Openvpn + Bookworm = KO Le sujet est résolu

[lol]

Salut,

J'ai passé deux machines sous Bookworm, et des configuration qui fonctionnaient sur Bullseye sont KO...
Le VPN est bien levé, je m'y connecte sans soucis (Le port udp est accessible), mais je suis incapable de faire passer tout le trafic dans le tunnel.

Code : Tout sélectionner

 # firewall-cmd --query-masquerade
 yes
 # sysctl -p
 net.ipv4.ip_forward = 1

Côté serveur:

Code : Tout sélectionner

port xxx
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_sapFbLXc23nhY8lF.crt
key server_sapFbLXc23nhY8lF.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3

Côté Client:

Code : Tout sélectionner

client
proto udp
explicit-exit-notify
remote ip.ip.ip.ip ppp
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_sapFbLXc23nhY8lF name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
dhcp-option DNS 1.0.0.1
dhcp-option DNS 1.1.1.1
<ca>
-----BEGIN CERTIFICATE-----
...

Je ne comprend pas pourquoi avec exactement la même configuration (côté serveur et côté client) ça passe sur Bullseye mais pas sur Bookworm...
C'est très agaçant...

Auriez-vous une idée ?

[vv222]

Le fichier /usr/share/doc/openvpn/NEWS.Debian.gz liste certains points qui demandent une attention particulière lors du passage de Bullseye à Bookworm, peut-être que certains de ceux-ci t’impactent ?

openvpn (2.6.0~git20221201-1) unstable; urgency=medium

OpenVPN 2.6 has changed several defaults that might lead to connection
problems, especially when the remote side runs an old OpenVPN version
or cipher negotiations (NCP) are not in effect. This especially affects
connecting to OpenVPN 2.3.x or earlier, and several limitations around
old cryptographic algorithms and keys, mostly caused by the switch to
OpenSSL 3.0

These include but are not limited to

- weak SHA1 or MD5 signature on certificates
- 1024 bit RSA certificates, 1024 bit DH parameters, other weak keys
- Use of a legacy or deprecated cipher (e.g. 64bit block ciphers)
- remote OpenVPN version not supporting TLS 1.2 or later

Please read the release notes installed as
/usr/share/doc/openvpn/changelog.gz.

With an optional kernel module (available as package openvpn-dco-dkms)
the data plane encryption/decryption is performed in kernel space,
reducing page copy overhead and increasing the throughput significantly.
DCO (Data Channel Offload) should work with most configurations. In
case of issues, please try running OpenVPN with --disable-dco first.

-- Bernhard Schmidt <berni@debian.org> Mon, 23 May 2022 11:04:30 +0200

[lol]

Merci, c'est intéressant.

J'ai tout viré et installé la version de Bullseye. Même punition.

Code : Tout sélectionner

# apt policy openvpn
openvpn:
  Installé : 2.5.1-3
  Candidat : 2.5.1-3
 Table de version :
     2.6.0-1 500
        500 https://deb.debian.org/debian bookworm/main amd64 Packages
 *** 2.5.1-3 1001
        500 http://deb.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

Je pense que le problème ne vient pas d'OpenVPN lui même; mais d'autre part.
Il faut que je fouille un peu plus pour comprendre pourquoi l'IP forwarding/Masquerade ne fonctionne pas.

[piratebab]

un passage de iptable a netfilter ?

[diesel]

un passage de iptable a netfilter ?

netfilter est un "module" du noyau.

iptable (et maintenant nftable) est une interface de configuration de netfilter.

Amicalement.

Jean-Marie

[diesel]

J'aurais plutôt tendance à chercher du côté de systemd-networkd ou systemd-resolved qui remplacent petit à petit les anciennes interfaces de configuration du réseau.

Amicalement.

Jean-Marie

[lol]

Salut,
Et merci pour vos réponses.

Vous allez rire... sur Windows 10 ça fonctionne... Là je poste depuis mon VPN.
Je continue mes tests et je retourne sur Debian!

[lol]

Hello,

Bon, sur ma Debian (Unstable) c'est aussi OK.
Je ne comprend pas.

J'ai fais pas mal de mises à jours ce matin sur le serveur, ça doit être ça.
Merci pour vos propositions en tout cas.

@piratebab: Oui firewalld + nftables depuis bullseye, histoire d'anticiper...

[Grhim]

Hello,
...
@piratebab: Oui firewalld + nftables depuis bullseye, histoire d'anticiper...

Firewalld