Próbálok egy OpenVPN kliens/szerver kapcsolatot összehozni:
- Egész jól leteszteltem már a dolgot virtuális gépekben.
- Szeretném kihagyni az összes sebezhető algoritmust, így TLS1.3 irányba indultam.
- Szerver oldalon szerintem teljesen jól állok.
- Aztán jött az Android kliens.
1. Mindenhol azt írják, hogy a compress-t el kell felejteni, mert van ezzel kapcsolatos sebezhetőség is, szóval a szerver oldalon be van ez állítva:
option compress '' //ha nem kap paramétert, akkor nincs tömörítés
option comp-lzo 'no' //nincs lzo tömörítés
Van viszont ez a remek Openvpn Connect nevű android kliens, na ennek a Settings menüben is No-ra van rakva a compress (írja ott is, hogy ez sebezhetőség és nem ajánlja a bekapcsolását). Ráadásul a client.ovpn fájlban is használom ezeket a kapcsolókat:
compress
comp-lzo no
Az összes kombinációját is próbáltam, hátha nem mindegy melyik van elől stb., de ennek az egésznek pedig az az eredménye, hogy a kliens mindig comp-lzo-val kezd, ilyenek vannak a logokban:
Tunnel Options: blabla,comp-lzo,stb.
Ezt pedig a szerver is észreveszi és el is bukik a kapcsolat, először csak egy warning, majd nem ismeri fel a csomagokat:
WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
...
IP packet with unknown IP version=15 seen
Próbáltam a OpenVPN for Android-ot is, na az meg a tls-crypt-et nem ismeri :(, pedig az is egy jó feature.
2. TLS1.3: Szerver oldal azt mondja ezeket az algoritmusokat támogatja:
# openvpn --show-tls
Available TLS Ciphers, listed in order of preference:
For TLS 1.3 and newer (--tls-ciphersuites):
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
Az ubuntu klienssel nincs is gond, de az Openvpn Connect megint csak ignorálja, hogy szerver és kliens oldalon milyen tls cipher-t adok meg:
tls-cipher TLS_AES_256_GCM_SHA384
csak a TLS_CHACHA20_POLY1305_SHA256-t hajlandó használni, gondolom azért mert az van előbb a listában.
Valakinek van valami ötlete ezekkel kapcsolatban?
- 182 megtekintés
Hozzászólások
Itt próbáltad már?
- A hozzászóláshoz be kell jelentkezni
A pull a kliens oldalon nem húzza le a jó konfot?
Csak akkor szólok hozzá egy témához, ha értelmét látom.
- A hozzászóláshoz be kell jelentkezni