Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 37 Beta est disponible

#1 21/04/2022 19:09:28

didierg
Bricoleur du dimanche
Modérateur
Inscription : 11/07/2005
Messages : 5 696

[Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Bonjour,

J'utilisais sans problème depuis des années le vpn fourni par Giganews en utilisant le protocole openvpn.

Depuis mon passage à Fedora 36 ou suite à une mise à jour récente (je ne sais pas précisément) je n'arrive plus à me connecter à celui-ci.

Ma config actuelle est la suivante:

openvpn-2.5.6-1.fc36.x86_64
openssl-3.0.2-2.fc36.x86_64

J'ai déjà dû commencer par ré-autoriser le chiffrement BF-CBC qui n'était plus autorisé. Pour ce faire j'ai modifié le fichier /etc/ssl/openssl.cnf en suivant les instructions trouvées ici: https://ask.fedoraproject.org/t/openssl … 36/21123/9

Une fois cette modification faite, j'ai bien le chiffrement BF-CBC autorisé mais quand j'essaie d'établir ma connexion vpn j'obtiens systématiquement l'erreur suivante:

avril 21 18:34:02 lx-desktop NetworkManager[1261]: <info>  [1650558842.7783] audit: op="connection-update" uuid="6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx" name="Paris" args="vpn.data" pid=4720 uid=1000 result="success"
avril 21 18:34:07 lx-desktop NetworkManager[1261]: <info>  [1650558847.3774] vpn[0x5595bea4a970,6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx,"Paris"]: starting openvpn
avril 21 18:34:07 lx-desktop NetworkManager[1261]: <info>  [1650558847.3775] audit: op="connection-activate" uuid="6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx" name="Paris" pid=4720 uid=1000 result="success"
avril 21 18:34:07 lx-desktop NetworkManager[5368]: 2022-04-21 18:34:07 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: DEPRECATED OPTION: --cipher set to 'BF-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'BF-CBC' to --data-ciphers or change --cipher 'BF-CBC' to --data-ciphers-fallback 'BF-CBC' to silence this warning.
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: OpenVPN 2.5.6 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Mar 16 2022
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: Cannot load CA certificate file /etc/openvpn/ca.vyprvpn.com.crt (no entries were read)
avril 21 18:34:07 lx-desktop nm-openvpn[5368]: Exiting due to fatal error
avril 21 18:34:07 lx-desktop NetworkManager[1261]: <warn>  [1650558847.6247] vpn[0x5595bea4a970,6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx,"Paris"]: dbus: failure: connect-failed (1)
avril 21 18:34:07 lx-desktop NetworkManager[1261]: <warn>  [1650558847.6247] vpn[0x5595bea4a970,6173607f-4e0d-4276-ba4d-xxxxxxxxxxxx,"Paris"]: dbus: failure: connect-failed (1)

Le fichier ca.vyprvpn.com.crt ets bien présent et accessible en lecture par tous:

$ ll /etc/openvpn
total 52
-rw-r--r--. 1 xxxxxx xxxxxx  40966 21 avril 11:24 ca.vyprvpn.com.crt
drwxr-x---. 2 root   openvpn  4096 16 mars  14:40 client
drwxr-x---. 2 root   openvpn  4096 16 mars  14:40 server
$ 

J'ai fait un autorelabel selinux mais ça n'a rien changé.

Any help ?

Hors ligne

#2 21/04/2022 19:41:51

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 501
Site Web

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

La sortie de la F36 Final est pas mal repoussée car il reste pas mal de choses bloquantes https://qa.fedoraproject.org/blockerbug … al/buglist .

Tu as une mise à jour d'openssl qui va arriver.


F36_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F36_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#3 10/05/2022 19:42:21

C@sp€r
Bricoleur Fedora
Lieu : /dev/loop
Inscription : 09/04/2010
Messages : 770
Site Web

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Salut, est-ce que la situation a évolué ?

est-ce que ya un blocage SELinux au moment de lancer le vpn ?

# aureport -a -ts today

1st, no system is safe
2nd, aim for the impossible
3rd, have fun in cyberspace and meatspace

Hors ligne

#4 22/05/2022 11:37:21

Bruno35
Membre
Lieu : Rennes
Inscription : 24/08/2005
Messages : 156

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Bonjour,

Même problème, aussi avec le chiffrement BF-CBC implémenté côté serveur : impossible depuis F36 de se connecter au VPN que je dois utiliser.

Si quelqu'un a pu avancer sur les pistes de résolution... Merci !

Cordialement


Bruno

Hors ligne

#5 22/05/2022 13:38:36

didierg
Bricoleur du dimanche
Modérateur
Inscription : 11/07/2005
Messages : 5 696

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Bruno35 a écrit :

Si quelqu'un a pu avancer sur les pistes de résolution...

Pour vyprvpn proposé par Giganews, ils sont passé en AES-256-CBC ce qui a résolu le problème.

Hors ligne

#6 22/05/2022 15:08:57

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 501
Site Web

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Le chiffrement BF-CBC est déprécié, il faut mettre à jour côté serveur..

Une piste de recherche https://fedoraproject.org/wiki/Changes/ … in_OpenVPN .


F36_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F36_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#7 23/05/2022 18:41:28

Bruno35
Membre
Lieu : Rennes
Inscription : 24/08/2005
Messages : 156

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Bonsoir

Je sais bien que BF-CBC est déprécié... Si ceci ne tenait qu'à moi, le serveur aurait été mis à jour depuis longtemps, mais ce n'est pas moi qui décide, ni met en oeuvre...
En attendant, je suis obligé de passer sous Windows pour travailler sur le VPN incriminé roll


Bruno

Hors ligne

#8 23/05/2022 19:14:01

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 501
Site Web

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Tu as regardé mon lien dans la partie "How to test" ?


F36_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F36_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#9 26/05/2022 17:41:16

Bruno35
Membre
Lieu : Rennes
Inscription : 24/08/2005
Messages : 156

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Bonjour,

Oui, j'avais regardé... Je n'ai pas de fichier de configuration dans  /etc/openvpn/client/ : la connexion est entièrement paramétrée depuis Paramètres de Gnome-Shell... Elle fonctionnait très bien avec F35, mais plus du tout avec F36.

Cordialement


Bruno

Hors ligne

#10 26/05/2022 17:54:18

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 501
Site Web

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Et donc via les paramètres avancés dans la configuration de ton accès VPN, tu as essayé de choisir le chiffrement BF-CBC ?


F36_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F36_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#11 26/05/2022 17:57:38

Bruno35
Membre
Lieu : Rennes
Inscription : 24/08/2005
Messages : 156

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

En cherchant un peu plus, lors de la négociation Cipher, OpenSSL renvoie ceci :
OpenSSL: error:0308010C:digital envelope routines::unsupported


Bruno

Hors ligne

#12 27/05/2022 10:45:55

Bruno35
Membre
Lieu : Rennes
Inscription : 24/08/2005
Messages : 156

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Bonjour,

Nicosss a écrit :

Et donc via les paramètres avancés dans la configuration de ton accès VPN, tu as essayé de choisir le chiffrement BF-CBC ?

Oui, bien sûr, j'avais essayé...

Le problème venait donc d'openSSL 3.0... Et la solution était dans le paramétrage son paramétrage, décrite au point 6.2 de la documentation : https://wiki.openssl.org/index.php/Open … #Providers
.
Il suffit de décommenter les lignes citées dans /etc/ssl/openssl.cnf, et ça fonctionne du premier coup !

Ce n'était donc pas le type de chiffrement de l'authentification qui posait problème.

Je le signale à toutes fins utiles

Merci !

Cordialement

Dernière modification par Bruno35 (27/05/2022 10:48:49)


Bruno

Hors ligne

#13 27/05/2022 11:08:11

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 501
Site Web

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Si tout est bon alors le sujet pourra être passé en Résolu quand didierg repassera par là.

Bonne continuation !


F36_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F36_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#14 27/05/2022 13:05:20

didierg
Bricoleur du dimanche
Modérateur
Inscription : 11/07/2005
Messages : 5 696

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Nicosss a écrit :

Si tout est bon alors le sujet pourra être passé en Résolu quand didierg repassera par là.

C'est fait.

Hors ligne

#15 03/06/2022 20:31:59

Jules-Marie-84
Membre
Inscription : 28/10/2012
Messages : 508

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Bonsoir à tous, je n'ai pas encore changé ma signature mais, suite à un changement de «disques» j'ai installé à neuf une Fedora 36.
Depuis je galère pour plusieurs choses qui avant fonctionnaient parfaitement mais avec la 36 ne fonctionnent plus (pour rester poli !).
Mon VPN bien entendu m'éjecte immédiatement dès que je tente une connexion.
Je suis avec NordVPN depuis des années.
Bruno35 j'ai suivi ce que tu décris au post 12 (si je ne me suis pas trompé de n°).
J'ai donc modifié les lignes suivantes dans openssl.cnf :

openssl_conf = openssl_init
   
[openssl_init]
providers = provider_sect
   
[provider_sect]
default = default_sect
legacy = legacy_sect
   
[default_sect]
activate = 1
   
[legacy_sect]
activate = 1

Mais ça ne fonctionne toujours pas.
C'est vraiment la galère, c'est d'autant plus énervant que depuis que j'ai fait cette manip, sans que je comprenne pourquoi, à chaque démarrage de l'ordi je me retrouve avec une création d'une nouvelle connexion, ce qui est galère.
Et bien entendu ça me fait sauter ma configuration, DNS, changement d'adresse matérielle et réactivation désactivation de l'IPV6...
Je sais que le sujet est fermé, désolé donc de m'y greffer, mais ça serait trop trompeur d'en ouvrir un autre.
Je galère depuis hier début d'après-midi et je me suis couché à 3h00 pour régler plein de choses, alors pardon pour la mauvaise humeur en arrière plan.
Je vous remercie par avance pour votre précieux concours.

Dernière modification par Jules-Marie-84 (03/06/2022 20:33:58)


Jules-Marie-84

Fedora Linux 36 Workstation - AMD FX 8350 - Gigabyte GA 970 gaming - 32Gb ram DDR3 1600 - Vidéo Sapphire Nitro Radeon RX 480 - 4 Go - NVMe Samsung 980 Pro 1To «système» - SSD Crucial MX500 2To «datas».

Hors ligne

#16 04/06/2022 10:03:49

Jules-Marie-84
Membre
Inscription : 28/10/2012
Messages : 508

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

Voilà, j'ai mis à jour ma signature, pensez-vous que le fait que je sois parti d'une NetInstall soit la raison pour laquelle la solution qui a visiblement fonctionné pour tous ne fonctionne pas pour moi ???
Merci par avance pour votre aide.

[EDIT]
Je modifie pour préciser que j'ai effectué l'installation du rpm de NordVPN récupéré ici : https://repo.nordvpn.com/yum/nordvpn/ce … noarch.rpm
J'ai suivi les instructions de cette page : https://support.nordvpn.com/fr/Connecti … -Linux.htm

L'installation s'est faite sans erreur pour ce qui est du paquet :

[root@fedora ~]# sh <(curl -sSf https://downloads.nordcdn.com/apps/linux/install.sh)
/usr/bin/yum
/usr/bin/dnf
Ajout du dépôt depuis : https://repo.nordvpn.com//yum/nordvpn/centos/x86_64
NordVPN YUM repository - x86_64                                                         1.9 kB/s | 2.7 kB     00:01    
NordVPN YUM repository - noarch                                                         1.2 kB/s | 1.3 kB     00:01    
created by dnf config-manager from https://repo.nordvpn.com//yum/nordvpn/centos/x86_64  2.3 kB/s | 2.7 kB     00:01    
Dépendances résolues.
========================================================================================================================
 Paquet                      Architecture               Version                       Dépôt                       Taille
========================================================================================================================
Installation:
 nordvpn                     x86_64                     3.14.0-1                      nordvpn                      21 M

Résumé de la transaction
========================================================================================================================
Installer  1 Paquet

Taille totale des téléchargements : 21 M
Taille des paquets installés : 57 M
Voulez-vous continuer ? [o/N] : o
Téléchargement des paquets :
nordvpn-3.14.0-1.x86_64.rpm                                                             343 kB/s |  21 MB     01:03    
------------------------------------------------------------------------------------------------------------------------
Total                                                                                   343 kB/s |  21 MB     01:03     
Test de la transaction
La vérification de la transaction a réussi.
Lancement de la transaction de test
Transaction de test réussie.
Exécution de la transaction
  Préparation           :                                                                                           1/1 
  Installation          : nordvpn-3.14.0-1.x86_64                                                                   1/1 
  Exécution du scriptlet: nordvpn-3.14.0-1.x86_64                                                                   1/1 
Adding user eric to the group nordvpn

NordVPN for Linux successfully installed!
To get started, please re-login or execute `su - $USER` in the current shell, type 'nordvpn login' and enter your NordVPN account details. Then type 'nordvpn connect' and you’re all set! To allow other users to use the application run 'usermod -aG nordvpn otheruser'. If you need help using the app, use the command 'nordvpn --help'.

  Vérification de       : nordvpn-3.14.0-1.x86_64                                                                   1/1 

Installé:
  nordvpn-3.14.0-1.x86_64                                                                                               

Terminé !
[root@fedora ~]#

Cependant, lorsque je fais :

[root@fedora ~]# nordvpn connect

You are not logged in.
[root@fedora ~]# 

J'ai testé à tout hasard la connexion en simple utilisateur mais bien sûr ça n'a pas fonctionné.
Je tente de joindre NordVPN car je n'ai rien trouvé sur leur site au sujet de ce problème.
Si parmi vous quelqu'un a la solution où vois là où j'ai foiré en suivant la solution donnée par Bruno35 dans ce fil, je suis preneur bien sûr.
Merci par avance.


Bon WE à toutes et tous.

Dernière modification par Jules-Marie-84 (04/06/2022 14:10:37)


Jules-Marie-84

Fedora Linux 36 Workstation - AMD FX 8350 - Gigabyte GA 970 gaming - 32Gb ram DDR3 1600 - Vidéo Sapphire Nitro Radeon RX 480 - 4 Go - NVMe Samsung 980 Pro 1To «système» - SSD Crucial MX500 2To «datas».

Hors ligne

#17 04/06/2022 22:19:48

Jules-Marie-84
Membre
Inscription : 28/10/2012
Messages : 508

Re : [Résolu] openvpn-2.5.6-1 openssl-3.0.2-2 - BF-CBC est déprécié

J'ai un vieux SSD sur lequel j'ai installé aujourd'hui une Fedora Silverblue 36.
Il n'y a aucun problème pour se connecter avec NordVPN (je pense que ça serait pareil avec un autre VPN).
J'ai configuré la connexion VPN directement après l'installation depuis l'interface graphique, pas avec le rpm de Nord.
Je voulais voir si après mise à jour ça fonctionnerai toujours.
C'est le cas, après la mise à jours le VPN fonctionne correctement et stablement et aucun raté même après plusieurs redémarrages successifs.
Je voulais juste informer, peut-être que cela sera utile à quelqu'un.
Bonsoir.


Jules-Marie-84

Fedora Linux 36 Workstation - AMD FX 8350 - Gigabyte GA 970 gaming - 32Gb ram DDR3 1600 - Vidéo Sapphire Nitro Radeon RX 480 - 4 Go - NVMe Samsung 980 Pro 1To «système» - SSD Crucial MX500 2To «datas».

Hors ligne

Pied de page des forums