Bonjour,

J'utilisais sans problème depuis des années le vpn fourni par Giganews en utilisant le protocole openvpn.

Depuis mon passage à Fedora 36 ou suite à une mise à jour récente (je ne sais pas précisément) je n'arrive plus à me connecter à celui-ci.

Ma config actuelle est la suivante:
openvpn-2.5.6-1.fc36.x86_64
openssl-3.0.2-2.fc36.x86_64
J'ai déjà dû commencer par ré-autoriser le chiffrement BF-CBC qui n'était plus autorisé. Pour ce faire j'ai modifié le fichier /etc/ssl/openssl.cnf en suivant les instructions trouvées ici: https://ask.fedoraproject.org/t/openssl-error-when-connecting-to-vpn-via-networkmanager-fedora-36/21123/9

Une fois cette modification faite, j'ai bien le chiffrement BF-CBC autorisé mais quand j'essaie d'établir ma connexion vpn j'obtiens systématiquement l'erreur suivante:
avril 21 18:34:02 lx-desktop NetworkManager[1261]: <info>  [1650558842.7783] audit: op="connection-update" uuid="6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx" name="Paris" args="vpn.data" pid=4720 uid=1000 result="success"
avril 21 18:34:07 lx-desktop NetworkManager[1261]: <info>  [1650558847.3774] vpn[0x5595bea4a970,6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx,"Paris"]: starting openvpn
avril 21 18:34:07 lx-desktop NetworkManager[1261]: <info>  [1650558847.3775] audit: op="connection-activate" uuid="6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx" name="Paris" pid=4720 uid=1000 result="success"
avril 21 18:34:07 lx-desktop NetworkManager[5368]: 2022-04-21 18:34:07 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: DEPRECATED OPTION: --cipher set to 'BF-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'BF-CBC' to --data-ciphers or change --cipher 'BF-CBC' to --data-ciphers-fallback 'BF-CBC' to silence this warning.
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: OpenVPN 2.5.6 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Mar 16 2022
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: Cannot load CA certificate file /etc/openvpn/ca.vyprvpn.com.crt (no entries were read)
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: Exiting due to fatal error
avril 21 18:34:07 lx-desktop NetworkManager[1261]: <warn>  [1650558847.6247] vpn[0x5595bea4a970,6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx,"Paris"]: dbus: failure: connect-failed (1)
avril 21 18:34:07 lx-desktop NetworkManager[1261]: <warn>  [1650558847.6247] vpn[0x5595bea4a970,6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx,"Paris"]: dbus: failure: connect-failed (1)
Le fichier ca.vyprvpn.com.crt ets bien présent et accessible en lecture par tous:
$ ll /etc/openvpn
total 52
-rw-r--r--. 1 xxxxxx xxxxxx  40966 21 avril 11:24 ca.vyprvpn.com.crt
drwxr-x---. 2 root   openvpn  4096 16 mars  14:40 client
drwxr-x---. 2 root   openvpn  4096 16 mars  14:40 server
$ 
J'ai fait un autorelabel selinux mais ça n'a rien changé.

Any help ?
19 jours plus tard
Salut, est-ce que la situation a évolué ?

est-ce que ya un blocage SELinux au moment de lancer le vpn ?
# aureport -a -ts today
12 jours plus tard
Bonjour,

Même problème, aussi avec le chiffrement BF-CBC implémenté côté serveur : impossible depuis F36 de se connecter au VPN que je dois utiliser.

Si quelqu'un a pu avancer sur les pistes de résolution... Merci !

Cordialement
Bruno35 wrote:Si quelqu'un a pu avancer sur les pistes de résolution...
Pour vyprvpn proposé par Giganews, ils sont passé en AES-256-CBC ce qui a résolu le problème.
Bonsoir

Je sais bien que BF-CBC est déprécié... Si ceci ne tenait qu'à moi, le serveur aurait été mis à jour depuis longtemps, mais ce n'est pas moi qui décide, ni met en oeuvre...
En attendant, je suis obligé de passer sous Windows pour travailler sur le VPN incriminé :roll:
Tu as regardé mon lien dans la partie "How to test" ?
Bonjour,

Oui, j'avais regardé... Je n'ai pas de fichier de configuration dans /etc/openvpn/client/ : la connexion est entièrement paramétrée depuis Paramètres de Gnome-Shell... Elle fonctionnait très bien avec F35, mais plus du tout avec F36.

Cordialement
Et donc via les paramètres avancés dans la configuration de ton accès VPN, tu as essayé de choisir le chiffrement BF-CBC ?
En cherchant un peu plus, lors de la négociation Cipher, OpenSSL renvoie ceci :
OpenSSL: error:0308010C:digital envelope routines::unsupported
Bonjour,
Nicosss wrote:Et donc via les paramètres avancés dans la configuration de ton accès VPN, tu as essayé de choisir le chiffrement BF-CBC ?
Oui, bien sûr, j'avais essayé...

Le problème venait donc d'openSSL 3.0... Et la solution était dans le paramétrage son paramétrage, décrite au point 6.2 de la documentation : https://wiki.openssl.org/index.php/OpenSSL_3.0#Providers
.
Il suffit de décommenter les lignes citées dans /etc/ssl/openssl.cnf, et ça fonctionne du premier coup !

Ce n'était donc pas le type de chiffrement de l'authentification qui posait problème.

Je le signale à toutes fins utiles

Merci !

Cordialement
Si tout est bon alors le sujet pourra être passé en Résolu quand didierg repassera par là.

Bonne continuation !
Nicosss wrote:Si tout est bon alors le sujet pourra être passé en Résolu quand didierg repassera par là.
C'est fait.
7 jours plus tard
Bonsoir à tous, je n'ai pas encore changé ma signature mais, suite à un changement de «disques» j'ai installé à neuf une Fedora 36.
Depuis je galère pour plusieurs choses qui avant fonctionnaient parfaitement mais avec la 36 ne fonctionnent plus (pour rester poli !).
Mon VPN bien entendu m'éjecte immédiatement dès que je tente une connexion.
Je suis avec NordVPN depuis des années.
Bruno35 j'ai suivi ce que tu décris au post 12 (si je ne me suis pas trompé de n°).
J'ai donc modifié les lignes suivantes dans openssl.cnf :
openssl_conf = openssl_init
   
[openssl_init]
providers = provider_sect
   
[provider_sect]
default = default_sect
legacy = legacy_sect
   
[default_sect]
activate = 1
   
[legacy_sect]
activate = 1
Mais ça ne fonctionne toujours pas.
C'est vraiment la galère, c'est d'autant plus énervant que depuis que j'ai fait cette manip, sans que je comprenne pourquoi, à chaque démarrage de l'ordi je me retrouve avec une création d'une nouvelle connexion, ce qui est galère.
Et bien entendu ça me fait sauter ma configuration, DNS, changement d'adresse matérielle et réactivation désactivation de l'IPV6...
Je sais que le sujet est fermé, désolé donc de m'y greffer, mais ça serait trop trompeur d'en ouvrir un autre.
Je galère depuis hier début d'après-midi et je me suis couché à 3h00 pour régler plein de choses, alors pardon pour la mauvaise humeur en arrière plan.
Je vous remercie par avance pour votre précieux concours.
Voilà, j'ai mis à jour ma signature, pensez-vous que le fait que je sois parti d'une NetInstall soit la raison pour laquelle la solution qui a visiblement fonctionné pour tous ne fonctionne pas pour moi ???
Merci par avance pour votre aide.

[EDIT]
Je modifie pour préciser que j'ai effectué l'installation du rpm de NordVPN récupéré ici : https://repo.nordvpn.com/yum/nordvpn/centos/noarch/Packages/n/nordvpn-release-1.0.0-1.noarch.rpm
J'ai suivi les instructions de cette page : https://support.nordvpn.com/fr/Connectivit%C3%A9/Linux/1569821722/Installation-et-utilisation-de-NordVPN-sur-Fedora-et-QubesOS-Linux.htm

L'installation s'est faite sans erreur pour ce qui est du paquet :
[root@fedora ~]# sh <(curl -sSf https://downloads.nordcdn.com/apps/linux/install.sh)
/usr/bin/yum
/usr/bin/dnf
Ajout du dépôt depuis : https://repo.nordvpn.com//yum/nordvpn/centos/x86_64
NordVPN YUM repository - x86_64                                                         1.9 kB/s | 2.7 kB     00:01    
NordVPN YUM repository - noarch                                                         1.2 kB/s | 1.3 kB     00:01    
created by dnf config-manager from https://repo.nordvpn.com//yum/nordvpn/centos/x86_64  2.3 kB/s | 2.7 kB     00:01    
Dépendances résolues.
========================================================================================================================
 Paquet                      Architecture               Version                       Dépôt                       Taille
========================================================================================================================
Installation:
 nordvpn                     x86_64                     3.14.0-1                      nordvpn                      21 M

Résumé de la transaction
========================================================================================================================
Installer  1 Paquet

Taille totale des téléchargements : 21 M
Taille des paquets installés : 57 M
Voulez-vous continuer ? [o/N] : o
Téléchargement des paquets :
nordvpn-3.14.0-1.x86_64.rpm                                                             343 kB/s |  21 MB     01:03    
------------------------------------------------------------------------------------------------------------------------
Total                                                                                   343 kB/s |  21 MB     01:03     
Test de la transaction
La vérification de la transaction a réussi.
Lancement de la transaction de test
Transaction de test réussie.
Exécution de la transaction
  Préparation           :                                                                                           1/1 
  Installation          : nordvpn-3.14.0-1.x86_64                                                                   1/1 
  Exécution du scriptlet: nordvpn-3.14.0-1.x86_64                                                                   1/1 
Adding user eric to the group nordvpn

NordVPN for Linux successfully installed!
To get started, please re-login or execute `su - $USER` in the current shell, type 'nordvpn login' and enter your NordVPN account details. Then type 'nordvpn connect' and you’re all set! To allow other users to use the application run 'usermod -aG nordvpn otheruser'. If you need help using the app, use the command 'nordvpn --help'.

  Vérification de       : nordvpn-3.14.0-1.x86_64                                                                   1/1 

Installé:
  nordvpn-3.14.0-1.x86_64                                                                                               

Terminé !
[root@fedora ~]#
Cependant, lorsque je fais :
[root@fedora ~]# nordvpn connect

You are not logged in.
[root@fedora ~]# 
J'ai testé à tout hasard la connexion en simple utilisateur mais bien sûr ça n'a pas fonctionné.
Je tente de joindre NordVPN car je n'ai rien trouvé sur leur site au sujet de ce problème.
Si parmi vous quelqu'un a la solution où vois là où j'ai foiré en suivant la solution donnée par Bruno35 dans ce fil, je suis preneur bien sûr.
Merci par avance.


Bon WE à toutes et tous.
J'ai un vieux SSD sur lequel j'ai installé aujourd'hui une Fedora Silverblue 36.
Il n'y a aucun problème pour se connecter avec NordVPN (je pense que ça serait pareil avec un autre VPN).
J'ai configuré la connexion VPN directement après l'installation depuis l'interface graphique, pas avec le rpm de Nord.
Je voulais voir si après mise à jour ça fonctionnerai toujours.
C'est le cas, après la mise à jours le VPN fonctionne correctement et stablement et aucun raté même après plusieurs redémarrages successifs.
Je voulais juste informer, peut-être que cela sera utile à quelqu'un.
Bonsoir.