OpenVPN은 TLS 1.2 암호화와 연결을 설정할 수 없습니다

tag-icon tag-icon tls vpn openvpn
OpenVPN은 TLS 1.2 암호화와 연결을 설정할 수 없습니다

OpenVPN은 TLS 1.2 암호화와 연결을 설정할 수 없습니다.

TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256

다른 사람이 그것을 작동시킬 수 있는지 알고 싶습니다. (그렇다면 어떤 암호 제품군)

예, 현재 버전을 사용하고 있습니다2.3.6, 소스에서 컴파일되었습니다. 다양한 Linux 배포판 및 Windows 클라이언트를 사용해 보았습니다.

아래 링크에 설명된 대로 암호는 openvpn과 함께 작동해야 합니다. https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-cipher

클라이언트에 표시되는 오류는 다음과 같습니다.

[... Desktop]$ sudo openvpn home.ovpn 
Sat Jan 24 15:18:28 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 24 2015
Sat Jan 24 15:18:28 2015 library versions: OpenSSL 1.0.1l 15 Jan 2015, LZO 2.08
Sat Jan 24 15:18:28 2015 WARNING: file 'home/client1.key' is group or others accessible
Sat Jan 24 15:18:28 2015 WARNING: file 'home/ta.key' is group or others accessible
Sat Jan 24 15:18:28 2015 Control Channel Authentication: using 'home/ta.key' as a OpenVPN static key file
Sat Jan 24 15:18:28 2015 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Attempting to establish TCP connection with [AF_INET]192.168.1.67:1194 [nonblock]
Sat Jan 24 15:18:29 2015 TCP connection established with [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link local: [undef]
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link remote: [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:140830B5:SSL routines:SSL3_CLIENT_HELLO:no ciphers available
Sat Jan 24 15:18:29 2015 TLS Error: TLS object -> incoming plaintext read error
Sat Jan 24 15:18:29 2015 TLS Error: TLS handshake failed
Sat Jan 24 15:18:29 2015 Fatal TLS error (check_tls_errors_co), restarting
Sat Jan 24 15:18:29 2015 SIGUSR1[soft,tls-error] received, process restarting
Sat Jan 24 15:18:30 2015 SIGINT[hard,init_instance] received, process exiting

이전에도 같은 질문이 나타났습니다. https://security.stackexchange.com/questions/73448/tls-authentication-on-openvpn-server

부분적인 해결책:

tls-version-min 1.2

이 줄을 클라이언트 및 서버 구성에 추가하면 128비트 암호화 제품군이 작동하게 됩니다. 256비트 변형은 여전히 ​​성공하지 못합니다.

답변1

저는 TLS-DHE-RSA-WITH-AES-128-GCM-SHA256잘 작동하고 있습니다(Arch Linux의 소스에서 컴파일된 2.3.6에서).

tls-version-min 1.2그러나 OpenVPN은 서버 구성과 클라이언트 구성 모두에서 설정이 필요한 것 같습니다 . 제거하자마자 똑같은 오류가 발생합니다.

답변2

서버 로그에서는 암호화가 활성화된 경우에만 볼 수 있습니다.

cipher_list = 'TLS-DHE-RSA-WITH-AES-256-CBC-SHA256'

예상되는 추가 암호 목록을 추가하려면 서버 구성을 편집해야 할 수도 있습니다.

관련 정보