Code: Tout sélectionner
Nov 12 18:12:37 paris openvpnserver[1184]: OpenVPN 2.0.2 i386-pc-linux [SSL] [LZ
O] built on Aug 31 2005
Nov 12 18:12:37 paris openvpnserver[1184]: WARNING: file '/var/ipcop/ovpn/certs/
serverkey.pem' is group or others accessible
Nov 12 18:12:37 paris openvpnserver[1184]: TUN/TAP device tun0 opened
Nov 12 18:12:37 paris openvpnserver[1184]: /sbin/ifconfig tun0 192.168.128.1 poi
ntopoint 192.168.128.2 mtu 1500
Nov 12 18:12:37 paris openvpnserver[1188]: GID set to nobody
Nov 12 18:12:37 paris openvpnserver[1188]: UID set to nobody
Nov 12 18:12:37 paris openvpnserver[1188]: UDPv4 link local (bound): [undef]:119
4
Nov 12 18:12:37 paris openvpnserver[1188]: UDPv4 link remote: [undef]
Nov 12 18:12:37 paris openvpnserver[1188]: Initialization Sequence Completed
Nov 12 18:13:22 paris openvpnserver[1188]: xx.xxx.xxx.xxx:1194 Re-using SSL/TLS
context
Nov 12 18:13:22 paris openvpnserver[1188]: xx.xxx.xxx.xxx:1194 LZO compression i
nitialized
Nov 12 18:13:23 paris openvpn: stack smashing attack in function tls1_P_hash


Côté client:
Code: Tout sélectionner
Sat Nov 12 18:13:22 2005 OpenVPN 2.0.2 Win32-MinGW [SSL] [LZO] built on Aug 25 2005
Sat Nov 12 18:13:22 2005 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Nov 12 18:13:22 2005 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Nov 12 18:13:25 2005 LZO compression initialized
Sat Nov 12 18:13:25 2005 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Nov 12 18:13:25 2005 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Nov 12 18:13:25 2005 Local Options hash (VER=V4): '41690919'
Sat Nov 12 18:13:25 2005 Expected Remote Options hash (VER=V4): '530fdded'
Sat Nov 12 18:13:25 2005 UDPv4 link local (bound): [undef]:1194
Sat Nov 12 18:13:25 2005 UDPv4 link remote: xxx.xx.xx.xx:1194
Sat Nov 12 18:13:25 2005 TLS: Initial packet from xxx.xx.xx.xx:1194, sid=8c369743 62aa07b5
Sat Nov 12 18:13:25 2005 VERIFY OK: depth=1, /C=xx/O=xxxxxxx/CN=xxxxxxxxx
Sat Nov 12 18:13:25 2005 VERIFY OK: depth=0, /C=xx/O=xxxxxxx/CN=xxxxxxxxx
Sat Nov 12 18:14:25 2005 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Nov 12 18:14:25 2005 TLS Error: TLS handshake failed
Sat Nov 12 18:14:25 2005 TCP/UDP: Closing socket
Sat Nov 12 18:14:25 2005 SIGUSR1[soft,tls-error] received, process restarting
Sat Nov 12 18:14:25 2005 Restart pause, 2 second(s)
Sat Nov 12 18:14:27 2005 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Nov 12 18:14:27 2005 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Nov 12 18:14:27 2005 LZO compression initialized
Sat Nov 12 18:14:27 2005 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Nov 12 18:14:27 2005 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Nov 12 18:14:27 2005 Local Options hash (VER=V4): '41690919'
Sat Nov 12 18:14:27 2005 Expected Remote Options hash (VER=V4): '530fdded'
Sat Nov 12 18:14:27 2005 UDPv4 link local (bound): [undef]:1194
Sat Nov 12 18:14:27 2005 UDPv4 link remote: xxx.xx.xx.xx:1194
Sat Nov 12 18:15:27 2005 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Nov 12 18:15:27 2005 TLS Error: TLS handshake failed
Sat Nov 12 18:15:27 2005 TCP/UDP: Closing socket
Sat Nov 12 18:15:27 2005 SIGUSR1[soft,tls-error] received, process restarting
Sat Nov 12 18:15:27 2005 Restart pause, 2 second(s)
...


Le process openvpn disparait dès la moindre tentative de connection.

Apparement je ne suis pas le seul dans ce cas (http://www.vpnforum.de/viewtopic.php?t=1032) mais je n'ai pas trouvé de solution...

Y aurait-il moyen de retirer l'update de 1.49->1.4.10 sans devoir tout réinstaller?
Qu'en est-il de faire un update manuel de openvpn et de la bibliothèque liblzo?

Moralité, et je l'apprends une fois de plus à mes dépends, toujours être patient avec les updates.

Merci d'avance à l'un ou l'autre grand gourou...
Dernière édition par Ne$Tor13 le 26 Nov 2005 11:57, édité 2 fois au total.
Dan
Ne$Tor13
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 22 Sep 2005 15:33
Localisation: Bruxelles
Haut

Messagepar joebar » 13 Nov 2005 11:53

Salut,

attend demain, une version de ZERINA va sortir .... ;-)

Hello Guys,

On monday a new Zerina version will be out, wich also supports ipcop 1.410.
unfortunatly this can't be earlier, as donät have build system at home.

regards
horizont
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg
Haut

Messagepar Ne$Tor13 » 13 Nov 2005 12:37

:D Yepeeeee
Dan
Ne$Tor13
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 22 Sep 2005 15:33
Localisation: Bruxelles
Haut

Messagepar Franck78 » 13 Nov 2005 19:46

Drole d'effet de bord... Cette mise à jour ne touche que deux éléments qui pourraient déclencher cette erreur stack smashing attack in function tls1_P_hash et encore je vois pas pourquoi:

1)
openssl mis à jour:
/usr/lib/libcrypto.so.97
/usr/libssl.so.97

J'ai pas essayer de voir si ces lib sont utilisées durant l'exploitation du vpn.
Tu peux essayer de récupérer les anciennes dans l'iso 1.4.9 et essayer.

2)
Si à tout hazard tu as ré-enregistré la config VPN sans passer par le GUI options avancées, possible que les options activées (sélectionnées) aient changés. Crée un nouveau tunnel, notes la sélection d'options avancées, vires-ce nouveau tunnel, reconfigure ton tunnel avec les mêmes options avancées notées.

Ou attend la nouvelle version de openvpn. Mais ca serait bien quand même de savoir pourquoi ce bug !
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

Messagepar Ne$Tor13 » 13 Nov 2005 21:18

Pour ne pas pénaliser mes utilisateurs plus avant, je vais essayer la nouvelle version de demain
ou comme je dois m'absenter repasser aux versions du 1.4.9 en espérant que ça n'ait pas d'autre effet secondaire.
Dan
Ne$Tor13
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 22 Sep 2005 15:33
Localisation: Bruxelles
Haut

Messagepar Franck78 » 13 Nov 2005 21:22

Le test numéro deux prend 2 minutes pour être mis en place.... L'autre est plus chelou c'est vrai.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

Messagepar Ne$Tor13 » 14 Nov 2005 09:36

Bien, j'ai essayé (peut-être un peu vite) de regarder ce problème mais je ne vois pas trop d'options avancées... le bouton advanced reste grisé.
Les options du GUI sont restées intactes (à part des push route que j'ai rajoutés à la main) j'ai vérifié le fichier server.conf

N'ayant pas franchement le temps, j'ai remplacé libssl et libcrypt par les versions du 1.4.8 et ça semble marcher (si on n'oublie pas de le faire à la console sinon on perd les connections ou d'être plus subtil). Je n'ai pas encore observé de problèmes...
Dernière édition par Ne$Tor13 le 14 Nov 2005 23:24, édité 1 fois au total.
Dan
Ne$Tor13
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 22 Sep 2005 15:33
Localisation: Bruxelles
Haut

Messagepar Franck78 » 14 Nov 2005 10:27

Ne$Tor13 a écrit:Bien, j'ai essayé (peut-être un peu vite) de regarder ce problème mais je ne vois pas trop d'options avancées... le bouton advanced reste grisé.

Bien sur, bien sur, j'étais dans les écrans classiques IPCop. Donc effectivement, oublies les options avancées :lol:
Milles excuses :oops:

Alors ça marche avec la version précédente des lib openssl, reste à savoir pourquoi maintenant !
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

Messagepar tomtom » 14 Nov 2005 11:51

OpenVPN etant un VPN ssl entièrement basé sur OpenSSL, ça ne m'etonne pas trop ;)
Faut voir si une fonction utilisée par cet add-on (que je ne connais pas) n'a pas été supprimée/modifiée dnas la nouvelle version de openSSL.

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris
Haut

Messagepar joebar » 14 Nov 2005 12:20

Salut,

Avec surprise, je me suis connecté ce matin avec Openvpn sur mon ipcop, après avoir mis la maj 1.4.10 et reinstallé les quelques addons qui ont disparus dans le menu web. Et ben ca marche nickel !!! ;-)

Pas de pb de coupure de openvpn.
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg
Haut

Messagepar leso » 14 Nov 2005 14:36

bizarre étant donné que le problème est connu....
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris
Haut

Messagepar joebar » 15 Nov 2005 10:53

Une nouvelle version est arrivée :

http://www.vpnforum.de/viewtopic.php?p=6541#6541
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg
Haut

Messagepar Ne$Tor13 » 21 Nov 2005 11:39

Bon, et bien la nouvelle version (0.9.3b) fonctionne.
Le seul blême est que l'update n'a pas marché et que j'ai été obligé de désinstaller - réinstaller ZERINA; mais c'est secondaire (enfin tant que le nombre de certificats à regénérer n'est pas trop grand).
Dernière édition par Ne$Tor13 le 22 Nov 2005 10:16, édité 1 fois au total.
Dan
Ne$Tor13
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 22 Sep 2005 15:33
Localisation: Bruxelles
Haut

Messagepar kinkey » 22 Nov 2005 10:07

Moi c'est l'inverse, la désinstallation et la reinstallation n'a pas marché, il a fallu que je reinstall l'ancienne version puis faire une mise à jour.

Le seul blême est que l'update n'a pas marché et que j'ai été obligé de désinstaller - réinstaller ZERINA; mais c'est secondaire (enfin tant que le nombre de certificats à régénerer n'est pas trop grand).

C'est quand même embetant que les certifs sautent, par exemple dans mon cas les clients distant ne sont pas des informaticiens et surtout ils sont éparpillés un peu partout sur la france :(
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz