[RESOLU] Renouvellement de certificat - Client qui ne se connecte plus

[darkneo]

Hello à tous,

Pour bien commencer l'année, je me prends la tête avec ma configuration VPN qui ne fonctionne plus... 😞

J'ai eu des soucis (voir sur un autre post) avec les certificats Let's Encrypt, donc j'ai tout refait, et tout reconfiguré (d'ailleurs pour info, ma demande de merge a été acceptée, donc le soucis LE pour le deploiement auto devrait être corrigé sous peu).

Sauf que, depuis que j'ai mon nouveau certificat... Mon client VPN ne fonctionne plus 🤪

J'ai l'erreur suivante:

Citation

Wed Jan  3 10:10:39 2024 UDPv4 link remote: [AF_INET]8.8.8.8:1194
Wed Jan  3 10:11:09 2024 VERIFY ERROR: depth=3, error=certificate has expired: O=Digital Signature Trust Co., CN=DST Root CA X3, serial=1234567890
Wed Jan  3 10:11:09 2024 OpenSSL: error:0A000086:SSL routines::certificate verify failed:
Wed Jan  3 10:11:09 2024 TLS_ERROR: BIO read tls_read_plaintext error
Wed Jan  3 10:11:09 2024 TLS Error: TLS object -> incoming plaintext read error
Wed Jan  3 10:11:09 2024 TLS Error: TLS handshake failed
Wed Jan  3 10:11:09 2024 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan  3 10:11:11 2024 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Jan  3 10:11:11 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]8.8.8.8:1194
Wed Jan  3 10:11:11 2024 UDPv4 link local: (not bound)
Wed Jan  3 10:11:11 2024 UDPv4 link remote: [AF_INET]8.8.8.8:1194

Ce que j'ai tenté:

- de base: export de la config VPN Server dans le zip, extraction, modification du fichier .ovpn pour y mettre mon DNS, même erreur

- ajout des balises <cert> et <key> dans le fichier .ovpn, toujours la même erreur

- comparaison du contenu de la balise <ca> avec mon chain.pem: il y a un bloc de plus dans le fichier .ovpn, mais si je le supprime, l'erreur change en me disant qu'il n'arrive pas à identifier le signataire du certificat

Ce que j'ai vérifié:

- le port est correctement ouvert dans le routeur.

- J'ai vérifié le numéro de série du ca.cert, ce n'est pas le même que celui de l'erreur🤨 l'erreur me dit serial=1234567890 alors que dans le certificat j'ai un format hex (je pense, ca ressemble à un truc du genre 00912b09ef2394c)

J'ai aussi essayé de récupérer directement les certificats depuis le dossier de mon docker via file station, même erreur...

Autre point etrange: dans l'application VPN serveur, les connections sont bien affichées dans "Liste de connexion" avec mon ip, mais j'ai autant de session que mon paramètre max (5 en l'occurence) avec utilisateur à UNDEF 

Une idée de l'origine de ce blocage (je pense problème de certificat, mais pourquoi? et comment le changer?!)

Merci d'avance pour votre aide!

 

EDIT: J'ai oublié de préciser que les certificats téléchargés depuis l'app VPN server sont valides jusqu'en Sept 2025 (ca.crt et ca_bundle.crt)

Par contre j'ai aussi l'impression que ce n'est pas le bon certificat qu'OpenVPN utilise, vu qu'il m'affiche ISRG Root X1 dans le certificat, alors que dans les logs il semble parler de DST Root CA X3.... c'est normal? 

Modifié le 26 janvier par darkneo

[darkneo]

Hello!

Personne n'aurait une idée? Car je continue d'essayer de résoudre le problème et je tiens peut etre une piste... 

Ce soucis est apparu quand j'utilisais l'ancien script de renouvellement ACME (en local sur le syno). Suite aux différentes évolutions de Let's Encrypt, je suis passé sur la version docker d'Acme pour le renouvellement du certificat. Et je me dis que le soucis vient très certaintement de là! Dans la config serveur l'openvpn, il utilise les fihciers suivants:

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
 

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

Sauf que je pense que ces fichiers sont ceux de l'ancien script Acme. Avec la version docker, les fichiers se trouvent dans /volume1/docker/Acme/DOMAIN

Je suis pas sur de mon coup, et je vois pas du tout comment avancer maintenant... Car dans ce dossier (/volume1/docker/Acme/DOMAIN), je n'ai ni fichier crt, ni fichier key, je n'ai que des csr:

Citation

ca.cer
DOMAIN.cer
DOMAIN.conf
DOMAIN.csr
DOMAIN.csr.conf
DOMAIN.key
fullchain.cer

Une idée de commencer remplacer les certificat sur le serveur par ceux du docker Acme? 

[darkneo]

Suite au message de @Mic13710 sur un autre thread, j'ai finalement abandonné l'idée de remettre mon OpenVPN d'équerre avec mon certificat LE.

J'ai donc :

- Désactivé OpenVPN sur DSM

- Généré un nouveau certificat autosigné avec Easy RSA

- copié les fichier dans /volume1/... et modifié le .ovpn serveur pour lui indiquer les chemins des fichiers (je sais clairement pas si ca a servi a qqc)

- Importé dans les certificat DSM (ca.crt, private key server et crt serveur) puis configurer VPN server pour utiliser ce nouveau certificat

- Réactivé OpenVPN dans DSM

Et hop, tout refonctionne (en ayant bien sur updaté la partie cliente pour utiliser les crt et key configuré pour le client).

Je vous poste un lien qui m'a beaucoup orienté (car j'ai adapté quelques trucs mais les grandes lignes sont OK):

https://tavenier.org/synology-nas-with-openvpn-with-client-certificate/