Openvpn TLS 1.2 cipher suites

นี่คือ repost ของคำถามเดิมของฉัน ( openvpn tls 1.2 ) ปัญหาถูกแบ่งออกเป็นสองส่วนเนื่องจากพบวิธีแก้ไขสำหรับชุดรหัส 128 บิต

Openvpn ไม่สามารถเชื่อมต่อกับชุดรหัสเหล่านี้ได้:

TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256

ฉันอยากจะรู้ว่ามีใครบางคนกำลังใช้สิ่งเหล่านี้สำเร็จ

ฉันเรียกใช้รุ่นปัจจุบัน2.3.6รวบรวมจากแหล่งที่มา พยายามกับไคลเอนต์ Linux-Distros และ Windows ต่างๆ

ตามที่วิกิ ciphers ควรทำงาน: https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-cipher

ข้อผิดพลาดของลูกค้า:

[... Desktop]$ sudo openvpn home.ovpn 
Sat Jan 24 15:18:28 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 24 2015
Sat Jan 24 15:18:28 2015 library versions: OpenSSL 1.0.1l 15 Jan 2015, LZO 2.08
Sat Jan 24 15:18:28 2015 WARNING: file 'home/client1.key' is group or others accessible
Sat Jan 24 15:18:28 2015 WARNING: file 'home/ta.key' is group or others accessible
Sat Jan 24 15:18:28 2015 Control Channel Authentication: using 'home/ta.key' as a OpenVPN static key file
Sat Jan 24 15:18:28 2015 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Attempting to establish TCP connection with [AF_INET]192.168.1.67:1194 [nonblock]
Sat Jan 24 15:18:29 2015 TCP connection established with [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link local: [undef]
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link remote: [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:140830B5:SSL routines:SSL3_CLIENT_HELLO:no ciphers available
Sat Jan 24 15:18:29 2015 TLS Error: TLS object -> incoming plaintext read error
Sat Jan 24 15:18:29 2015 TLS Error: TLS handshake failed
Sat Jan 24 15:18:29 2015 Fatal TLS error (check_tls_errors_co), restarting
Sat Jan 24 15:18:29 2015 SIGUSR1[soft,tls-error] received, process restarting
Sat Jan 24 15:18:30 2015 SIGINT[hard,init_instance] received, process exiting

ข้อผิดพลาดของเซิร์ฟเวอร์: http://pastebin.com/DKR76FAy

vpn openvpn tls

— misterix
แหล่งที่มา

ใช่สิ่งนี้น่าจะได้ผลและใช้ได้กับฉัน:

$ openvpn --config loopback-client --tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 --tls-version-min 1.0
Thu Jan 29 00:13:13 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Dec 16 2014
Thu Jan 29 00:13:13 2015 library versions: OpenSSL 1.0.1f 6 Jan 2014, LZO 2.06
[...]
Thu Jan 29 00:13:13 2015 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Thu Jan 29 00:13:13 2015 [Test-Server] Peer Connection Initiated with [AF_INET]127.0.0.1:16000
Thu Jan 29 00:13:14 2015 Initialization Sequence Completed

นี่คือการใช้ลูปแบ็คเซิร์ฟเวอร์และไฟล์กำหนดค่าลูปแบ็ค - ไคลเอนต์ที่มาพร้อมกับ openvpn ตรวจสอบให้แน่ใจว่าได้เพิ่มtls-version-min 1.0(หรือ 1.2 หากคุณต้องการบังคับใช้) กับการกำหนดค่าที่ปลายทั้งสอง นอกจากนั้นฉันไม่ได้ทำอะไรเป็นพิเศษ

ปัญหา AES-256 นั้นเฉพาะเจาะจงหรือไม่ คือคุณมีพฤติกรรมแบบเดียวกันกับ TLS-DHE-RSA-WITH-AES-128-CBC-SHA หรือไม่กับ TLS-DHE-RSA-WITH-AES-256-CBC-SHA

— Steffan Karger
แหล่งที่มา

ด้วยลูปแบ็ค - ไคลเอนต์มันใช้งานได้สำหรับฉันเช่นกัน ลองเหมือนกันในการกำหนดค่าจริงและมันไม่สามารถสร้างการเชื่อมต่อ

— misterix

ขออภัยฉันใช้เวลาสักครู่เพื่อค้นหาวงจรสำรอง แต่ฉันลองใหม่กับ openvpn 2.3.6 (จาก swupdate.openvpn.net) บน Ubuntu Utopic และการตั้งค่าไคลเอนต์ / เซิร์ฟเวอร์ปกติการเชื่อมต่อสำเร็จ:$ openvpn --config client.conf --tls-version-min 1.0 OpenVPN 2.3.6 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jan 22 2015 library versions: OpenSSL 1.0.1f 6 Jan 2014, LZO 2.06 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA 2015 [Test-Server] Peer Connection Initiated with [AF_INET]10.1.1.1:1194

— Steffan Karger