Автор Тема: После обновления перестал работать OpenVPN (Прочитано 2341 раз)

soulner · « : 22.08.2024 11:21:26 »

Всем добрый день.
У меня ALT Workstation 10.2. Обновился 20.08.2024 и перестали работать OpenVPN подключения. Посмотрел по истории обновлений, была установлена версия openvpn-2.6.12-alt1.x86_64. У меня в доступе есть Mikrotik, на котором настроен OpenVPN сервер и к которому раньше был доступ, сейчас при подключении он выдаёт ошибку "unknown cipher alg or key size". Шифр установлен, как AES-256-CBC, я часто пользуюсь этим VPN, он точно работал до обновления.
Другие OpenVPN соединения также перестали работать.
В журнале ошибок ничего

Код: [Выделить]

авг 22 11:02:22 hu15.home NetworkManager[3601]: <info>  [1724313742.1404] vpn[0x55e4dc04c940,efe764b3-77e9-4ac7-a487-c762fcc763e8,"net (ovpn)"]: starting openvpn
авг 22 11:03:22 hu15.home NetworkManager[3601]: <warn>  [1724313802.8167] vpn[0x55e4dc04c940,efe764b3-77e9-4ac7-a487-c762fcc763e8,"net (ovpn)"]: connect timeout exceeded

Я понимаю, что выглядит, как будто нет соединения, но на стороне Mikrotik в логах есть записи

Код: [Выделить]

TCP connection established from 81.122.54.22
<81.122.54.22>: disconnected <unkown cipher alg or key size>

Думал посмотреть, когда было последнее обновление и откатиться, но команда

Код: [Выделить]

sudo rpm -qa -last | grep "openvpn"выдаёт, что первое и последнее обновление было 20.08. Ничего не понимаю.
Подскажите пожалуйста куда копать.

Александр Ерещенко · « **Ответ #1 :** 22.08.2024 20:08:38 »

Проверьте на предыдущей рабочей версии.
Но буквально сегодня проскакивала инфа (никак не могу найти источник), что сейчас некоторые наблюдают ограничение доступа к зарубежным VPN. Под раздачу попали wireguard и openvpn - дальше рукопожатия обычно дело идёт. При этом по российским ip всё нормально.

У вас в логах приведён итальянский ip. :)

asy · « **Ответ #2 :** 23.08.2024 10:11:02 »

Цитата: soulner от 22.08.2024 11:21:26

Код: [Выделить]
TCP connection established from 81.122.54.22 <81.122.54.22>: disconnected <unkown cipher alg or key size>

Вероятно отключили что-то устаревшее. Можно поставить старую версию из архива. Или, может быть, включить в конфиге старые алгоритмы, если их не окончательно удалили.

soulner · « **Ответ #3 :** 23.08.2024 14:16:40 »

Разобрался. Выгрузил конфиг из Network Manager, запустил из консоли и получил странную фразу

Код: [Выделить]

DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.

Дальше всё просто, оказалось, что ввели новые параметры конфига data-ciphers и data-ciphers-fallback (так и не понял зачем)
Нужно строку конфига

Код: [Выделить]

cipher AES-256-CBCзаменить на

Код: [Выделить]

cipher AES-256-CBC
data-ciphers AES-256-CBC
data-ciphers-fallback AES-256-CBC

На счёт третьей не уверен, но так заработало.
Не удобно, что в самом NM эти параметры нигде не задаются, т.е. нужно все конфиги выгружать, менять и создавать новые соединения через импорт. Ещё и маршруты руками вводить, т.к. параметр X-NM-Routes при экспорте создаётся, а при импорте не читается.

Форум сообщества
Альт Линукс