OpenVPN Connect kliens beállítások

( hrex | 2020. 07. 06., h - 18:02 )
Linux-haladó

Próbálok egy OpenVPN kliens/szerver kapcsolatot összehozni:

  • Egész jól leteszteltem már a dolgot virtuális gépekben.
  • Szeretném kihagyni az összes sebezhető algoritmust, így TLS1.3 irányba indultam.
  • Szerver oldalon szerintem teljesen jól állok.
  • Aztán jött az Android kliens.

1. Mindenhol azt írják, hogy a compress-t el kell felejteni, mert van ezzel kapcsolatos sebezhetőség is, szóval a szerver oldalon be van ez állítva:
        option compress '' //ha nem kap paramétert, akkor nincs tömörítés
        option comp-lzo 'no' //nincs lzo tömörítés

Van viszont ez a remek Openvpn Connect nevű android kliens, na ennek a Settings menüben is No-ra van rakva a compress (írja ott is, hogy ez sebezhetőség és nem ajánlja a bekapcsolását). Ráadásul a client.ovpn fájlban is használom ezeket a kapcsolókat:

    compress
    comp-lzo no

Az összes kombinációját is próbáltam, hátha nem mindegy melyik van elől stb., de ennek az egésznek pedig az az eredménye, hogy a kliens mindig comp-lzo-val kezd, ilyenek vannak a logokban:

Tunnel Options: blabla,comp-lzo,stb.

Ezt pedig a szerver is észreveszi és el is bukik a kapcsolat, először csak egy warning, majd nem ismeri fel a csomagokat:

WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'

...

IP packet with unknown IP version=15 seen

Próbáltam a OpenVPN for Android-ot is, na az meg a tls-crypt-et nem ismeri :(, pedig az is egy jó feature.

 

2. TLS1.3: Szerver oldal azt mondja ezeket az algoritmusokat támogatja:

    # openvpn --show-tls
    Available TLS Ciphers, listed in order of preference:

    For TLS 1.3 and newer (--tls-ciphersuites):

    TLS_CHACHA20_POLY1305_SHA256
    TLS_AES_256_GCM_SHA384
    TLS_AES_128_GCM_SHA256

Az ubuntu klienssel nincs is gond, de az Openvpn Connect megint csak ignorálja, hogy szerver és kliens oldalon milyen tls cipher-t adok meg:

tls-cipher TLS_AES_256_GCM_SHA384

csak a  TLS_CHACHA20_POLY1305_SHA256-t hajlandó használni, gondolom azért mert az van előbb a listában.

Valakinek van valami ötlete ezekkel kapcsolatban?

( szilas | 2020. 07. 07., k - 00:52 )

A pull a kliens oldalon nem húzza le a jó konfot?

Csak akkor szólok hozzá egy témához, ha értelmét látom.

0 szavazat