Форум Сайтостроение Администрирование серверов

linux openvpn server не понятная ошибка TLS_ERROR: BIO read tls_read_plaintext error

baas
На сайте с 17.09.2012
Offline
171
baas
1090

Добрый день.

С толкнулся с не понятной ошибкой.

Система debian 12, 

Версия ssl и openvpn.

OpenVPN 2.6.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]

library versions: OpenSSL 3.0.15 3 Sep 2024, LZO 2.10

Ситуация такая, в субботу 08.03.2025 все работало, в воскресенье перестало работать.
Сейчас ради эксперимента выставил дату на сервере vpn 06.03.2025 и перезагрузил openvpn заработало.
Так в чем может быть проблема?

Ошибка

2025-03-09 10:34:17 11.11.11.11:56595 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-09 10:34:18 20.20.20.20:17663 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
202503-09 10:34:18 20.20.20.20:17663 TLS Error: TLS handshake failed
2025-03-09 10:34:18 20.20.20.20:17663 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-09 10:34:18 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:19 66.66.66.66:57729 TLS Error: Unroutable control packet received from [AF_INET]66.66.66.66:57729 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:19 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:20 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:21 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:22 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:23 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:24 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:25 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:26 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:27 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:28 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:29 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:30 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:31 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:32 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)
2025-03-09 10:34:33 11.11.11.11:52255 VERIFY ERROR: depth=0, error=CRL has expired: CN=user_mane, serial=44256302698432184119286927193249583339
2025-03-09 10:34:33 11.11.11.11:52255 OpenSSL: error:0A000086:SSL routines::certificate verify failed
2025-03-09 10:34:33 11.11.11.11:52255 TLS_ERROR: BIO read tls_read_plaintext error
2025-03-09 10:34:33 11.11.11.11:52255 TLS Error: TLS object -> incoming plaintext read error
2025-03-09 10:34:33 11.11.11.11:52255 TLS Error: TLS handshake failed
2025-03-09 10:34:33 11.11.11.11:52255 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-09 10:34:33 11.11.11.11:63817 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2025-03-09 10:34:33 11.11.11.11:63817 TLS Error: TLS handshake failed
2025-03-09 10:34:33 11.11.11.11:63817 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-09 10:34:33 77.77.77.77:53477 TLS Error: Unroutable control packet received from [AF_INET]77.77.77.77:53477 (si=3 op=P_CONTROL_V1)

Явно с каким то сертификатом, вот мой конфиг сервера.

/etc/openvpn/server.conf
local 10.128.0.3
port 1194
proto 
udp

dev tun

ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/pnprod.crt
key /etc/openvpn/easy-rsa/pki/private/pnprod.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
crl-verify /etc/openvpn/client/crl.pem

persist-key
persist-tun

client-config-dir client.conf.d

server 10.8.20.0 255.255.255.0
route 192.168.10.0 255.255.255.0
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "route 8.8.8.8 255.255.255.255 vpn_gateway"
push "route 8.8.4.4 255.255.255.255 vpn_gateway"
push "route 10.128.0.0 255.255.255.0 vpn_gateway"

client-to-client
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
cipher AES-256-CBC
auth SHA256
push "route 192.168.10.0 255.255.255.0"

keepalive 30 900

user nobody
group nogroup

status /var/log/openvpn/status.log
log /var/log/openvpn/openvpn.log
verb 3

explicit-exit-notify 1

Делаю проверки сертификатов.

cd /etc/openvpn/easy-rsa/pki && openssl verify -CAfile ca.crt /etc/openvpn/easy-rsa/pki/issued/pnprod.crt
/etc/openvpn/easy-rsa/pki/issued/pnprod.crt: OK
cd /etc/openvpn/easy-rsa/pki && openssl x509 -text -in ca.crt
...
        Issuer: CN = Easy-RSA CA
        Validity
            Not Before: Aug 14 05:16:06 2024 GMT
            Not After : Aug 12 05:16:06 2034 GMT
        Subject: CN = Easy-RSA CA
...
openssl x509 -text -in /etc/openvpn/easy-rsa/pki/issued/pnprod.crt
        Issuer: CN = Easy-RSA CA
        Validity
            Not Before: Aug 14 05:18:40 2024 GMT
            Not After : Nov 17 05:18:40 2026 GMT
        Subject: CN = pnprod

Вроде сертификаты рабочие, тогда не понимаю я в чем дело?

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
Good-HOST support
На сайте с 07.06.2022
Offline
28
Good-HOST support
#1
baas :

Добрый день.

С толкнулся с не понятной ошибкой.

Система debian 12, 

Версия ssl и openvpn.

Ситуация такая, в субботу 08.03.2025 все работало, в воскресенье перестало работать.
Сейчас ради эксперимента выставил дату на сервере vpn 06.03.2025 и перезагрузил openvpn заработало.
Так в чем может быть проблема?

Ошибка

Явно с каким то сертификатом, вот мой конфиг сервера.

Делаю проверки сертификатов.

Вроде сертификаты рабочие, тогда не понимаю я в чем дело?



может случайно обновили openvpn сервер до последней версии?

https://good-host.net/ - провайдер Windows/Linux VPS, хостинга в Германии, Финляндии и США. Выделенные сервера. Работаем с 2007 года. Наш faq: https://faq.good-host.net/
baas
На сайте с 17.09.2012
Offline
171
baas
#2
Good-HOST support #:


может случайно обновили openvpn сервер до последней версии?

нет,

В пятница-суббота ни какие работы не проводились, все штатно работало, в воскресенье впн отвалился.

Сейчас костылем, через крон, у сервера впн откатываю дату на 2 дня назад.

Amigo_9876
На сайте с 01.04.2009
Offline
328
Amigo_9876
#3

Я тогда года полтора назад столкнулся с проблемой openvpn, даже chatgpt не смог решить.

В итоге поставил wireguard-easy

baas
На сайте с 17.09.2012
Offline
171
baas
#4
Починил, проблема в сертификате отозванных сертификатов была.
В /etc/openvpn/easy-rsa/pki/crl.pem
в указал /etc/openvpn/easy-rsa.pki/vars
set_var EASYRSA_CRL_DAYS 180

Вернул время атуальное.

после пересоздадим сертификат.
cd  /etc/openvpn/easy-rsa && ./easyrsa gen-crl

Пересоздал сертификат pki/crl.pem и все заработало.

В /etc/openvpn/server.conf изменил путь до сертификата

crl-verify /etc/openvpn/easy-rsa/pki/crl.pem

на всякий пожарный смотри срок службы серта.

openssl crl -inform PEM -in /etc/openvpn/easy-rsa/pki/crl.pem -text -noout
        Issuer: CN = Easy-RSA CA
        Last Update: Mar  6 15:30:00 2025 GMT
        Next Update: Mar  6 15:30:00 2026 GMT
        CRL extensions:
L
На сайте с 10.02.2015
Offline
261
livetv
#5
Человекопонятные ошибки для слабаков.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий