PfSense 2.5 OpenVPN Zertifikats-Probleme

Mitglied: Fenris14
Hallo,

hatte jetzt extra mehrere Monate gewartet und wollte schauen wie sich pfSense 2.5 so entwickelt. Bis auf paar Sachen die ich mit unbound mitbekommen hatte, war da nichts tragisches. Zumindest hatte ich bis dato nichts gefunden. Heute entschloß ich dann das Upgrade von 2.4.5p1 auf 2.5.1 zu wagen.

Leider ging das voll in die Hose.

Aus irgendeinem mir schleierhaften Grund funktionieren meine ganzen Client und Server Configs für OpenVPN nicht mehr. Sie alle haben gemeinsam das diese Zertifikate einer externen CA verwenden und scheinbar ist das der Grund. Explizit die Verschlüsselung der Server-, Client- und Stamm-Zertifikate scheint zu schwach (MD5) zu sein. Fehlermeldung im Log:


Die Datei ist vorhanden und im Cert Manager steht auch alles richtig drin. Das Problem ist: Ich bin auf diese Zertifikate angewiesen und kann es adhoc nicht ändern.

Leider habe ich auch nirgends ein Workaround gefunden, das mein Problem zumindest als Übergang lösen würde. Ich musste dann den quälenden Rückzug auf 2.4.5p1 machen und da funktionierte dann auch nur alles sehr holprig. Er installiert dann schon die neueren Pakete für FreeBSD 12, die man jetzt auch alle nicht mehr deinstalliert bekommt, Treiber für die Netzwerkkarten akzeptiert er nicht, Dienste laufen nur so halb. Zumindest die Grundfunktionen laufen jetzt wieder.

Jemand eine Idee wie ich dennoch auf 2.5.1 upgraden kann und dennoch meine VPNs zum laufen bekomme?

Gruß

Edit: Bin jetzt am Überlegen paralell ein OPNsense aufzusetzen und das vorzukonfigurieren. Wenn man so auf diversen Portalen mal spezifischer sucht und von den Problemen mit der neuen Version liest, von denen ich vorher nichts mitbekommen habe, dann frage ich mich schon ob ich noch bei pfSense/Netgate richtig aufgehoben bin. Da sind ja teilweise haarsträubende Bugs dabei (siehe https://redmine.pfsense.org/projects/pfsense/roadmap), das gab es früher definitiv weniger.

Content-Key: 787444028

Url: https://administrator.de/contentid/787444028

Ausgedruckt am: 31.07.2021 um 03:07 Uhr

Mitglied: colinardo
Lösung colinardo 24.06.2021 aktualisiert um 07:50:02 Uhr
Goto Top
Servus,
bin leider gerade unterwegs und kann dir die Stelle in der pFSense nicht sagen, aber die OpenVPN Version auf der neuen pFSense Version baut auf OpenSSL 1.1.x auf und diese setzt das Cipher-Security Level höher an. Setzt man also Ciphers ein wie md5, die ja bestimmt schon länger wie 10 Jahre als unsicher gelten dann verweigert OpenSSL das. Damit das evt. trotzdem geht muss man OpenVPN ein Kommandozeilenargument mitgeben das etwa so lautet
womit "weak" Ciphers wieder erlaubt werden können. Könnte aber auch gut sein das OpenVPN das inzwischen mittlerweile abgeschafft hat, meine mich zu erinnern das 2018 das ganze entfernt wurde.

Du kannst ja mal selbst auf der Konsole der Sense schauen wo man die Commanline-Config oder Argumente hinzufügen kann.

Aber mal ehrlich MD5?? Ist ja wohl ein Witz da kannst du deinen Kladerardatasch auch gleich im Klartext über den Äther schicken...🙈
Dann doch lieber zum Anlass nehmen auf aktuelle Ciphers umzusteigen!

Grüße Uwe
Mitglied: lcer00
Lösung lcer00 24.06.2021 um 07:15:15 Uhr
Goto Top
Hallo,

wenn man das liest: https://openvpn.net/faq/md5-signature-algorithm-support/ solltest Du einfach neue Zertifikate mit einem anderen Signaturalgorithmus verwenden. Die müssen doch sowieso irgendwann erneuert werden, oder haben die 10 Jahre Laufzeit?

Grüße

lcer
Mitglied: aqui
aqui 24.06.2021 aktualisiert um 11:09:16 Uhr
Goto Top
Lesenswert zu dem Thema und bestätigt das was @colinardo oben schon richtig erwähnt hat:
https://www.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlung ...
MD5 ist nicht mehr tragbar.
Mitglied: Fenris14
Fenris14 24.06.2021 um 14:42:37 Uhr
Goto Top
Alles richtig was ihr schreibt. Problem nur, das es nicht in meiner Hand liegt. Ich kann nur beeinflussen was ich unter mir habe und das war in diesem Fall das Update auf pfSense 2.5.1.

Ich werde jetzt mal eine virtuelle Maschine aufsetzen, pfSense installieren und die Zertifikate mit "SECLEVEL=0" testen. Sollte das klappen, kann ich zumindest mal wieder upgraden. Dann bleibt mir nur noch zu hoffen, das die Verantwortlichen bald neue Zertifikate ausstellen die mindestens SHA256 bieten.
Mitglied: lcer00
lcer00 24.06.2021 um 14:47:17 Uhr
Goto Top
Hallo,
Zitat von @Fenris14:

Alles richtig was ihr schreibt. Problem nur, das es nicht in meiner Hand liegt. Ich kann nur beeinflussen was ich unter mir habe und das war in diesem Fall das Update auf pfSense 2.5.1.

Wenn die Unternehmens-CA Dir über- oder nebengeordnet ist, warum machst Du dann überhaupt Updates? Zur Verbesserung der Sicherheit? Wozu, wenn andere für offene Flanken sorgen?

Grüße

lcer
Mitglied: colinardo
colinardo 24.06.2021 aktualisiert um 15:54:06 Uhr
Goto Top
Zitat von @Fenris14:
Ich werde jetzt mal eine virtuelle Maschine aufsetzen, pfSense installieren und die Zertifikate mit "SECLEVEL=0" testen. Sollte das klappen, kann ich zumindest mal wieder upgraden. Dann bleibt mir nur noch zu hoffen, das die Verantwortlichen bald neue Zertifikate ausstellen die mindestens SHA256 bieten.
Hab das gerade auch mal getestet, mit dieser Ergänzung unter den erweiterten OpenVPN funktioniert es witzigerweise tatsächlich noch mit MD5 gehashten Zertifikaten auf einer aktuellen pfSense 2.5.1.

screenshot
Mitglied: Fenris14
Fenris14 24.06.2021 aktualisiert um 16:26:57 Uhr
Goto Top
Hat was damit zu tun, das ich dann zumindest sagen kann: Ich habe alles mögliche getan und mein bestes gegeben.

Aber scheinbar war das ein Erweckungserlebnis: Die StammCA ist mit SHA256 verschlüsselt und ich habe auch gleich paar neue Keys und Zertifikate bekommen, ebenfalls mit SHA256.

@colinardo

Ja, hat bei mir auch funktioniert. Da ich jetzt aber doch relativ zeitnah neue Zertifikate bekommen habe, kann ich heute Abend diese einspielen und die pfSense upgraden.
Heiß diskutierte Beiträge
general
Telekom hat größere Störung gelöst anteNopeVor 1 TagAllgemeinInformationsdienste30 Kommentare

Moin, es scheint als hätte die Telekom gerade eine größere Störung. Bei vielen Kunden mit Telekom-Internetanschluss funktionieren Office 365 und auch IMAP-Mails nicht. Wartezeit in ...

question
Absicherung Exchange ServerLKleemannVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen, wir sind bei uns in der Firma nun endlich vom Exchange POP3 Connector weggekommen und empfangen nun unsere E-Mail direkt über MX-Einträge. Nun ...

question
Massive Probleme mit Windows Suche, Taskbar, Windows Standard Apps auf jedem Windows 10-PC im Firmennetzwerkrznr666Vor 1 TagFrageWindows 1027 Kommentare

Hallo liebe Community, die PCs in unserem Unternehmen weisen folgende Probleme auf. Die Fehler treten nach einiger Zeit auf JEDEM Windows 10-PC auf, der genaue ...

report
Erfahrungsbericht Vodafone - All your Verträge belong to us!anteNopeVor 1 TagErfahrungsberichtFlatrates12 Kommentare

Hallo zusammen, da the-buccaneer so nett gebeten hat, hier eine weitere Erfahrung mit und von Voodoofone. Es begab sich zur Zeit zu Weihnachten vor 3 ...

info
Happy System Administrator Appreciation Day0xFFFFVor 21 StundenInformationHumor (lol)7 Kommentare

Guten Morgen Byteschubser, ihr seid die superhelden der Wirtschaft! _Danke dass es euch (uns #eigenlob) gibt. Mögen Eure Systeme stets Viren- und Hackerfrei bleiben, eure ...

question
Robocopy - FEHLER 0 (0x00000000)emeriksVor 1 TagFrageBatch & Shell10 Kommentare

Hi, habe ich hier einen täglichen Copy Job, wo Robocopy plötzlich "Fehler 0" meldet, dass es erfolgreich sei, aber nichts kopiert. Festplatte des NAS ist ...

question
Revisionssicher SpeicherschneerunzelVor 1 TagFrageHardware4 Kommentare

Moin zusammen, bei uns in der Organisation läuft aktuell ein Projekt, welches revisionssicher Archiviert werden muss. Das Projekt hat ein definiertes Startdatum und auch ein ...

question
Software gesucht um umfangreiche Wissensdokumentation zu erstellenbengunVor 1 TagFrageAusbildung7 Kommentare

Schönen guten Tag zusammen, ich hoffe ich bin hier richtig um meine Frage zu stellen. Ich bin Nebenberuflich als Ausbilder tätig und versuche den Ausbildungsrahmenplan ...