openvpn 3.0.9 released

[Olaf Jaehrling]

Hallo allerseits,

ich habe eine neue Version von openvpn2 released. Diese verwendet die
interne Version 2.6.0 und hat demzufolge auch ein paar Änderungen mit
sich gebracht. openvpn hat die Funktionen "cipher" und "topology net"
auf Deprecated gesetzt, wobei topology net offensichtlich sehr schnell
abgelöst werden soll.
Deshalb habe ich das Paket dementsprechend angepasst und neue
Konfigurationen werden mit den neuen Optionen erstellt.
Damit auch weiterhin die vorhandenen Clients unter ihren alten IP
erreichbar bleiben werden die Konfigurationsdateien für die Clients im
Ordner ccd aus der vorhandenen ipp.txt erstellt. Wenn die Datei nicht
existiert oder leer ist, kann das natürlich nicht passieren. Sollten die
Datei im ccd-Ordner schon vorhanden sein üeberschreibe ich die
natuerlich nicht.
Deshalb ist es wichtig vor der Installation die aktuellen IP-Adressen
der Clients abzufragen und zu notieren, so dass ggf. die Konfigdateien
für die Clients händisch erstellt werden können. Wie das geht, steht
dann in der Doku. Abfragen der ip-Adressen sollte mit nmap problemlos
möglich sein.
nmap -sP NETZ/MASQ (z.B. 10.11.1.1/24)

Ausschnitt aus der Doku:
Die Topology "net", also das /30 Netz bei den Clients gilt als Depecated und
wird demnaechst nicht mehr funtkionieren. Da die openvpn-Entwickler schon
seit Jahren darauf hinweisen und das nur wegen der Kompapilitaet zu
windows 7
drin gelassen haben gehe ich davon aus, dass das sehr schnell entfernt wird.
Ich pruefe deshalb waehrend der Installation ob es eine ipp.txt gibt und
wenn
ja werte ich die aus. Daraus wird dann im Ordner /etc/openvpn/ccd eine
Textdatei mit dem Namen des Zertifikates erstellt, welche die vorherige
IP und das Subnet des Clients enthaelt. Dadurch sollte der Client wieder die
selbe IP-Adresse bekommen wie vor der Umstellung. Sollte keine ipp.txt
vorhanden sein, kann ich natuerlich nicht wissen welche IP die Cleints
hatten.
Der Admin muss dann dafuer sorgen, dann er die IPs des Clients kennt und die
Datei selber anlegt.
Bsp.
Das Zertifikat heisst server-home1.p12 und der Client hat die IP 10.1.1.5.
Das Subnet lt Config ist 255.255.255.0
Es muss nun in der Datei
/etc/openvpn/ccd/server-home1
folgendes stehen
ifconfig-push 10.1.1.5 255.255.255.0

Sollte auch ipv6 verwendet werden muss dieser Eintrag natuerlich auch
hinzugefuegt sein
ifconfig-ipv6-push fd00:faac:ebbe:bcde::1005/64

Komplett sieht das dann so aus
ifconfig-push 10.1.1.5 255.255.255.0
ifconfig-ipv6-push fd00:faac:ebbe:bcde::1005/64

Somit ist der Client home1 dann ueber die IP-Adressen
10.1.1.5 und fd00:faac:ebbe:bcde::1005 erreichbar


Achja. Für dieses Paket ist systemd, also eisfair-service 3.2.0,
erforderlich.

Feedback immer gern gelesen.

Viel Spaß mit eisfair

Gruß

Olaf

--
Paketserver: https://ojaehrling.de/eis/index.txt

[Frank Eckelmann]

Hallo Olaf,

nach dem Aufrufen der Konfiguration, mit anschließendem Neustart des
Openvpn sieht es folgendermaßen auf einem meiner Server aus:


# Warning: openvpn2.service changed on disk, the version systemd has
loaded is o utdated.
# This output shows the current version of the unit's original fragment
and drop -in files.
# If fragments or drop-ins were added or removed, they are not properly
reflecte d in this output.
# Run 'systemctl daemon-reload' to reload units.
* Starting openvpn2.service ...
Warning: The unit file, source configuration file or drop-ins of
openvpn2.servic e changed
on disk. Run 'systemctl daemon-reload' to reload units. [ OK ]
# Warning: openvpn2.service changed on disk, the version systemd has
loaded is o utdated.
# This output shows the current version of the unit's original fragment
and drop -in files.
# If fragments or drop-ins were added or removed, they are not properly
reflecte d in this output.
# Run 'systemctl daemon-reload' to reload units.
* Restarting openvpn2.service ...
Warning: The unit file, source configuration file or drop-ins of
openvpn2.servic e changed
on disk. Run 'systemctl daemon-reload' to reload units.
Job for openvpn2.service failed because the control process exited with
error co de.
See "systemctl status openvpn2.service" and "journalctl -xeu
openvpn2.service" f or
details. [ FAIL ]
Press ENTER to continue

Wie zu erwarten, läuft der Dienst auch nicht.
(Der Server ist auf aktuellem UpdateStand)

Ich vermute, das lässt sich wie immer lösen.

VG
Frank

[Holger Bruenjes]

Hallo Frank

Am 27/03/2023 um 13.20 schrieb Frank Eckelmann:

> Ich vermute, das lässt sich wie immer lösen.

service daemon-reload

service start openvpn2

sollte helfen

Holger

[Frank Eckelmann]

Hallo Holger,

> service daemon-reload
>
> service start openvpn2
>
> sollte helfen

hat es. Danach lässt es sich auch wieder über das Menü steuern.
Ich hatte das Problem aus "dauerhaft" einsortiert.

Das ist also die Lösung.


Danke Dir
Frank

[Frank Eckelmann]

Hallo Olaf,

hier zu meinem Feierabend noch die Logmeldung des 2.5.3er Windows
Clients bei der Einwahl in den aktuellen Server:

2023-03-27 15:17:01 WARNING: Since you are using --dev tun with a
point-to-point topology, the second argument to --ifconfig must be an IP
address. You are using something (255.255.255.0) that looks more like a
netmask. (silence this warning with --ifconfig-nowarn)
2023-03-27 15:17:01 MANAGEMENT: Client disconnected
2023-03-27 15:17:01 There is a problem in your selection of --ifconfig
endpoints [local=192.168.25.6, remote=255.255.255.0]. The local and
remote VPN endpoints must exist within the same 255.255.255.252 subnet.
This is a limitation of --dev tun when used with the TAP-WIN32 driver.
Try 'openvpn --show-valid-subnets' option for more info.
2023-03-27 15:17:01 Exiting due to fatal error

Deine Erläuterungen oben habe ich alle als fakultativ aufgefasst, falls
die Clients die bisherige IP bekommen sollen.
Das brauche ich aber nicht, deswegen habe ich diesbezüglich auch nichts
gemacht.

Was habe ich übersehen?

VG
Frank

[Olaf Jaehrling]

Hallo Frank,

Frank Eckelmann schrieb am 27.03.23 um 15:26:

> Hallo Olaf,
>
> hier zu meinem Feierabend noch die Logmeldung des 2.5.3er Windows
> Clients bei der Einwahl in den aktuellen Server:
>
> 2023-03-27 15:17:01 WARNING: Since you are using --dev tun with a
> point-to-point topology, the second argument to --ifconfig must be an IP
> address.  You are using something (255.255.255.0) that looks more like a
> netmask. (silence this warning with --ifconfig-nowarn)
> 2023-03-27 15:17:01 MANAGEMENT: Client disconnected
> 2023-03-27 15:17:01 There is a problem in your selection of --ifconfig
> endpoints [local=192.168.25.6, remote=255.255.255.0].  The local and
> remote VPN endpoints must exist within the same 255.255.255.252 subnet.
> This is a limitation of --dev tun when used with the TAP-WIN32 driver.
> Try 'openvpn --show-valid-subnets' option for more info.
> 2023-03-27 15:17:01 Exiting due to fatal error
>
> Deine Erläuterungen oben habe ich alle als fakultativ aufgefasst, falls
> die Clients die bisherige IP bekommen sollen.

Ähm ja, so hatte ich das auch aufgefasst. Also noch nicht bindend, aber
demnächst.
Du kannst das aber relativ schnell selber lösen

öffne die Datei
/etc/openvpn/server.conf
und füge folgede Zeile unter tls-server ein:
topology subnet

Danach
service restart openvpn2

Damit sollt es wieder gehen.


Gruß

Olaf

> Das brauche ich aber nicht, deswegen habe ich diesbezüglich auch nichts
> gemacht.
>
> Was habe ich übersehen?
>
> VG
> Frank

--
Paketserver: https://ojaehrling.de/eis/index.txt

[Frank Eckelmann]

Hallo Olaf

>
> öffne die Datei
> /etc/openvpn/server.conf
> und füge folgede Zeile unter tls-server ein:
> topology subnet
>
> Danach
> service restart openvpn2
>
> Damit sollt es wieder gehen.

Habs gleich mal geändert.
Damit funktioniert der Zugang erstmal wieder.

Danke Dir

Frank

[Olaf Jaehrling]

Hallo Frank,

Frank Eckelmann schrieb am 28.03.23 um 05:58:

Super, das freut mich. Wenn die Serverkonfig neu erstellt wird
(Neuinstallation oder ähnliches) steht das mit drin. Ich wollte es nur
nicht bei bestehenden Installationen einfach einfügen, da ich die
Auswirkungen auf die untersiedlichen Konstellationen nich vorhersehen kann.

Ich werde die Lösung mit in die Doku aufnehmen.

Danke für die Rückmeldung.

Gruß

Olaf

>
> Danke Dir

[Olaf Jaehrling]

Hallo allerseits,


Olaf Jaehrling schrieb am 28.03.23 um 17:34:

> Hallo Frank,
>
> Frank Eckelmann schrieb am 28.03.23 um 05:58:
>> Hallo Olaf
>>>
>

> Super, das freut mich. Wenn die Serverkonfig neu erstellt wird
> (Neuinstallation oder ähnliches) steht das mit drin. Ich wollte es nur
> nicht bei bestehenden Installationen einfach einfügen, da ich die
> Auswirkungen auf die untersiedlichen Konstellationen nich vorhersehen kann.
>
> Ich werde die Lösung mit in die Doku aufnehmen.

Hab ich gemacht und auch das require gesetzt.

Danke und Gruß

Olaf

[Frank Eckelmann]

Hallo Olaf,

> Super, das freut mich. Wenn die Serverkonfig neu erstellt wird
> (Neuinstallation oder ähnliches) steht das mit drin. Ich wollte es nur
> nicht bei bestehenden Installationen einfach einfügen, da ich die
> Auswirkungen auf die untersiedlichen Konstellationen nich vorhersehen kann.
>
> Ich werde die Lösung mit in die Doku aufnehmen.

Ich habe grade die Updates gefahren und das openvpn auf 3.1.2 hochgezogen.
Leider war danach das "topology subnet" wieder aus der config raus.

Kann ich da etwas dagegen tun, oder musst Du da ran?

Grüße
Frank

[Olaf Jaehrling]

Hallo Frank,


Frank Eckelmann schrieb am 04.04.23 um 07:38:

> Hallo Olaf,
>
>> Super, das freut mich. Wenn die Serverkonfig neu erstellt wird
>> (Neuinstallation oder ähnliches) steht das mit drin. Ich wollte es nur
>> nicht bei bestehenden Installationen einfach einfügen, da ich die
>> Auswirkungen auf die untersiedlichen Konstellationen nich vorhersehen
>> kann.
>>
>> Ich werde die Lösung mit in die Doku aufnehmen.
>
> Ich habe grade die Updates gefahren und das openvpn auf 3.1.2 hochgezogen.
> Leider war danach das "topology subnet" wieder aus der config raus.

Das sollte nicht passieren.

>
> Kann ich da etwas dagegen tun, oder musst Du da ran?

Tja, da muss ich wohl nochmal ran. :)

Gruß

Olaf


>
> Grüße