Scheitert nach einem Update des Mac OS X OpenVPN-Clients Tunnelblick oder einer pfSense-Firewall der VPN-Verbindungsaufbau zu einer Securepoint UTM, so kann dies an einem zu kurzem Diffie-Hellman-Schlüssel liegen.

Im OpenVPN-Log einer pfSense sieht das z.B. so aus:

pfSense - OopenVPN - dh param too smallHintergrund dieses Umstands ist die Logjam-Attacke, die auf zu kurze DH-Schlüssel basiert. Neuere OpenSSL-Versionen, die unter anderen von OpenVPN genutzt werden, verweigern bei zu kurzen Schlüsseln (<= 512 bit) den Verbindungsaufbau. Die Lösung dieses Problems besteht in der Verwendung größerer Schlüssel.

In diesem Fall müssen die Schlüssel auf der Securepoint UTM neu generiert werden. Beschrieben ist dieser Vorgang im Securepoint-Forum unter

Securepoint Support Forum – SSLVPN / DH Key too small

Für Securepoint OS v11 sind folgende Schritte notwendig:

  • Einen root-Benutzer anlegen.
  • Per ssh mit der UTM verbinden.
  • Folgende Befehle ausführen:
sqlite3 /tmp/running.db "update openvpn set openvpn_dh_size = 1024, openvpn_dh_data = '`openssl dhparam 1024`' where openvpn_dh_size < 1024"
spcli system config save
spcli appmgmt config
spcli appmgmt restart application openvpn

In der Regel sollte kein Neustart der UTM notwendig sein. Im Forum findet sich allerdings die Meldung, das zumindest bei einem Anwender erst nach einem Neustart alles funktionierte.

Für v10 findet sich im verlinkten Forum-Beitrag ebenfalls eine entsprechende Beschreibung.

Troubleshooting

Bei einem Kunden der eine Standortvernetzung verwendet, lies sich der OpenVPN-Dienst auf einer pfSense nicht mehr starten bzw. dieser Stürzte sofort ab, nachdem auf der Securepoint UTM der neue DH-Schlüssel erzeugt worden war. Nach einem Neustart der pfSense lief alles wieder wie es sollte.