OpenVPN no puede establecer conexión con ningún cifrado TLS 1.2

tag-icon tag-icon tls vpn openvpn
OpenVPN no puede establecer conexión con ningún cifrado TLS 1.2

OpenVPN no puede establecer conexión con ningún cifrado TLS 1.2.

TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256

Me gustaría saber si alguien más puede hacerlo funcionar. (Y si es así, qué conjunto de cifrado)

Sí, uso la versión actual.2.3.6, compilado desde la fuente. Probado con varias distribuciones de Linux y clientes de Windows.

Como se describe en el enlace a continuación, los cifrados deberían funcionar con openvpn. https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-cipher

Este es el error que me presenta el cliente:

[... Desktop]$ sudo openvpn home.ovpn 
Sat Jan 24 15:18:28 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 24 2015
Sat Jan 24 15:18:28 2015 library versions: OpenSSL 1.0.1l 15 Jan 2015, LZO 2.08
Sat Jan 24 15:18:28 2015 WARNING: file 'home/client1.key' is group or others accessible
Sat Jan 24 15:18:28 2015 WARNING: file 'home/ta.key' is group or others accessible
Sat Jan 24 15:18:28 2015 Control Channel Authentication: using 'home/ta.key' as a OpenVPN static key file
Sat Jan 24 15:18:28 2015 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Attempting to establish TCP connection with [AF_INET]192.168.1.67:1194 [nonblock]
Sat Jan 24 15:18:29 2015 TCP connection established with [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link local: [undef]
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link remote: [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:140830B5:SSL routines:SSL3_CLIENT_HELLO:no ciphers available
Sat Jan 24 15:18:29 2015 TLS Error: TLS object -> incoming plaintext read error
Sat Jan 24 15:18:29 2015 TLS Error: TLS handshake failed
Sat Jan 24 15:18:29 2015 Fatal TLS error (check_tls_errors_co), restarting
Sat Jan 24 15:18:29 2015 SIGUSR1[soft,tls-error] received, process restarting
Sat Jan 24 15:18:30 2015 SIGINT[hard,init_instance] received, process exiting

La misma pregunta apareció una vez antes: https://security.stackexchange.com/questions/73448/tls-authentication-on-openvpn-server

Solución parcial:

tls-version-min 1.2

Al agregar esta línea a la configuración del cliente y del servidor, los conjuntos de cifrado de 128 bits funcionan. Las variantes de 256 bits todavía no tienen éxito.

Respuesta1

Estoy TLS-DHE-RSA-WITH-AES-128-GCM-SHA256funcionando bien (en 2.3.6 compilado desde la fuente en Arch Linux).

Sin embargo, parece que OpenVPN requiere la tls-version-min 1.2configuración tanto en la configuración del servidor como en la configuración del cliente. Tan pronto como lo elimino, aparece exactamente el mismo error.

Respuesta2

En los registros del servidor solo puedo ver el cifrado habilitado:

cipher_list = 'TLS-DHE-RSA-WITH-AES-256-CBC-SHA256'

Quizás debería editarse la configuración del servidor para agregar las listas de cifrado esperadas adicionales.

información relacionada