[Fli4l_dev] Update von "fli4l-4.0.0-r56979-testing" auf "4.1.0--2025-12-13" OpenVPN funktioniert nicht
Martin Faderbauer
martin at fmit.at
Mo Dez 29 23:01:52 CET 2025
Am 29.12.2025 um 16:15 schrieb Harvey:
> Martin.
>
>> es sind auf jeden Fall
>> die beiden Settings:
>> OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
>> OPENVPN_DEFAULT_DIGEST='SHA256'
>>
>> mit diesen werden die TunX Netzwerke gestartet.
>> Nur leider bekomme ich jetzt einen "Authenticate/Decrypt packet error:"
>>
>> wie kann ich den einfach beheben? muss ich dass Keyfile neu generieren?
>
> Google antwortet:
>
> "Nein, für die Änderung von
> Cipher (Verschlüsselungsalgorithmus) und Digest (Hash-Algorithmus für
> Integrität) in OpenVPN müssen Sie in der Regel keine komplett neuen
> Schlüssel generieren, da diese Parameter im Handshake (TLS-Austausch)
> neu ausgehandelt werden, aber es ist zwingend, dass alle Zertifikate und
> der Diffie-Hellman-Parameter (wenn Static Key/TLS Auth verwendet wird)
> auf Server und Client übereinstimmen und neu erstellt werden, wenn Sie
> die Schlüssellänge (z.B. RSA-Größe) oder die DH-Parameter ändern, um die
> Sicherheit zu gewährleisten.
>
> Wichtige Unterscheidungen:
>
> Cipher (z.B. AES-256-GCM): Dies ist der Algorithmus für die
> Datenverschlüsselung. Er wird während des TLS-Handshakes zwischen Client
> und Server ausgehandelt, sobald die Verbindung aufgebaut ist. Ändern Sie
> dies, müssen beide Seiten die neue Einstellung unterstützen, aber es
> erfordert keine neuen Hauptschlüssel.
> Digest (z.B. SHA256): Dies ist der Hash-Algorithmus für die
> Authentifizierung der Zertifikate. Auch dieser wird im Handshake
> ausgehandelt und ist an die Zertifikate gebunden.
> Diffie-Hellman (DH) Parameter: Wenn Sie die Größe Ihrer
> Schlüssellänge ändern (z.B. von 2048 auf 4096 Bit) oder zu einem
> stärkeren Algorithmus wechseln, müssen Sie die DH-Parameter neu
> generieren und die Zertifikate neu ausstellen, da dies die Grundlage für
> den Schlüsselaustausch bildet.
> TLS Auth Key (ta.key): Dieser statische Schlüssel wird nur für die
> Authentifizierung des Kontrollkanals verwendet und muss bei Änderung neu
> generiert werden.
>
> Fazit:
> Änderungen an Cipher und Digest selbst sind unproblematisch, solange die
> neue Einstellung auf beiden Seiten unterstützt wird. Ändern Sie jedoch
> die zugrundeliegende Schlüssellänge oder die DH-Parameter, müssen Sie
> die Zertifikate und ggf. den TLS-Auth-Schlüssel neu erstellen und auf
> alle Clients verteilen, um eine funktionierende und sichere Verbindung
> zu gewährleisten. "
>
> Verwendest du denn auf beiden Seiten die gleiche fli4l-Version? Ich
> würde allerdings die keys sowieso neu generieren, allein schon der
> Sicherheit wegen.
>
> Gruß
> Harvey
hallo Harvey,
für mich wichtig ist derzeit die VPN zu den WindowsClients
(Roadwarrior). Erst wenn die Funktionieren habe kann ich komplett
umstellen. Dann mit den gleichen fli4l Versionen.
Ich habe mir einen 4.1er Fli4l mit einer VPN Verbindung eingerichtet mit
der ich zu meinen Handy/Windows testen kann.
passt die Konfig wie in der Doku "1.1.8.3 Beispiel - Zugriff für einen
Roadwarrior konfigurieren" noch? Oder hat sich da etwas geändert?
welche openVPN Version brauche ich für Windows? die
"openvpn-install-2.4.6-I602" funktioniert mit der alten Version 3.19 und
4.0 Version mit der 4.1 leider nicht.
Bei der "OpenVPN-2.6.17-I001-amd64" bekomme ich "BF-CBC not supported"
obwohl
OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
OPENVPN_DEFAULT_DIGEST='SHA256'
in der Fli4l openvpn.txt steht
das ganze log vom Windows Client
2025-12-29 21:58:11 DEPRECATED OPTION: The option --secret is deprecated.
2025-12-29 21:58:11 WARNING: Compression for receiving enabled.
Compression has been used in the past to break encryption. Sent packets
are not compressed unless "allow-compression yes" is also set.
2025-12-29 21:58:11 us=781000 Note: '--allow-compression' is not set to
'no', disabling data channel offload.
2025-12-29 21:58:11 us=781000 DEPRECATION: No tls-client or tls-server
option in configuration detected. OpenVPN 2.7 will remove the
functionality to run a VPN without TLS. See the examples section in the
manual page for examples of a similar quick setup with peer-fingerprint.
2025-12-29 21:58:11 us=781000 Current Parameter Settings:
2025-12-29 21:58:11 us=781000 config = 'bbitws03-Test.ovpn'
2025-12-29 21:58:11 us=781000 mode = 0
2025-12-29 21:58:11 us=781000 show_ciphers = DISABLED
2025-12-29 21:58:11 us=781000 show_digests = DISABLED
2025-12-29 21:58:11 us=781000 show_engines = DISABLED
2025-12-29 21:58:11 us=781000 genkey = DISABLED
2025-12-29 21:58:11 us=781000 genkey_filename = '[UNDEF]'
2025-12-29 21:58:11 us=781000 key_pass_file = '[UNDEF]'
2025-12-29 21:58:11 us=781000 show_tls_ciphers = DISABLED
2025-12-29 21:58:11 us=781000 connect_retry_max = 0
2025-12-29 21:58:11 us=781000 Connection profiles [0]:
2025-12-29 21:58:11 us=781000 proto = udp4
2025-12-29 21:58:11 us=781000 local = '[UNDEF]'
2025-12-29 21:58:11 us=781000 local_port = '[UNDEF]'
2025-12-29 21:58:11 us=781000 remote = '212.186.236.242'
2025-12-29 21:58:11 us=781000 NOTE: --mute triggered...
2025-12-29 21:58:11 us=781000 290 variation(s) on previous 50 message(s)
suppressed by --mute
2025-12-29 21:58:11 us=781000 OpenVPN 2.6.17
[git:v2.6.17/fa20154d58ca609b] Windows [SSL (OpenSSL)] [LZO] [LZ4]
[PKCS11] [AEAD] [DCO] built on Nov 28 2025
2025-12-29 21:58:11 us=781000 Windows version 10.0 (Windows 10 or
greater), amd64 executable
2025-12-29 21:58:11 us=781000 library versions: OpenSSL 3.6.0 1 Oct
2025, LZO 2.10
2025-12-29 21:58:11 us=781000 DCO version: 1.3.3
2025-12-29 21:58:11 us=781000 MANAGEMENT: TCP Socket listening on
[AF_INET]127.0.0.1:25342
2025-12-29 21:58:11 us=781000 Need hold release from management
interface, waiting...
2025-12-29 21:58:12 us=265000 MANAGEMENT: Client connected from
[AF_INET]127.0.0.1:55164
2025-12-29 21:58:12 us=375000 MANAGEMENT: CMD 'state on'
2025-12-29 21:58:12 us=375000 MANAGEMENT: CMD 'log on all'
2025-12-29 21:58:12 us=421000 MANAGEMENT: CMD 'echo on all'
2025-12-29 21:58:12 us=437000 MANAGEMENT: CMD 'bytecount 5'
2025-12-29 21:58:12 us=437000 MANAGEMENT: CMD 'state'
2025-12-29 21:58:12 us=437000 MANAGEMENT: CMD 'hold off'
2025-12-29 21:58:12 us=437000 MANAGEMENT: CMD 'hold release'
2025-12-29 21:58:12 us=437000 OpenSSL: error:0308010C:digital envelope
routines::unsupported:Global default library context, Algorithm (BF-CBC
: 15), Properties (<null>)
2025-12-29 21:58:12 us=437000 Cipher algorithm 'BF-CBC' not found
2025-12-29 21:58:12 us=437000 MANAGEMENT: Client disconnected
2025-12-29 21:58:12 us=437000 Cipher BF-CBC not supported
2025-12-29 21:58:12 us=437000 Exiting due to fatal error
-------------------------------------
eigentlich sollte er AES-128-CBC statt BF-CBC finden
jetzt habe ich in der Client config
cipher AES-128-CBC
auth SHA256
hinzugefügt leider reicht das nicht aus aber es kommt kein Error mehr
------------------------------------
2025-12-29 22:44:02 DEPRECATED OPTION: The option --secret is deprecated.
2025-12-29 22:44:02 WARNING: Compression for receiving enabled.
Compression has been used in the past to break encryption. Sent packets
are not compressed unless "allow-compression yes" is also set.
2025-12-29 22:44:02 us=296000 Note: --data-ciphers-fallback with cipher
'AES-128-CBC' disables data channel offload.
2025-12-29 22:44:02 us=296000 DEPRECATION: No tls-client or tls-server
option in configuration detected. OpenVPN 2.7 will remove the
functionality to run a VPN without TLS. See the examples section in the
manual page for examples of a similar quick setup with peer-fingerprint.
2025-12-29 22:44:02 us=296000 Current Parameter Settings:
2025-12-29 22:44:02 us=296000 config = 'bbitws03-Test.ovpn'
2025-12-29 22:44:02 us=296000 mode = 0
2025-12-29 22:44:02 us=296000 show_ciphers = DISABLED
2025-12-29 22:44:02 us=296000 show_digests = DISABLED
2025-12-29 22:44:02 us=296000 show_engines = DISABLED
2025-12-29 22:44:02 us=296000 genkey = DISABLED
2025-12-29 22:44:02 us=296000 genkey_filename = '[UNDEF]'
2025-12-29 22:44:02 us=296000 key_pass_file = '[UNDEF]'
2025-12-29 22:44:02 us=296000 show_tls_ciphers = DISABLED
2025-12-29 22:44:02 us=296000 connect_retry_max = 0
2025-12-29 22:44:02 us=296000 Connection profiles [0]:
2025-12-29 22:44:02 us=296000 proto = udp4
2025-12-29 22:44:02 us=296000 local = '[UNDEF]'
2025-12-29 22:44:02 us=296000 local_port = '[UNDEF]'
2025-12-29 22:44:02 us=296000 remote = '212.186.236.242'
2025-12-29 22:44:02 us=296000 NOTE: --mute triggered...
2025-12-29 22:44:02 us=296000 290 variation(s) on previous 50 message(s)
suppressed by --mute
2025-12-29 22:44:02 us=296000 OpenVPN 2.6.17
[git:v2.6.17/fa20154d58ca609b] Windows [SSL (OpenSSL)] [LZO] [LZ4]
[PKCS11] [AEAD] [DCO] built on Nov 28 2025
2025-12-29 22:44:02 us=296000 Windows version 10.0 (Windows 10 or
greater), amd64 executable
2025-12-29 22:44:02 us=296000 library versions: OpenSSL 3.6.0 1 Oct
2025, LZO 2.10
2025-12-29 22:44:02 us=296000 DCO version: 1.3.3
2025-12-29 22:44:02 us=296000 MANAGEMENT: TCP Socket listening on
[AF_INET]127.0.0.1:25342
2025-12-29 22:44:02 us=296000 Need hold release from management
interface, waiting...
2025-12-29 22:44:02 us=437000 MANAGEMENT: Client connected from
[AF_INET]127.0.0.1:56978
2025-12-29 22:44:02 us=546000 MANAGEMENT: CMD 'state on'
2025-12-29 22:44:02 us=546000 MANAGEMENT: CMD 'log on all'
2025-12-29 22:44:02 us=625000 MANAGEMENT: CMD 'echo on all'
2025-12-29 22:44:02 us=625000 MANAGEMENT: CMD 'bytecount 5'
2025-12-29 22:44:02 us=625000 MANAGEMENT: CMD 'state'
2025-12-29 22:44:02 us=625000 MANAGEMENT: CMD 'hold off'
2025-12-29 22:44:02 us=656000 MANAGEMENT: CMD 'hold release'
2025-12-29 22:44:02 us=656000 Outgoing Static Key Encryption: Cipher
'AES-128-CBC' initialized with 128 bit key
2025-12-29 22:44:02 us=656000 Outgoing Static Key Encryption: Using 256
bit message hash 'SHA256' for HMAC authentication
2025-12-29 22:44:02 us=656000 Incoming Static Key Encryption: Cipher
'AES-128-CBC' initialized with 128 bit key
2025-12-29 22:44:02 us=656000 Incoming Static Key Encryption: Using 256
bit message hash 'SHA256' for HMAC authentication
2025-12-29 22:44:02 us=656000 LZO compression initializing
2025-12-29 22:44:02 us=656000 WARNING: if you use --mssfix and
--fragment, you should use the "mtu" flag for both or none of of them.
2025-12-29 22:44:02 us=656000 interactive service msg_channel=492
2025-12-29 22:44:02 us=656000 ROUTE_GATEWAY 172.30.1.1/255.255.255.0 I=6
HWADDR=50:eb:f6:1e:5d:42
2025-12-29 22:44:02 us=656000 open_tun
2025-12-29 22:44:02 us=656000 tap-windows6 device [Ethernet 3] opened
2025-12-29 22:44:02 us=656000 TAP-Windows Driver Version 9.21
2025-12-29 22:44:02 us=656000 TAP-Windows MTU=1500
2025-12-29 22:44:02 us=656000 Notified TAP-Windows driver to set a DHCP
IP/netmask of 10.0.0.18/255.255.255.252 on interface
{6743AFA8-B60A-498F-AE82-A300E358E3F2} [DHCP-serv: 10.0.0.17,
lease-time: 31536000]
2025-12-29 22:44:02 us=656000 Successful ARP Flush on interface [7]
{6743AFA8-B60A-498F-AE82-A300E358E3F2}
2025-12-29 22:44:02 us=656000 do_ifconfig, ipv4=1, ipv6=0
2025-12-29 22:44:02 us=656000 MANAGEMENT:
>STATE:1767044642,ASSIGN_IP,,10.0.0.18,,,,
2025-12-29 22:44:02 us=656000 IPv4 MTU set to 1500 on interface 7 using
service
2025-12-29 22:44:02 us=656000 Data Channel MTU parms [ mss_fix:0
max_frag:0 tun_mtu:1500 tun_max_mtu:1600 headroom:136 payload:1768
tailroom:562 ET:0 ]
2025-12-29 22:44:02 us=656000 Fragmentation MTU parms [ mss_fix:1162
max_frag:1235 tun_mtu:1500 tun_max_mtu:1600 headroom:136 payload:1768
tailroom:562 ET:0 ]
2025-12-29 22:44:02 us=656000 TCP/UDP: Preserving recently used remote
address: [AF_INET]212.186.236.242:19999
2025-12-29 22:44:02 us=656000 Socket Buffers: R=[65536->65536]
S=[65536->65536]
2025-12-29 22:44:02 us=656000 UDPv4 link local: (not bound)
2025-12-29 22:44:02 us=656000 UDPv4 link remote:
[AF_INET]212.186.236.242:19999
2025-12-29 22:44:50 us=218000 TCP/UDP: Closing socket
2025-12-29 22:44:50 us=218000 Closing TUN/TAP interface
2025-12-29 22:44:50 us=234000 TAP: DHCP address released
2025-12-29 22:44:50 us=234000 SIGTERM[hard,] received, process exiting
2025-12-29 22:44:50 us=234000 MANAGEMENT:
>STATE:1767044690,EXITING,SIGTERM,,,,,
----------------------------
#------------------------------------------------------------------------------
# OPT_OPENVPN - used only if OPT_OPENVPN='yes'
# Look at the documentation to see how to configure an openvpn tunnel.
#------------------------------------------------------------------------------
OPT_OPENVPN='yes' # 'yes' or 'no' it's your choice
OPENVPN_EXPERT='no' # provide openvpn config file, certificates
# and keys in config/etc/openvpn folder
OPENVPN_WEBGUI='yes' # install a web gui to
start/stop/control openvpn
OPENVPN_N='2' # number of openvpn configurations
#
# Add these information to ovpn files generated with ovpn-convert-conf
# utility. Speeds up creating lots of 'reverse' matching ovpn config
# files
#
#OPT_OPENVPN_CONVERT_CONF='no'
#OPENVPN_CONVERT_CONF_ROUTE_N='1'
#OPENVPN_CONVERT_CONF_ROUTE_1='192.168.6.0/24'
#OPENVPN_CONVERT_CONF_CON_N='1'
#OPENVPN_CONVERT_CONF_CON_1_HOST='dyndns.example.com'
#OPENVPN_CONVERT_CONF_CON_1_FLOAT='yes'
#
#OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
#OPENVPN_DEFAULT_DIGEST='SHA256'
#OPENVPN_DEFAULT_COMPRESS='yes'
OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
OPENVPN_DEFAULT_DIGEST='SHA256'
OPENVPN_DEFAULT_COMPRESS='yes'
OPENVPN_1_CREATE_SECRET='no'
OPENVPN_1_NAME='bbit02'
OPENVPN_1_REMOTE_HOST='88.116.252.94'
OPENVPN_1_REMOTE_PORT='30320'
OPENVPN_1_LOCAL_PORT='30321'
OPENVPN_1_OPEN_OVPNPORT='yes'
OPENVPN_1_SECRET='gxxxxxe.secret'
OPENVPN_1_TYPE='tunnel'
OPENVPN_1_REMOTE_VPN_IP='192.168.161.21'
OPENVPN_1_LOCAL_VPN_IP='192.168.161.22'
OPENVPN_1_ROUTE_N='1'
OPENVPN_1_ROUTE_1='192.168.130.0/24'
OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='ACCEPT'
OPENVPN_1_PF_FORWARD_N='1'
OPENVPN_1_PF_FORWARD_1='ACCEPT BIDIRECTIONAL'
OPENVPN_1_PROTOCOL='udp4'
OPENVPN_1_MUTE_REPLAY_WARNINGS='yes'
OPENVPN_2_CREATE_SECRET='no' #No
OPENVPN_2_NAME='bbitws03' #Name
OPENVPN_2_REMOTE_VPN_IP='10.0.0.18' #Remote Ip die den client
zugewiesen wird darf noch nicht verwendet werden
OPENVPN_2_LOCAL_VPN_IP='10.0.0.17' #Locale IP der Tunnels am Fli4l
OPENVPN_2_LOCAL_PORT='19999' #Localer port darf noch nicht
verwendet werden
OPENVPN_2_OPEN_OVPNPORT='yes' #yes
OPENVPN_2_SECRET='gxxxxxe.secret' #Schlüsseldatei
OPENVPN_2_TYPE='tunnel' #Art der verbindung
OPENVPN_2_ROUTE_N='0' #keine route notwendig
OPENVPN_2_PF_INPUT_N='1'
OPENVPN_2_PF_INPUT_1='ACCEPT'
OPENVPN_2_PF_FORWARD_N='1'
OPENVPN_2_PF_FORWARD_1='ACCEPT BIDIRECTIONAL'
OPENVPN_2_PROTOCOL='udp4'
OPENVPN_2_MUTE_REPLAY_WARNINGS='yes'
--------------------------------------
test.ovpn zu OPENVPN_2
--------------------------------------
remote 212.186.xxx.242
rport 19999
secret gxxxxxxe.secret
dev tun
ifconfig 10.0.0.18 10.0.0.17
route 192.168.160.0 255.255.255.0
ping-timer-rem
ping-restart 60
proto udp4
fragment 1300
mssfix
mute 50
verb 4
nobind
comp-lzo
float
persist-tun
persist-key
tun-mtu 1500
cipher AES-128-CBC
auth SHA256
---------------------------------------
danke für Eure Hilfe
lG Martin
Mehr Informationen über die Mailingliste Fli4l_dev