Я использую ocserv на Centos в качестве Openconnect VPN и использую файл конфигурации для настройки сервера.
Мне нужно заставить клиентов использовать специальный шифр, такой как AES-256-GCM,
потому что, похоже, VPN блокирует какую-то сеть 4G странным брандмауэром, и мне нужно обойти этот брандмауэр.
Я использую /etc/ocserv/ocserv.conf, но, похоже, там нет никаких настроек для таких вещей.
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
tcp-port = 443
udp-port = 443
switch-to-tcp-timeout = 25
try-mtu-discovery = true
compression = true
tls-priorities = "NORMAL:%SERVER_PRECEDENCE"
rekey-method = ssl
tunnel-all-dns = true
mtu = 1492
cisco-client-compat = true
dtls-psk = true
dtls-legacy = true
решение1
Вы не сможете изменить клиентский набор шифров, пока не перепишете клиентское приложение. Я столкнулся с той же проблемой: правительство блокирует TLS-соединение на основе наборов шифров, которые AnyConnect или OpenConnect предлагает серверу.
Один из способов — проксировать сеанс TLS и использовать разрешенные шифры (например, те, что используют Chrome или Firefox) для взаимодействия с ocserv. Возможно, вам придется разработать это самостоятельно.утлсвИдтибыло бы хорошим началом для расследования.