Титла: openconnect в Debian sid - TLS fatal alert Публикувано от: senser в Feb 15, 2016, 19:44 Здравейте,
Имам проблем с openconnect - версия 7.06-2+b2 в текущия Debian sid. Ползвам го чрез плъгина за network-manager в gnome, но това е без значение, защото и при директно извикване резултатът е същия, а именно: Код
Ползвайки клиентът на openssl, за да тествам отсрещната страна (някакво CISCO, до което нямам достъп) получавам следното: Код
В същото време, при преглеждане на мрежовия трафик (wireshark), когато се опитвам да се закача с openconnect виждам това в SSL Client HELLO (ssl.handshake.ciphersuites): Код: Cipher Suites (54 suites): Не ги изреждам всичките, но по-важното е, че липсва RC4-MD5. Ако се ориентирам правилно, CISCO-то отсреща предлага шифър, който openconnect не поддържа и това осира връзката. Въпросният шифър е набеден за несигурен и затова сигурно openconnect не го ползва, но все пак дали няма начин да го накарам да го "хареса" отново, защото нещата си работеха нормално допреди няколко дни. Предполагам е минал ъпдейт, който е променил openconnect. Не можах и да се ориентирам какво ползва openconnect - openssl, gnutls ... Титла: Re: openconnect в Debian sid - TLS fatal alert Публикувано от: neter в Feb 16, 2016, 00:30 Не ги изреждам всичките, но по-важното е, че липсва RC4-MD5.Да, би трябвало това да ти е проблемът. Не можах и да се ориентирам какво ползва openconnect - openssl, gnutls ...Зависи с кое е компилирано, поддържа и двете, но ако ползваш пакета от хранилищата, то би трябвало да ползва gnutls. Можеш да провериш с команда Код: openconnect --version Въпросният шифър е набеден за несигурен и затова сигурно openconnect не го ползва, но все пак дали няма начин да го накарам да го "хареса" отново, защото нещата си работеха нормално допреди няколко дни. Предполагам е минал ъпдейт, който е променил openconnect.Работата с шифрите не е действие на openconnect, а на gnutls/openssl. Малко ми е съмнително проблемът ти да е от няколко дни, тъй като не виждам някое от тези обновления да включва промяна по въпроса, но може и да пропускам нещо или пък системата ти да не е била обновявана отдавна. Както и да е. Единият вариант е да downgrade-неш до версии, при които отново ще ти работи (от /var/log/dpkg.log и наличните пакети във /var/cache/apt/archives можеш да се ориентираш какво кога и с какво се е надградило). Другият вариант е да прекомпилираш openconnect с флаг да ползва openssl, вместо gnutls (изглежда, че openssl-ът ти се разбира с RC4-MD5). А най-добрият вариант е да се превключи към друг шифър на въпросното Cisco (предполагам някаква ASA?), но... при тези Cisco и при липсата ти на достъп това може да се окаже непосилна задача. Титла: Re: openconnect в Debian sid - TLS fatal alert Публикувано от: senser в Feb 16, 2016, 07:51 Работата с шифрите не е действие на openconnect, а на gnutls/openssl. Малко ми е съмнително проблемът ти да е от няколко дни, тъй като не виждам някое от тези обновления да включва промяна по въпроса, но може и да пропускам нещо или пък системата ти да не е била обновявана отдавна. Както и да е. neter, благодаря за помощта! Проблемът със сигурност е от 15-20 дни и преди това ВПН-а работеше. Сещам се обаче, че причината за проблема може да не е в ъпгрейд минал при мен, а промяна в конфигурацията, или ъпгрейд на отдалеченото CISCO. Както казах, нямам достъп до него, само мога да пиша на админите, но ми се струва доста "оптимистично" да реагират :) За openconnect си прав - компилиран е с gnutls, който явно не поддържа въпросния шифър: Код: gnutls-cli --list |grep -i md5 Ще разгледах history.log на apt да видя какви ъпдейти са минали напоследък (ъпдейтвам се почти ежедневно) и мога ли да се върна към стара версия на openconnect или gnutls, а ако не стане ще компилирам върху openssl явно. |