Forum Freedom-IP

Forum d'entraide de la communauté Freedom-IP

Vous n'êtes pas identifié(e).

#1 2019-02-14 22:42:03

Jingxi
Membre
Inscription : 2017-01-24
Messages : 3

Problème de connexion depuis Debian ou dérivé

Bonjour à tous et toutes,


Utilisateur assidu et sans nul doute passionné par Archlinux, Kali linux, debian ... Enfin vous avez compris que j'aime cette liberté d'être seul maître de mon système.
Je vous partage une petite astuce et également une demande auprès des administrateurs de freedom-ip.

En tant que utilisateur des services freedom, j'ai quelque peu été étrangement dérangé par des problèmes de connexions qui m'ont poussé à faire quelques recherches.
Je m'explique ....

J'ai pris le pli de me connecter en terminal via openvpn à mon fichier conf créé préalablement depuis un des fichiers ovpn mis à disposition au téléchargement.
Je passe le process pour exécuter tout cela, espérant que vous avez les facultés d'en faire de même (Rien de bien compliqué en somme)
Systématiquement, je me retrouvais avec :

root@FCA-Laptop:/etc/openvpn# openvpn BE.conf
Thu Feb 14 21:59:08 2019 WARNING: file 'ta.key' is group or others accessible
Thu Feb 14 21:59:08 2019 WARNING: file 'auth.txt' is group or others accessible
Thu Feb 14 21:59:08 2019 OpenVPN 2.4.6 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 30 2018
Thu Feb 14 21:59:08 2019 library versions: OpenSSL 1.1.1a  20 Nov 2018, LZO 2.10
Thu Feb 14 21:59:08 2019 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Thu Feb 14 21:59:08 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]185.212.226.147:443
Thu Feb 14 21:59:08 2019 UDP link local: (not bound)
Thu Feb 14 21:59:08 2019 UDP link remote: [AF_INET]185.212.226.147:443
Thu Feb 14 21:59:08 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Feb 14 21:59:08 2019 OpenSSL: error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol
Thu Feb 14 21:59:08 2019 TLS_ERROR: BIO read tls_read_plaintext error
Thu Feb 14 21:59:08 2019 TLS Error: TLS object -> incoming plaintext read error
Thu Feb 14 21:59:08 2019 TLS Error: TLS handshake failed
Thu Feb 14 21:59:08 2019 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb 14 21:59:13 2019 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Thu Feb 14 21:59:13 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]185.212.226.147:443
Thu Feb 14 21:59:13 2019 UDP link local: (not bound)
Thu Feb 14 21:59:13 2019 UDP link remote: [AF_INET]185.212.226.147:443
Thu Feb 14 21:59:13 2019 OpenSSL: error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol
Thu Feb 14 21:59:13 2019 TLS_ERROR: BIO read tls_read_plaintext error
Thu Feb 14 21:59:13 2019 TLS Error: TLS object -> incoming plaintext read error
Thu Feb 14 21:59:13 2019 TLS Error: TLS handshake failed
Thu Feb 14 21:59:13 2019 SIGUSR1[soft,tls-error] received, process restarting

Tout de suite, ceci m'a interpelé :

Thu Feb 14 21:59:08 2019 OpenSSL: error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol

Le problème semble donc lié à une mise à jour de la bibliothèque SSL, et à un changement de la version du protocole par défaut.

J'ai donc été voir plus loin et vous livre ma solution. Il s'ait bien entendu d'une solution provisoire.
Concrètement, il faut modifier le fichier /etc/ssl/openssl.cnf pour revenir par défaut sur une version antérieure de SSL.
Pour cela il faut remplacer les deux dernières lignes de ce fichier :

[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=2

par

[system_default_sect]
MinProtocol = TLSv1.0
CipherString = DEFAULT@SECLEVEL=1

Il vous suffit ensuite de relancer votre wpa

systemctl restart wpa_supplicant

Normalement, vous devriez retrouver une connexion avec votre freedom préféré  tongue  tongue  tongue

root@FCA-Laptop:/etc/openvpn# openvpn BE.conf
Thu Feb 14 22:07:49 2019 WARNING: file 'ta.key' is group or others accessible
Thu Feb 14 22:07:49 2019 WARNING: file 'auth.txt' is group or others accessible
Thu Feb 14 22:07:49 2019 OpenVPN 2.4.6 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 30 2018
Thu Feb 14 22:07:49 2019 library versions: OpenSSL 1.1.1a  20 Nov 2018, LZO 2.10
Thu Feb 14 22:07:49 2019 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Thu Feb 14 22:07:49 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]185.212.226.197:443
Thu Feb 14 22:07:49 2019 UDP link local: (not bound)
Thu Feb 14 22:07:49 2019 UDP link remote: [AF_INET]185.212.226.197:443
Thu Feb 14 22:07:49 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Feb 14 22:07:49 2019 [server] Peer Connection Initiated with [AF_INET]185.212.226.197:443
Thu Feb 14 22:07:50 2019 TUN/TAP device tun0 opened
Thu Feb 14 22:07:50 2019 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Feb 14 22:07:50 2019 /sbin/ip link set dev tun0 up mtu 1500
Thu Feb 14 22:07:50 2019 /sbin/ip addr add dev tun0 local 10.9.0.234 peer 10.9.0.233
Thu Feb 14 22:07:50 2019 Initialization Sequence Completed

Selon moi, le problème est apparemment que le serveur ne support pas des versions de TLS plus grand que TLS 1.0.
Sachant qhe des changements s'opèrent, pour les utilisateurs linuxiens que nous sommes, il serait opportun d’actualiser lles serveurs vers une version avec support pour TLS 1.2.

Tout le monde abandonne TLS 1.0 pour des questions de sécurité ...

Voilà .. En espérant qu'une solution soit trouvée pour ce problème technique  cool

Dernière modification par Jingxi (2019-02-14 22:43:55)

Hors ligne

#2 2019-02-15 09:30:08

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 105

Re : Problème de connexion depuis Debian ou dérivé

Bonjour ...

Pour ma part, ma version debian ne me pose pas ce genre de souci ... j'utilise la version stable mise à jour quotidiennement :

# cat /etc/debian_version 
9.7
# openvpn FR-\(France\).ovpn 
Fri Feb 15 09:23:43 2019 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Fri Feb 15 09:23:43 2019 library versions: OpenSSL 1.0.2q  20 Nov 2018, LZO 2.08
Fri Feb 15 09:23:45 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]185.212.226.147:443
Fri Feb 15 09:23:45 2019 UDP link local: (not bound)
Fri Feb 15 09:23:45 2019 UDP link remote: [AF_INET]185.212.226.147:443
Fri Feb 15 09:23:49 2019 [server] Peer Connection Initiated with [AF_INET]185.212.226.147:443
Fri Feb 15 09:23:50 2019 TUN/TAP device tun0 opened
Fri Feb 15 09:23:50 2019 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Fri Feb 15 09:23:50 2019 /sbin/ip link set dev tun0 up mtu 1500
Fri Feb 15 09:23:50 2019 /sbin/ip addr add dev tun0 local 10.9.7.50 peer 10.9.7.49
Fri Feb 15 09:23:50 2019 Initialization Sequence Completed

Cordialement, David.


C.G.U.                Règles

Hors ligne

Pied de page des forums