OpenConnectはクライアントに特別な暗号の使用を強制する

tag-icon tag-icon ssl encryption mtu cipher openconnect
OpenConnectはクライアントに特別な暗号の使用を強制する

Centos で ocserv を Openconnect VPN として使用し、サーバーの設定に構成ファイルを使用しています。VPN が奇妙なファイアウォールによって 4G ネット上でブロックされているようで、そのファイアウォールをバイパスする必要があるため、
クライアントに AES-256-GCM などの特別な暗号を使用するように強制する必要があります 。/etc/ocserv/ocserv.conf を使用していますが、そのような設定はないようです。

auth = "plain[passwd=/etc/ocserv/ocpasswd]"
tcp-port = 443
udp-port = 443
switch-to-tcp-timeout = 25
try-mtu-discovery = true
compression = true
tls-priorities = "NORMAL:%SERVER_PRECEDENCE"
rekey-method = ssl
tunnel-all-dns = true
mtu = 1492
cisco-client-compat = true
dtls-psk = true
dtls-legacy = true

答え1

クライアント アプリを書き換えない限り、クライアントの暗号スイートを変更することはできません。私も同じ問題を抱えています。政府は、AnyConnect または OpenConnect がサーバーに提供する暗号スイートに基づいて TLS 接続をブロックしています。

1つの方法は、TLSセッションをプロキシし、許可された暗号(ChromeやFirefoxが使用するものなど)を使用してocservとネゴシエートすることですが、おそらくこれを自分で開発する必要があります。uTls行く調査を始めるには良い出発点となるでしょう。

関連情報