Удалённый админ прислал сертификаты и конфиг подключениея к его OpenVpn-серверу. В конфиге написано:
tls-cipher TLS-RSA-WITH-AES-256-CBC-SHAА у меня доступны вот такие шифры:
# openvpn --show-tls
Available TLS Ciphers,
listed in order of preference:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHAТо есть, у меня все с диффман-хаффманом, а у него - без.
Это значит, что я не смогу подключиться к данному серверу?
Если что, ошибка при коннекте следующая:
OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.08
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
TCP/UDP: Preserving recently used remote address: [AF_INET]4.2.7.7:31194
Socket Buffers: R=[87380->87380] S=[16384->16384]
Attempting to establish TCP connection with [AF_INET]4.2.7.7:31194 [nonblock]
TCP connection established with [AF_INET]4.2.7.7:31194
TCP_CLIENT link local: (not bound)
TCP_CLIENT link remote: [AF_INET]4.2.7.7:31194
TLS: Initial packet from [AF_INET]4.2.7.7:31194, sid=16e1f634 e0862fb3
VERIFY OK: depth=1, C=RU, ST=NW, L=Saint-Petersburg, O=Farwater, CN=FarwaterCA
Validating certificate key usage
++ Certificate has key usage 00a8, expects 00a0
++ Certificate has key usage 00a8, expects 0088
VERIFY KU ERROR
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 5 second(s)[сообщение отредактировано модератором]
используйте одинаковые шифры или используйте одинаковые версии OpenVPN
> используйте одинаковые шифры или используйте одинаковые версии OpenVPNХотите сказать, что разные версии и дистрибутивы линуха не могут друг с другом соединяться по openvpn??? И нужно разломать все зависимости, чтобы одно подогнать к другому? Обоженьки, опенсорч во всей своей красе.
>> используйте одинаковые шифры или используйте одинаковые версии OpenVPN
> Хотите сказать, что разные версии и дистрибутивы линуха не могут друг
> с другом соединяться по openvpn??? И нужно разломать все зависимости, чтобы
> одно подогнать к другому? Обоженьки, опенсорч во всей своей красе....можно еще пожаловаться, что ключ от одной квартиры не подходит к замку от квартиры из соседнего дома
> используйте одинаковые шифры или используйте одинаковые версии OpenVPNверсия openvpn тут не играет никакой роли. Так как сам openvpn использует функционал openssl. Поэтому в данном случае надо смотреть именно в сторону openssl
> Удалённый админ прислал сертификаты и конфиг подключениея к его OpenVpn-серверу. В конфиге
> написано:
>tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA
> А у меня доступны вот такие шифры:
># openvpn --show-tlsПроверьте свою версию OpenSSL и обновите до самой свежей.
Потом проделайте тоже самое с openvpn.Имхо, шифр/метод обмен ключами RSA уязвимый и его выкинули откуда только можно...
> Проверьте свою версию OpenSSL и обновите до самой свежей.
> Потом проделайте тоже самое с openvpn.У меня все самое свежее для Debian 9.
> Имхо, шифр/метод обмен ключами RSA уязвимый и его выкинули откуда только можно...Но оставили в сетевом оборудовании, например в MikroTik.
Проблема оказалась в другом. Никто из отписавшихся не обратил внимания на строчки:
Validating certificate key usage
++ Certificate has key usage 00a8, expects 00a0
++ Certificate has key usage 00a8, expects 0088потому что никто из отписавшихся не знает что они обозначают. А те, кто знают, шепотом говорят писать недокументированную openvpn опцию:
remote-cert-ku a8И всё волшебным образом начинает работать.
> Но оставили в сетевом оборудовании, например в MikroTik.ибо они клали большой болт на безопасность, как и другие 100500 вендоров, аля длник. Так что далеко не показатель. В некоторых цисках до сих пор ssl v3 ибо Ынтерпрайз, все дела
> А те, кто знают, шепотом говорят писать недокументированную openvpn опцию remote-cert-ku a8
> И всё волшебным образом начинает работать.вы ведь с админом в курсе что она небезопасная, и стоит использовать remote-cert-eku? И с чего это вдруг она недокументированная?
Все отлично документировано - https://openvpn.net/index.php/open-source/documentation/manu...