[Berlin-wireless] TincVPNBerlin libopenssl

Hugo hugoff
Mi Aug 11 04:21:50 CEST 2010 

Hallo Rolf!

Am Mittwoch, den 11.08.2010, 04:06 +0200 schrieb Rolf Pfeiffer:
> Hallo,
> 
> Hab grad versucht tinc zu installieren. Das zieht aber die libopenssl
> nach - und die ist so groß (über 400 kB) daß sie nicht mehr auf den
> Router passt.
Jut: wenn du die FF-Firmware mit 2.4er kernel von sven-ola für ein
broadcom-basierten router nutzt, böte sich die x.y.z_full.trx an.
Warum: schau evtl mal nach den infos zu dem squash-filesystem nach!

Versuch bitte erst die 1.7.1(testing)!
http://download.berlin.freifunk.net/sven-ola/testing/_trx/
http://download.berlin.freifunk.net/sven-ola/testing/_trx/
Warum: hat neueste modifikationen:
Zietierte Mails:
Am Samstag, den 03.07.2010, 10:12 +0200 schrieb Sven-Ola Tuecke:
Hi,
> 
> nur als Hinweis: ich wollte heute ein OpenVPN auf einer
Freifunk-Firmware in 
> Betrieb nehmen. Zu meiner Ueberraschung hat das nicht funktioniert.
Ich 
> bekomme diese seltsame Meldung (Klientseite, FFF):
> 
> Sat Jul  3 10:07:18 2010 TLS: Initial packet from 91.185.208.190:443, 
> sid=3ae77ec3 f2a6f40f
> Sat Jul  3 10:07:18 2010 TLS_ERROR: BIO read tls_read_plaintext
error: 
> error:14092073:lib(20):func(146):reason(115)
> 
> Das liegt irgenwie an der libcrypt/libssl. Wenn ich diese beiden Libs
statisch 
> auf meinem Rechner linke, dann klappt es. Also irgendwat mit openssl
auf 
> ianua. Bin dran...
> 
> // Sven-Ola

Am Sonntag, den 04.07.2010, 09:23 +0200 schrieb Sven-Ola Tuecke:
Hey,
> 
> als Statusnotiz: das liegt an der sehr frischen libssl (0.9.8o). Mein 
> Standard-Ubuntu Lynx hat 0.9.8k - da gehts. Ich hab's noch etwas
genauer - das 
> war der gestrige Nachmittag: http://cvs.openssl.org/chngview?cn=19049
> 
> Für die Freifunk-Firmware werfe ich aus openssl alles moeglich 'raus
wegen 
> Platz. U.a. die TLS-Extensions weil die wiederum AES und OCSP
brauchen. In 
> OpenWrt Kamikaze/Backfire sind diese nicht 'rausgeworfen (das sind ca
200kb). 
> Die oben angefuehrte Aenderung (ab openssl-0.9.8m drin) fuehrt dazu,
dass ohne 
> die TLS-Extensions der Schluesselaustausch nicht mehr klappt.
> 
> Man koennte auf ianua zur libssl-0.9.8l zurueckgehen. Oder in der FFF
auf 
> diese Version. Aber ich halte mehr davon das in der FFF-libssl-0.9.8o
zu fixen 
> bzw. einen Bugrep zu machen.
> 
> // Sven-Ola
> 
> Am Samstag, 3. Juli 2010, um 10:12:36 schrieb Sven-Ola Tuecke:
> > Hi,
> > 
> > nur als Hinweis: ich wollte heute ein OpenVPN auf einer
Freifunk-Firmware
> > in Betrieb nehmen. Zu meiner Ueberraschung hat das nicht
funktioniert. Ich
> > bekomme diese seltsame Meldung (Klientseite, FFF):
> > 
> > Sat Jul  3 10:07:18 2010 TLS: Initial packet from
91.185.208.190:443,
> > sid=3ae77ec3 f2a6f40f
> > Sat Jul  3 10:07:18 2010 TLS_ERROR: BIO read tls_read_plaintext
error:
> > error:14092073:lib(20):func(146):reason(115)
> > 
> > Das liegt irgenwie an der libcrypt/libssl. Wenn ich diese beiden
Libs
> > statisch auf meinem Rechner linke, dann klappt es. Also irgendwat
mit
> > openssl auf ianua. Bin dran...
> > 
> > // Sven-Ola

Am Sonntag, den 04.07.2010, 13:12 +0200 schrieb Sven-Ola Tuecke:
Hey,
> 
> das OpenVPN/OpenSLL der Freifunk-Firmware funktionert im Zusammenspiel
mit 
> einem OpenVPN-Server nicht immer. Verbindet man sich z.B. mit einem
Freifunk-
> Firmware-OpenVPN zu einem OpenVPN-Server mit LibOpenSSL-0.8.9m oder
hoeher, 
> wird der Verbindungsversuch mit "TLS_ERROR..." abgebrochen.
> 
> Root-Cause ist das hier:
> 
> http://jce.iaik.tugraz.at/sic/Products/Communication-Messaging-
> Security/iSaSiLk/documentation/Secure-Renegotiation
> 
> Nach diesem Sicherheits-Hinweis aus Ende-2009 wurde in OpenSSL ein
Workaround 
> eingebaut, der die TLS-Extensions zwingend benoetigt. Dieser
Workaround ist 
> erst mit libopenssl-0.9.8m verfuegbar, z.B. ein Ubuntu-Lynx verwendet
noch 
> 0.9.8k. Die TLS-Extensions hatte ich aus Platzgruenden (kosten 80kb)
aus der 
> FFF-libopenssl entfernt.
> 
> Reparatur:
> 
> a) Neue FW einspielen: FFF-1.7.1 unter 
> http://download.berlin.freifunk.net/sven-ola/testing/ 
> 
> b) openssl updaten mit "ipkg install
http://download.berlin.freifunk.net/sven-
> ola/testing/packages/libopenssl_0.9.8o_mipsel.ipk". Vorsicht! Das sind
fast 
> 900 Kilobyte! Vorher mit "df" pruefen ob genug Platz ist!
> 
> // Sven-Ola


Ansonsten: nichts fuer ungut

LG Hugo!

> 
> Jemand ne Idee? Läuft die Vernetzung über TincVPNBerlin eigentlich noch?
> 
> Gruss Rolf
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin

Mehr Informationen über die Mailingliste Berlin