OpenVPN kann mit keiner TLS 1.2-Chiffre eine Verbindung herstellen

tag-icon tag-icon tls vpn openvpn
OpenVPN kann mit keiner TLS 1.2-Chiffre eine Verbindung herstellen

OpenVPN kann mit keiner TLS 1.2-Verschlüsselung eine Verbindung herstellen.

TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256

Ich würde gerne wissen, ob es jemand anders zum Laufen bringt. (Und wenn ja, welche Verschlüsselungssammlung)

Ja, ich verwende die aktuelle Version2.3.6, aus dem Quellcode kompiliert. Ausprobiert mit verschiedenen Linux-Distributionen und Windows-Clients.

Wie im unten stehenden Link beschrieben, sollten die Chiffren mit OpenVPN funktionieren. https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-cipher

Dies ist der Fehler, der mir beim Client angezeigt wird:

[... Desktop]$ sudo openvpn home.ovpn 
Sat Jan 24 15:18:28 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 24 2015
Sat Jan 24 15:18:28 2015 library versions: OpenSSL 1.0.1l 15 Jan 2015, LZO 2.08
Sat Jan 24 15:18:28 2015 WARNING: file 'home/client1.key' is group or others accessible
Sat Jan 24 15:18:28 2015 WARNING: file 'home/ta.key' is group or others accessible
Sat Jan 24 15:18:28 2015 Control Channel Authentication: using 'home/ta.key' as a OpenVPN static key file
Sat Jan 24 15:18:28 2015 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Attempting to establish TCP connection with [AF_INET]192.168.1.67:1194 [nonblock]
Sat Jan 24 15:18:29 2015 TCP connection established with [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link local: [undef]
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link remote: [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:140830B5:SSL routines:SSL3_CLIENT_HELLO:no ciphers available
Sat Jan 24 15:18:29 2015 TLS Error: TLS object -> incoming plaintext read error
Sat Jan 24 15:18:29 2015 TLS Error: TLS handshake failed
Sat Jan 24 15:18:29 2015 Fatal TLS error (check_tls_errors_co), restarting
Sat Jan 24 15:18:29 2015 SIGUSR1[soft,tls-error] received, process restarting
Sat Jan 24 15:18:30 2015 SIGINT[hard,init_instance] received, process exiting

Dieselbe Frage ist schon einmal gestellt worden: https://security.stackexchange.com/questions/73448/tls-authentication-on-openvpn-server

Teillösung:

tls-version-min 1.2

Indem Sie diese Zeile zur Client- und Serverkonfiguration hinzufügen, können Sie die 128-Bit-Chiffre-Suiten zum Laufen bringen. Die 256-Bit-Varianten funktionieren immer noch nicht.

Antwort1

Bei mir TLS-DHE-RSA-WITH-AES-128-GCM-SHA256funktioniert es einwandfrei (mit 2.3.6, aus dem Quellcode unter Arch Linux kompiliert).

Es scheint jedoch, dass OpenVPN die tls-version-min 1.2Einstellung sowohl in der Serverkonfiguration als auch in der Clientkonfiguration erfordert. Sobald ich sie entferne, erhalte ich genau denselben Fehler.

Antwort2

In den Serverprotokollen kann ich nur die aktivierte Verschlüsselung sehen:

cipher_list = 'TLS-DHE-RSA-WITH-AES-256-CBC-SHA256'

Möglicherweise sollte die Serverkonfiguration bearbeitet werden, um die zusätzlichen erwarteten Verschlüsselungslisten hinzuzufügen.

verwandte Informationen