https://www.opennet.ru/openforum/vsluhforumID1/97087.html Удалённый админ прислал сертификаты и конфиг подключениея к его OpenVpn-серверу. В конфиге написано:<br><br>[code]tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA[/code]<br><br>А у меня доступны вот такие шифры:<br><br>[code]# openvpn --show-tls<br>Available TLS Ciphers,<br>listed in order of preference:<br><br>TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384<br>TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384<br>TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384<br>TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384<br>TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA<br>TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA<br>TLS-DHE-RSA-WITH-AES-256-GCM-SHA384<br>TLS-DHE-RSA-WITH-AES-256-CBC-SHA256<br>TLS-DHE-RSA-WITH-AES-256-CBC-SHA<br>TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA<br>TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256<br>TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256<br>TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256<br>TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256<br>TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA<br>TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA<br>TLS-DHE-RSA-WITH-AES-128-GCM-SHA256<br>TLS-DHE-RSA-WITH-AES-128-CBC-SHA256<br>TLS-DHE-RSA-WITH-AES-128-CBC-SHA<br>TLS-DHE-RSA-WITH- https://www.opennet.ru/openforum/vsluhforumID1/97087.html#8 Wed, 27 Dec 2017 14:49:02 GMT &gt; Но оставили в сетевом оборудовании, например в MikroTik.<br><br>ибо они клали большой болт на безопасность, как и другие 100500 вендоров, аля длник. Так что далеко не показатель. В некоторых цисках до сих пор ssl v3 ибо Ынтерпрайз, все дела<br><br>&gt; А те, кто знают, шепотом говорят писать недокументированную openvpn опцию remote-cert-ku a8<br>&gt; И всё волшебным образом начинает работать.<br><br>вы ведь с админом в курсе что она небезопасная, и стоит использовать remote-cert-eku? И с чего это вдруг она недокументированная?<br><br>Все отлично документировано - https://openvpn.net/index.php/open-source/documentation/manuals/openvpn-21.html<br> https://www.opennet.ru/openforum/vsluhforumID1/97087.html#7 Tue, 26 Dec 2017 13:04:20 GMT &gt; Проверьте свою версию OpenSSL и обновите до самой свежей.<br>&gt; Потом проделайте тоже самое с openvpn.<br><br>У меня все самое свежее для Debian 9.<br><br><br>&gt; Имхо, шифр/метод обмен ключами RSA уязвимый и его выкинули откуда только можно... <br><br>Но оставили в сетевом оборудовании, например в MikroTik.<br><br><br>Проблема оказалась в другом. Никто из отписавшихся не обратил внимания на строчки:<br><br>[code]Validating certificate key usage<br>++ Certificate has key usage 00a8, expects 00a0<br>++ Certificate has key usage 00a8, expects 0088[/code]<br><br>потому что никто из отписавшихся не знает что они обозначают. А те, кто знают, шепотом говорят писать недокументированную openvpn опцию:<br><br>[code]remote-cert-ku a8[/code]<br><br>И всё волшебным образом начинает работать.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97087.html#6 Tue, 26 Dec 2017 11:42:18 GMT &gt; используйте одинаковые шифры или используйте одинаковые версии OpenVPN <br><br>версия openvpn тут не играет никакой роли. Так как сам openvpn использует функционал openssl. Поэтому в данном случае надо смотреть именно в сторону openssl<br> https://www.opennet.ru/openforum/vsluhforumID1/97087.html#5 Tue, 26 Dec 2017 06:20:06 GMT &gt;&gt; используйте одинаковые шифры или используйте одинаковые версии OpenVPN <br>&gt; Хотите сказать, что разные версии и дистрибутивы линуха не могут друг <br>&gt; с другом соединяться по openvpn??? И нужно разломать все зависимости, чтобы <br>&gt; одно подогнать к другому? Обоженьки, опенсорч во всей своей красе.<br><br>...можно еще пожаловаться, что ключ от одной квартиры не подходит к замку от квартиры из соседнего дома<br> https://www.opennet.ru/openforum/vsluhforumID1/97087.html#4 Mon, 25 Dec 2017 21:18:23 GMT &gt; Удалённый админ прислал сертификаты и конфиг подключениея к его OpenVpn-серверу. В конфиге <br>&gt; написано: <br>&gt; [code]tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA[/code] <br>&gt; А у меня доступны вот такие шифры: <br>&gt; [code]# openvpn --show-tls <br><br>Проверьте свою версию OpenSSL и обновите до самой свежей.<br>Потом проделайте тоже самое с openvpn.<br><br>Имхо, шифр/метод обмен ключами RSA уязвимый и его выкинули откуда только можно...<br> https://www.opennet.ru/openforum/vsluhforumID1/97087.html#3 Mon, 25 Dec 2017 20:13:55 GMT &gt; используйте одинаковые шифры или используйте одинаковые версии OpenVPN<br><br>Хотите сказать, что разные версии и дистрибутивы линуха не могут друг с другом соединяться по openvpn??? И нужно разломать все зависимости, чтобы одно подогнать к другому? Обоженьки, опенсорч во всей своей красе.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97087.html#2 Mon, 25 Dec 2017 17:57:27 GMT используйте одинаковые шифры или используйте одинаковые версии OpenVPN<br>