이것은 내 원래 질문에 대한 재게시물입니다(OpenVPN은 TLS 1.2 암호화와 연결을 설정할 수 없습니다) 128비트 암호화 제품군에 대한 솔루션이 발견되었기 때문에 문제는 두 개로 분할됩니다.
OpenVPN은 다음 암호화 제품군과 연결할 수 없습니다.
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
다른 사람이 이를 성공적으로 사용하고 있는지 알고 싶습니다.
현재 버전을 실행합니다2.3.6, 소스에서 컴파일되었습니다.
다양한 Linux-Distros 및 Windows 클라이언트를 사용해 보았습니다.
Wiki에 따르면 암호가 작동해야 합니다. https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-cipher
클라이언트 오류:
[... Desktop]$ sudo openvpn home.ovpn
Sat Jan 24 15:18:28 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 24 2015
Sat Jan 24 15:18:28 2015 library versions: OpenSSL 1.0.1l 15 Jan 2015, LZO 2.08
Sat Jan 24 15:18:28 2015 WARNING: file 'home/client1.key' is group or others accessible
Sat Jan 24 15:18:28 2015 WARNING: file 'home/ta.key' is group or others accessible
Sat Jan 24 15:18:28 2015 Control Channel Authentication: using 'home/ta.key' as a OpenVPN static key file
Sat Jan 24 15:18:28 2015 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jan 24 15:18:28 2015 Attempting to establish TCP connection with [AF_INET]192.168.1.67:1194 [nonblock]
Sat Jan 24 15:18:29 2015 TCP connection established with [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link local: [undef]
Sat Jan 24 15:18:29 2015 TCPv4_CLIENT link remote: [AF_INET]192.168.1.67:1194
Sat Jan 24 15:18:29 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:140830B5:SSL routines:SSL3_CLIENT_HELLO:no ciphers available
Sat Jan 24 15:18:29 2015 TLS Error: TLS object -> incoming plaintext read error
Sat Jan 24 15:18:29 2015 TLS Error: TLS handshake failed
Sat Jan 24 15:18:29 2015 Fatal TLS error (check_tls_errors_co), restarting
Sat Jan 24 15:18:29 2015 SIGUSR1[soft,tls-error] received, process restarting
Sat Jan 24 15:18:30 2015 SIGINT[hard,init_instance] received, process exiting
답변1
예, 이것이 효과가 있고 나에게도 효과가 있습니다.
$ openvpn --config loopback-client --tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 --tls-version-min 1.0
Thu Jan 29 00:13:13 2015 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Dec 16 2014
Thu Jan 29 00:13:13 2015 library versions: OpenSSL 1.0.1f 6 Jan 2014, LZO 2.06
[...]
Thu Jan 29 00:13:13 2015 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Thu Jan 29 00:13:13 2015 [Test-Server] Peer Connection Initiated with [AF_INET]127.0.0.1:16000
Thu Jan 29 00:13:14 2015 Initialization Sequence Completed
이는 openvpn과 함께 제공되는 기본 루프백 서버 및 루프백 클라이언트 구성 파일을 사용하고 있습니다. tls-version-min 1.0양쪽 끝의 구성에 추가(또는 이를 적용하려는 경우 1.2)를 확인하세요 . 그 외에 특별히 한 일은 없었습니다.
특히 AES-256이 문제입니까? 즉, TLS-DHE-RSA-WITH-AES-128-CBC-SHA와 TLS-DHE-RSA-WITH-AES-256-CBC-SHA를 사용하여 동일한 동작을 얻습니까?