[Berlin-wireless] Freifunk-FW: OpenVPN "TLS_ERROR" mit OpenSSL 0.9.8m oder hoeher
Sven-Ola Tuecke
sven-ola
So Jul 4 13:12:59 CEST 2010
Hey,
das OpenVPN/OpenSLL der Freifunk-Firmware funktionert im Zusammenspiel mit
einem OpenVPN-Server nicht immer. Verbindet man sich z.B. mit einem Freifunk-
Firmware-OpenVPN zu einem OpenVPN-Server mit LibOpenSSL-0.8.9m oder hoeher,
wird der Verbindungsversuch mit "TLS_ERROR..." abgebrochen.
Root-Cause ist das hier:
http://jce.iaik.tugraz.at/sic/Products/Communication-Messaging-
Security/iSaSiLk/documentation/Secure-Renegotiation
Nach diesem Sicherheits-Hinweis aus Ende-2009 wurde in OpenSSL ein Workaround
eingebaut, der die TLS-Extensions zwingend benoetigt. Dieser Workaround ist
erst mit libopenssl-0.9.8m verfuegbar, z.B. ein Ubuntu-Lynx verwendet noch
0.9.8k. Die TLS-Extensions hatte ich aus Platzgruenden (kosten 80kb) aus der
FFF-libopenssl entfernt.
Reparatur:
a) Neue FW einspielen: FFF-1.7.1 unter
http://download.berlin.freifunk.net/sven-ola/testing/
b) openssl updaten mit "ipkg install http://download.berlin.freifunk.net/sven-
ola/testing/packages/libopenssl_0.9.8o_mipsel.ipk". Vorsicht! Das sind fast
900 Kilobyte! Vorher mit "df" pruefen ob genug Platz ist!
// Sven-Ola
Mehr Informationen über die Mailingliste Berlin