The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."  –1 +/
Сообщение от xintrea (ok) on 25-Дек-17, 17:54 
Удалённый админ прислал сертификаты и конфиг подключениея к его OpenVpn-серверу. В конфиге написано:

tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA

А у меня доступны вот такие шифры:

# openvpn --show-tls
Available TLS Ciphers,
listed in order of preference:

TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA

То есть, у меня все с диффман-хаффманом, а у него - без.

Это значит, что я не смогу подключиться к данному серверу?

Если что, ошибка при коннекте следующая:

OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.08
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
TCP/UDP: Preserving recently used remote address: [AF_INET]4.2.7.7:31194
Socket Buffers: R=[87380->87380] S=[16384->16384]
Attempting to establish TCP connection with [AF_INET]4.2.7.7:31194 [nonblock]
TCP connection established with [AF_INET]4.2.7.7:31194
TCP_CLIENT link local: (not bound)
TCP_CLIENT link remote: [AF_INET]4.2.7.7:31194
TLS: Initial packet from [AF_INET]4.2.7.7:31194, sid=16e1f634 e0862fb3
VERIFY OK: depth=1, C=RU, ST=NW, L=Saint-Petersburg, O=Farwater, CN=FarwaterCA
Validating certificate key usage
++ Certificate has key usage  00a8, expects 00a0
++ Certificate has key usage  00a8, expects 0088
VERIFY KU ERROR
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 5 second(s)

[сообщение отредактировано модератором]

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."  +/
Сообщение от eRIC (ok) on 25-Дек-17, 20:57 
используйте одинаковые шифры или используйте одинаковые версии OpenVPN
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."  –3 +/
Сообщение от xintrea (ok) on 25-Дек-17, 23:13 
> используйте одинаковые шифры или используйте одинаковые версии OpenVPN

Хотите сказать, что разные версии  и дистрибутивы линуха не могут друг с другом соединяться по openvpn??? И нужно разломать все зависимости, чтобы одно подогнать к другому? Обоженьки, опенсорч во всей своей красе.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."  +/
Сообщение от fail on 26-Дек-17, 09:20 
>> используйте одинаковые шифры или используйте одинаковые версии OpenVPN
> Хотите сказать, что разные версии  и дистрибутивы линуха не могут друг
> с другом соединяться по openvpn??? И нужно разломать все зависимости, чтобы
> одно подогнать к другому? Обоженьки, опенсорч во всей своей красе.

...можно еще пожаловаться, что ключ от одной квартиры не подходит к замку от квартиры из соседнего дома

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."  +/
Сообщение от ALex_hha (ok) on 26-Дек-17, 14:42 
> используйте одинаковые шифры или используйте одинаковые версии OpenVPN

версия openvpn тут не играет никакой роли. Так как сам openvpn использует функционал openssl. Поэтому в данном случае надо смотреть именно в сторону openssl

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."  +/
Сообщение от universite (ok) on 26-Дек-17, 00:18 
> Удалённый админ прислал сертификаты и конфиг подключениея к его OpenVpn-серверу. В конфиге
> написано:
>
tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA

> А у меня доступны вот такие шифры:
>
# openvpn --show-tls 

Проверьте свою версию OpenSSL и обновите до самой свежей.
Потом проделайте тоже самое с openvpn.

Имхо, шифр/метод обмен ключами RSA уязвимый и его выкинули откуда только можно...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."  –1 +/
Сообщение от xintrea (??) on 26-Дек-17, 16:04 
> Проверьте свою версию OpenSSL и обновите до самой свежей.
> Потом проделайте тоже самое с openvpn.

У меня все самое свежее для Debian 9.


> Имхо, шифр/метод обмен ключами RSA уязвимый и его выкинули откуда только можно...

Но оставили в сетевом оборудовании, например в MikroTik.


Проблема оказалась в другом. Никто из отписавшихся не обратил внимания на строчки:

Validating certificate key usage
++ Certificate has key usage 00a8, expects 00a0
++ Certificate has key usage 00a8, expects 0088

потому что никто из отписавшихся не знает что они обозначают. А те, кто знают, шепотом говорят писать недокументированную openvpn опцию:

remote-cert-ku a8

И всё волшебным образом начинает работать.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "OpenVpn: Нужный tls-cipher отсутствует. Есть ли возможность ..."  +/
Сообщение от ALex_hha (ok) on 27-Дек-17, 17:49 
> Но оставили в сетевом оборудовании, например в MikroTik.

ибо они клали большой болт на безопасность, как и другие 100500 вендоров, аля длник. Так что далеко не показатель. В некоторых цисках до сих пор ssl v3 ибо Ынтерпрайз, все дела

> А те, кто знают, шепотом говорят писать недокументированную openvpn опцию remote-cert-ku a8
> И всё волшебным образом начинает работать.

вы ведь с админом в курсе что она небезопасная, и стоит использовать remote-cert-eku? И с чего это вдруг она недокументированная?

Все отлично документировано - https://openvpn.net/index.php/open-source/documentation/manu...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor