[Résolu] Pb maj VPN Client en version 2.0-ynh1

pti-jean · November 6, 2021, 2:06pm

Bonjour,

Matériel RaspBerry PI 3B+
Version de YunoHost: 4.3.2 (stable)
J’ai accès à mon serveur : En SSH et par webadmin
Je fais les mises à jours!

J’ai tout mis à jour sauf le VPN, car quand je le mets à jour ça fonctionne plus… Il ne démarre plus…
La version de départ de VPN Client est 1.4.1-ynh3 et je tente de la mettre à jour en version 2.0-ynh1
J’ai l’impression que la version 2.0-ynh1 est buggé!
Le rapport d’erreur de la mise à jour est ici:
https://paste.yunohost.org/raw/ubepotetuc

Heureusement j’ai backup qui me permet de revenir en arrière!
La question est: Que puis-je faire ?? Dois-je attendre une nouvelle version de VPN Client ?

(Info: Mon VPN est configurer au départ par un fichier .cube)

Merci d’avance,

JM

Aleks · November 6, 2021, 2:12pm

[CRIT] Failed to start OpenVPN client : user certificate expired

Visiblement ton certificat est expiré, il faudrait contacter ton fournisseur pour mettre à jour ton .cube

pti-jean · November 6, 2021, 2:22pm

Ok, je vais faire…
Mais pourquoi ça fonctionne toujours avec l’ancien client VPN ?? Pourquoi n’est-il pas en erreur ??

JM

Aleks · November 6, 2021, 2:24pm

¯\(ツ)/¯

ljf · November 6, 2021, 6:03pm

Étrange en effet.

pti-jean · November 6, 2021, 6:16pm

Et cette ligne:
WARNING - ./upgrade: ligne 43 : [: /etc/php/7.0/fpm/pool.d/vpnclient.conf : opérateur binaire attendu
Dans le compte rendu de mise à jour, ne vous choque pas ??

JM

Aleks · November 6, 2021, 6:21pm

Oui et non, c’est effectivement un petit bug, mais pas aussi dramatique que ça et ça n’est pas la source du problème

Que dis ton fournisseur de VPN : est-ce qu’il est apriori normal qu’il faille renouvelle ton .cube ?

pti-jean · November 6, 2021, 6:33pm

Mon fournisseur c’est FDN… J’ai posé la question tout-à l’heure sur IRC… J’attends une réponse… Mais c’est des bénévoles et que c’est le dernier Week-End des vacances… la réponse se fait désiré.

JM

pollllux · November 7, 2021, 10:13am

Bonjour, je suis dans la même situation que pti-jean suite à mise à jour vers 2.0.

2021-11-06 23:27:28,254: WARNING - nov. 01 22:55:57 ynh-vpnclient[695]: [ OK ] Firewall restarted!
2021-11-06 23:27:28,255: WARNING - nov. 01 22:55:57 ynh-vpnclient[695]: [INFO] Saving settings...
2021-11-06 23:27:28,256: WARNING - nov. 01 22:55:58 ynh-vpnclient[695]: [ OK ] YunoHost VPN client started!
2021-11-06 23:27:28,256: WARNING - nov. 01 22:55:58 systemd[1]: Started YunoHost VPN Client..
2021-11-06 23:27:28,257: WARNING - nov. 06 23:27:23 systemd[1]: Stopping YunoHost VPN Client....
2021-11-06 23:27:28,258: WARNING - nov. 06 23:27:23 ynh-vpnclient[21051]: [INFO] Retrieving Yunohost settings...
2021-11-06 23:27:28,259: WARNING - nov. 06 23:27:23 ynh-vpnclient[21051]: [ OK ] Settings retrieved
2021-11-06 23:27:28,260: WARNING - nov. 06 23:27:23 ynh-vpnclient[21051]: [INFO] [vpnclient] Stopping...
2021-11-06 23:27:28,261: WARNING - nov. 06 23:27:23 ynh-vpnclient[21051]: [INFO] Removing custom DNS resolvers from vpnclient
2021-11-06 23:27:28,262: WARNING - nov. 06 23:27:23 ynh-vpnclient[21051]: [INFO] Stopping OpenVPN service
2021-11-06 23:27:28,263: WARNING - nov. 06 23:27:23 ynh-vpnclient[21051]: [INFO] (Waiting for tun0 to disappear if it was up)
2021-11-06 23:27:28,264: WARNING - nov. 06 23:27:24 ynh-vpnclient[21051]: [INFO] (Waiting for tun0 to disappear if it was up)
2021-11-06 23:27:28,265: WARNING - nov. 06 23:27:26 ynh-vpnclient[21051]: [INFO] Now starting the hotspot
2021-11-06 23:27:28,266: WARNING - nov. 06 23:27:26 ynh-vpnclient[21051]: Retrieving Yunohost settings... OK
2021-11-06 23:27:28,266: WARNING - nov. 06 23:27:26 ynh-vpnclient[21051]: [hotspot] Starting...
2021-11-06 23:27:28,267: WARNING - nov. 06 23:27:26 ynh-vpnclient[21051]: Set NAT
2021-11-06 23:27:28,268: WARNING - nov. 06 23:27:27 systemd[1]: ynh-vpnclient.service: Succeeded.
2021-11-06 23:27:28,269: WARNING - nov. 06 23:27:27 systemd[1]: Stopped YunoHost VPN Client..
2021-11-06 23:27:28,269: WARNING - nov. 06 23:27:27 systemd[1]: Starting YunoHost VPN Client....
2021-11-06 23:27:28,270: WARNING - nov. 06 23:27:27 ynh-vpnclient[21373]: [INFO] Retrieving Yunohost settings...
2021-11-06 23:27:28,271: WARNING - nov. 06 23:27:27 ynh-vpnclient[21373]: [ OK ] Settings retrieved
2021-11-06 23:27:28,272: WARNING - nov. 06 23:27:27 ynh-vpnclient[21373]: [CRIT] Failed to start OpenVPN client : user certificate expired
2021-11-06 23:27:28,273: WARNING - nov. 06 23:27:27 systemd[1]: ynh-vpnclient.service: Main process exited, code=exited, status=1/FAILURE
2021-11-06 23:27:28,274: WARNING - nov. 06 23:27:27 systemd[1]: ynh-vpnclient.service: Failed with result 'exit-code'.
2021-11-06 23:27:28,275: WARNING - nov. 06 23:27:27 systemd[1]: Failed to start YunoHost VPN Client..
2021-11-06 23:27:28,275: DEBUG - + ynh_exit_properly
2021-11-06 23:27:29,619: ERROR - Impossible de mettre à jour vpnclient : Une erreur s'est produite durant l'exécution du script de mise à niveau de l'application

je suis revenu à la version précédente aussi de mon côté.
Coté VPN, je suis chez un partenaire FDN - Aquilenet

pti-jean · November 7, 2021, 4:48pm

Bonjour,

Je poursuis…
Un gars de FDN m’a donner une lien vers le fichier ovpn de FDN:
https://git.fdn.fr/fdn-public/wiki/-/blob/master/VPN/doc/openvpn/configv2.md

Donc apparemment, il semble qu’il y est 2 problèmes:
1)
Le gars de FDN > J’en ai discuté avec Asmadeus : on utilise pas de certificat user à FDN
2) Dans le fichier ovpn, il faut indiquer à côté de auth-user-pass le chemin vers le fichier contenant mon login et mon password VPN

Je sais pas si le 1) et le 2) sont bloquent… J’ai indiqué dans le fichier ovpn le chemin vers mon fichier de login… ça fonctionne toujours pas:
https://paste.yunohost.org/raw/cesekuhuqa

Une idée ?

JM

Thatoo · November 7, 2021, 5:47pm

J’expérimente exactement le même problème avec un raspbery pi 4.
Je suis donc revenu à la version 1.4 du client VPN.

Par contre, sur un yunohost qui tourne sur un portable, le client VPN v 2.0 ynh1 démarre et fonctionne presque bien. Toutes les apps sont accessibles depuis l’extérieur. Par contre, le hotspot wifi lui ne me donne plus aucun accès à Internet… Je n’ai pas encore essayé de revenir à la dernière version du client VPN pour voir si ça fonctionne à nouveau.
A savoir que j’ai la même erreur qui s’affiche sur ce serveur aussi :
user certificate expired

turlux · November 8, 2021, 9:02am

Salut
Même soucis chez Illyse. On utilise pas de certificat utilisateur, l’auth se fait par login/mdp via la directive auth-user-pass.

De ce que je vois le fichier /etc/openvpn/keys/credentials n’est pas correctement renseigné: il est actuellement au format login\mdp (sur la meme ligne).
Alors que ça devrait être sur 2 lignes : (login sur la première ligne, puis mdp sur la seconde).
Ou bien il existe aussi le format “login\mdp” mais ça me semble étrange.

Cependant pas 100% certain que ça soit cependant directement liée à l’erreur user certificate expired

Edit: Je pense que le \n n’est pas correctement interprété comme un retour à la ligne.

github.com

YunoHost-Apps/vpnclient_ynh/blob/testing/scripts/config#L183

    
      
              then
                  echo "You need to choose DNS resolvers or select an other method to provide DNS resolvers"
              fi
          }
          #=================================================
          # SPECIFIC SETTERS FOR TOML SHORT KEYS
          #=================================================
          set__login_user() {
              if [ -n "${login_user}" ]
              then
                  echo "${login_user}\n${login_passphrase}" > /etc/openvpn/keys/credentials
                  set_permissions /etc/openvpn/keys/credentials
              else
                  echo "" > /etc/openvpn/keys/credentials
              fi
          }
          
          
set__login_passphrase() {
              :
          }

Edit2: L’erreur user certificate expired semble venir d’un check inadapté réalisé au démarrage.

github.com

YunoHost-Apps/vpnclient_ynh/blob/master/conf/ynh-vpnclient#L388

    
      
          start)
          
          
  if is_running; then
              info "Service is already running"
              exit 0
            elif [ "${ynh_service_enabled}" -eq 0 ]; then
              warn "Service is disabled, not starting it"
              exit 0
            fi
          
          
  if [ ! -e /etc/openvpn/keys/user.crt ] || ! cat /etc/openvpn/keys/user.crt | openssl x509 -noout -checkend 0 >/dev/null
            then
                critical "Failed to start OpenVPN client : user certificate expired"
            fi
          
          
  info "[vpnclient] Starting..."
            touch /tmp/.ynh-vpnclient-started
          
          
  # Run openvpn
            if is_openvpn_running;
            then

L’appli ne semble en l’état pas adaptée a une authentification par login/mdp.

eeaiou · November 8, 2021, 9:32am

Bonjour Turlux,
étant chez Illyse, je vous confirme que le passage à la nouvelle version du client VPN (2.0-ynh1), m’a cassé l’accès à mon serveur (plus de SSH ni Webadmin).
N’étant pas chez moi actuellement, je ne pourrais remettre les mains dedans qu’en fin de semaine…
Bonne journée!

ljf · November 8, 2021, 9:51am

J’ai créé ça comme nouvelle version mais j’ai pas de vpn à password unique pour tester.

github.com/YunoHost-Apps/vpnclient_ynh

[fix] Password only vpn upgrade

YunoHost-Apps:master ← YunoHost-Apps:testing

opened 09:50AM - 08 Nov 21 UTC

zamentur

+6 -5

## Problem https://forum.yunohost.org/t/pb-maj-vpn-client-en-version-2-0-ynh1…/17711/12 ## Solution ## PR Status Untested ## Automatic tests Automatic tests can be triggered on https://ci-apps-dev.yunohost.org/ *after creating the PR*, by commenting "!testme", "!gogogadgetoci" or "By the power of systemd, I invoke The Great App CI to test this Pull Request!". (N.B. : for this to work you need to be a member of the Yunohost-Apps organization)

pti-jean · November 8, 2021, 10:10am

Salut ljf,

C’est quoi la commande pour mettre à jour et tester avec cette nouvelle version testing ??

D’ailleurs, tu conseillerais quoi:
- Mettre à jour avec la version testing ?
- Ou désinstaller et réinstaller la version testing ?

JM

turlux · November 8, 2021, 10:19am

Merci ljf,
Je viens de tester.
Cela résoud bien le soucis du login/mdp sur 2 lignes différents /etc/openvpn/keys/credentials
Par contre, il y a toujours un soucis sur le if du cert user.

2021-11-08 11:14:17,770: WARNING - cat: /etc/openvpn/keys/user.crt: Aucun fichier ou dossier de ce type
2021-11-08 11:14:17,773: WARNING - unable to load certificate
2021-11-08 11:14:17,773: WARNING - 140238063191168:error:0909006C:PEM routines:get_name:no start line:../crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
2021-11-08 11:14:17,774: WARNING - [CRIT] Failed to start OpenVPN client : user certificate expired
2021-11-08 11:14:17,774: DEBUG - + ynh_exit_properly

Edit: c’est pas une négation en trop ? ça ne devrait pas plutôt être:

if [ -e /etc/openvpn/keys/user.crt ] && ! cat /etc/openvpn/keys/user.crt | openssl x509 -noout -checkend 0 >/dev/null ?

Edit2: Au passage, pour Illyse il y a aussi ce bug/typo qui est bloquant. Et qui est tout simple a corrigé si j’ai bien compris

ljf · November 8, 2021, 10:39am

Une nouvelle testing est dispo avec 2 correctifs: l’un pour la gestion de l’instruction openvpn_rm l’autre pour [CRIT] Failed to start OpenVPN client : user certificate expired

ljf · November 8, 2021, 10:44am

Dés que l’un de vous confirme que ça marche je mettrais en prod pour éviter que trop de personnes perdent du temps avec ça.

turlux · November 8, 2021, 10:56am

Testé à l’instant, dans le setup Illyse, c’est OK ! Aussi bien pour le openvpn_rm que le soucis du if sur le cert. Merci bcp ljf

ljf · November 8, 2021, 11:07am

Should be fixed with the new vpnclient version 2.0.2~ynh1