Bug 53479 - Ошибки при попытке запустить сервер OpenVPN
Summary: Ошибки при попытке запустить сервер OpenVPN
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-openvpn-server (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Mikhail Efremov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2025-03-16 21:54 MSK by Elena Mishina
Modified: 2025-04-10 13:01 MSK (History)
4 users (show)

See Also:

Attachments
Патч, исправляющий ошибку с DHPARAM_NUMBITS (3.66 KB, patch)
2025-03-18 15:26 MSK, Alexey Volkov 		no flags Details | Diff
Патч, убирающий опцию ncp_disable (2.89 KB, patch)
2025-03-18 15:27 MSK, Alexey Volkov 		no flags Details | Diff
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Elena Mishina 2025-03-16 21:54:43 MSK 
openssl-3.3.3-alt1
openvpn-2.6.12-alt1
alterator-net-openvpn-0.8.15-alt1

При попытке запустить сервер OpenVPN в логах ошибки (сервер не запускается):

OpenSSL: error:0A00018A:SSL routines::dh key too small:
SSL_CTX_set0_tmp_dh_pkey
Exiting due to fatal error
Options error: Unrecognized option or missing or extra parameter(s) in /etc/net/ifaces/tun0/ovpnoptions:22: ncp-disable (2.6.12)



Если в файле /usr/lib/alterator/backend3/openvpn-server изменить длину ключа хотя бы на 2048:
DHPARAM_NUMBITS="1024" → DHPARAM_NUMBITS="2048"

И не устанавливать отметку "Отключить согласование алгоритмов шифрования (NCP)" (опция --ncp-disable больше не поддерживается, см. https://community.openvpn.net/openvpn/wiki/DeprecatedOptions)
то сервер запускается.
Comment 1 Alexey Volkov 2025-03-18 15:26:48 MSK 
Created attachment 18011 [details]
Патч, исправляющий ошибку с DHPARAM_NUMBITS

Вместо задания параметра DH переменной было добавлено поле выбора из трех вариантов:
2048, 3072 и 4096 для более гибкой настройки уровня безопасности.
Comment 2 Alexey Volkov 2025-03-18 15:27:30 MSK 
Created attachment 18012 [details]
Патч, убирающий опцию ncp_disable

Была убрана опция ncp_disable ввиду ее устаревания.
Comment 3 Антон Мидюков 2025-03-27 10:06:35 MSK 
(Ответ для Alexey Volkov на комментарий #2)
> Создано вложение 18012 [details] [подробности]
> Патч, убирающий опцию ncp_disable
> 
> Была убрана опция ncp_disable ввиду ее устаревания.

Alexey Volkov, подготовьте таск с NMU, пожалуйста.
Comment 4 Alexey Volkov 2025-04-01 14:21:08 MSK 
(In reply to Антон Мидюков from comment #3)
> (Ответ для Alexey Volkov на комментарий #2)
> > Создано вложение 18012 [details] [подробности]
> > Патч, убирающий опцию ncp_disable
> > 
> > Была убрана опция ncp_disable ввиду ее устаревания.
> 
> Alexey Volkov, подготовьте таск с NMU, пожалуйста.

https://packages.altlinux.org/en/tasks/379889/
Comment 5 Mikhail Efremov 2025-04-01 17:23:38 MSK 
(Ответ для Alexey Volkov на комментарий #1)
> Создано вложение 18011 [details] [подробности]
> Патч, исправляющий ошибку с DHPARAM_NUMBITS
> 
> Вместо задания параметра DH переменной было добавлено поле выбора из трех
> вариантов:
> 2048, 3072 и 4096 для более гибкой настройки уровня безопасности.

Насколько я понимаю, для ECDH TLS DH вообще не нужен, возможно надо добавить вариант с dh none. Или просто вообще прятать выбор DH, если используется соответствующие алгоритмы.
Впрочем, я давно не смотрел в openvpn и могу уже плохо помнить.
Пока аппрувлю таск, LGTM.
Comment 6 Sergey V Turchin 2025-04-07 11:53:28 MSK 
Алексей, в p11 отправьте, плиз.
Comment 7 Alexey Volkov 2025-04-10 13:01:43 MSK 
(In reply to Sergey V Turchin from comment #6)
> Алексей, в p11 отправьте, плиз.

Отправил
https://packages.altlinux.org/en/tasks/380845/