[Berlin-wireless] Freifunk-FW: OpenVPN "TLS_ERROR" mit OpenSSL 0.9.8m oder hoeher

Sven-Ola Tuecke sven-ola
So Jul 4 13:12:59 CEST 2010


Hey,

das OpenVPN/OpenSLL der Freifunk-Firmware funktionert im Zusammenspiel mit 
einem OpenVPN-Server nicht immer. Verbindet man sich z.B. mit einem Freifunk-
Firmware-OpenVPN zu einem OpenVPN-Server mit LibOpenSSL-0.8.9m oder hoeher, 
wird der Verbindungsversuch mit "TLS_ERROR..." abgebrochen.

Root-Cause ist das hier:

http://jce.iaik.tugraz.at/sic/Products/Communication-Messaging-
Security/iSaSiLk/documentation/Secure-Renegotiation

Nach diesem Sicherheits-Hinweis aus Ende-2009 wurde in OpenSSL ein Workaround 
eingebaut, der die TLS-Extensions zwingend benoetigt. Dieser Workaround ist 
erst mit libopenssl-0.9.8m verfuegbar, z.B. ein Ubuntu-Lynx verwendet noch 
0.9.8k. Die TLS-Extensions hatte ich aus Platzgruenden (kosten 80kb) aus der 
FFF-libopenssl entfernt.

Reparatur:

a) Neue FW einspielen: FFF-1.7.1 unter 
http://download.berlin.freifunk.net/sven-ola/testing/ 

b) openssl updaten mit "ipkg install http://download.berlin.freifunk.net/sven-
ola/testing/packages/libopenssl_0.9.8o_mipsel.ipk". Vorsicht! Das sind fast 
900 Kilobyte! Vorher mit "df" pruefen ob genug Platz ist!

// Sven-Ola





Mehr Informationen über die Mailingliste Berlin