1 votes

Dennis avatar

OpenVPN ne peut pas Désactiver -ncp-disable le chiffrement du cipher

Demandé el 16 de Janvier, 2021
Quand la question a-t-elle été
4125 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je serais vraiment reconnaissant si quelqu'un pouvait m'aider. Ma version OpenVPN est la 2.2.1-8 selon

apt-cache show openvpn

Selon de nombreuses sources, vous devez utiliser -ncp-disable pour désactiver le chiffrement côté serveur. Maintenant, j'ai essayé tous les éléments suivants (séparément et un par un bien sûr):

ncp-disable
-ncp-disable
--ncp-disable
ncp-disable-
-ncp-disable-
--ncp-disable--
--ncp-disable-
ncp disable
disable ncp
cipher none

mais aucun d'entre eux ne fonctionne après avoir redémarré mon openvpn. Il dit toujours, "démarrage de VPN échoué". Maintenant, quelles sont les lignes correctes et où dois-je les mettre dans mon vpn.conf pour qu'elles fonctionnent? Peut-être que cela devrait être quelque chose de complètement différent dans ma version openvpn? Je serais vraiment reconnaissant pour toute suggestion car je suis totalement perdu maintenant.

J'utilise parfaitement bien sans aucune de ces lignes du tout.

P.S. Voici mes fichiers de configuration comme demandé par Nikita:

Serveur:
daemon
port 1194
proto udp
dev tun0

ca /etc/openvpn/easy-rsa-first/keys/ca.crt
cert /etc/openvpn/easy-rsa-first/keys/name.com.crt
key /etc/openvpn/easy-rsa-first/keys/name.com.key
dh /etc/openvpn/easy-rsa-first/keys/dh2048.pem 

server 1.2.3.4 255.255.255.0
ifconfig-pool-persist openvpn.dhcp
push "redirect-gateway"
push "dhcp-option DNS 1.2.3.4"
push "dhcp-option DNS 208.67.222.222"

push "route 1.2.3.4 255.255.255.0"

keepalive 10 120
comp-lzo

user myvpn
group myvpn

persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 7
mute 20

#;push "route 192.168.0.0 255.255.255.0"
#;push "route 192.168.173.0 255.255.255.0"

#;client-config-dir ccd
#;route 192.168.40.128 255.255.255.248
#;client-to-client
#;max-clients 3
============================

Client:
float
client
dev tun0
proto udp

remote 1.2.3.4 1194
;redirect-gateway

resolv-retry infinite
nobind
persist-key
persist-tun
ca "ca.crt"
cert "Certificate.crt"
key "Key.key"
auth-nocache

ns-cert-type server
comp-lzo
verb 7
mute 20
Demandé el 16 de Janvier, 2021 par Dennis

0 votes

Avatar de Martin Broadhurst

Pourquoi pensez-vous que ceci est un problème de chiffrement ? Postez vos configurations pour le serveur et le client pour que nous puissions vérifier d'éventuelles erreurs évidentes. Bien sûr, vous devez brouiller les informations sensibles.

Commenté el 16 de Janvier, 2021 par Martin Broadhurst

0 votes

Avatar de Dennis

Parce que tout fonctionne bien sans les lignes "-ncp-disable" comme dans mon P.S. ci-dessus. Mais ce n'est que mon hypothèse bien sûr. Mes configurations sont postées.

Commenté el 16 de Janvier, 2021 par Dennis

0 votes

Avatar de Martin Broadhurst

C'était une information très importante qui a fonctionné! Au fait, pourquoi as-tu jamais besoin de cela? Il existe probablement des moyens plus sécurisés de faire ce que tu envisages?

Commenté el 16 de Janvier, 2021 par Martin Broadhurst

Réponses

Trop de publicités?

2voto

Martin Broadhurst avatar
Martin Broadhurst Points 3777

Votre OpenVPN est assez vieux. Et ncp-disable ne désactive pas le chiffrement. Le manuel officiel d'OpenVPN dit :

--ncp-disable
    Désactive les "paramètres cryptographiques réglables".
    Cela désactive complètement la négociation des algorithmes de chiffrement.

OpenVPN a introduit une négociation des algorithmes de chiffrement dans la version 2.4, et cette directive est destinée à désactiver la négociation et à fonctionner comme les versions précédentes, qui utilisaient simplement ce qui était configuré avec l'option cipher en elles, en optant par défaut pour BF-CBC si cette option est manquante. Les versions 2.3 et antérieures ne prennent pas en charge NCP et n'ont donc pas cette directive, son utilisation devrait entraîner une erreur. De plus, cette directive est obsolète dans OpenVPN 2.5 et 2.6 et sera supprimée, je crois, dans la version 2.7.

Il existe également une partie du manuel juste à côté, qui indique directement comment désactiver le chiffrement :

--cipher alg
    Chiffre les paquets du canal de données avec l'algorithme de chiffrement alg.

    Par défaut, il s'agit de BF-CBC, une abréviation de Blowfish en mode de chaînage de blocs. Lorsque la négociation des algorithmes de chiffrement (NCP) est autorisée, OpenVPN 2.4
    et plus récent des deux côtés du client et du serveur passeront automatiquement à 
    AES-256-GCM. Voir --ncp-ciphers et --ncp-disable pour plus de détails sur NCP.

    L'utilisation de BF-CBC n'est plus recommandée, en raison de sa taille de bloc de 64 bits. 
    Cette petite taille de bloc permet des attaques basées sur des collisions, comme démontré
    par SWEET32. Voir https://community.openvpn.net/openvpn/wiki/SWEET32 pour 
    plus de détails. En raison de cela, le support des algorithmes BF-CBC, DES, CAST5, IDEA et RC2 
    sera supprimé dans OpenVPN 2.6.

    Pour voir les autres algorithmes de chiffrement disponibles avec OpenVPN, utilisez l'option 
    --show-ciphers.

    Définissez alg=none pour désactiver le chiffrement.

Vous écrivez dans le fichier de configuration :

cipher none

pour désactiver le chiffrement. Vous pourriez également avoir besoin d'utiliser cette option ncp-disable sur des systèmes où OpenVPN 2.4 à 2.6 est installé et prévu pour se connecter à ce serveur. Je crois qu'il n'est pas possible de définir ncp-ciphers none, mais je ne l'ai pas vérifié.

Remarquez également. Essayer des chaînes aléatoires en tant qu'options ne vous aide jamais, et peut même causer des dommages si vous tombez accidentellement sur quelque chose de significatif. Le manuel répertorie toutes les directives disponibles, et il est également spécifié que vous devez les écrire avec deux tirets (comme --ncp-disable) sur la ligne de commande, mais sans tirets initiaux (comme ncp-disable) dans le fichier de configuration.

Je vous recommande vivement de consulter toujours en premier lieu les manuels officiels, et seulement s'ils ne sont pas suffisamment clairs, recherchez des informations supplémentaires auprès de tiers. Et vérifiez toujours ces informations par rapport au manuel officiel disponible sur les systèmes de type Unix sous la forme man openvpn et correspondant à la version utilisée.

Répondu el 16 de Janvier, 2021 par Martin Broadhurst (3777 Points )

0 votes

Avatar de Dennis

Merci d'avoir essayé, mais cela ne fonctionne pas. Si vous regardez attentivement ma question, il est mentionné cette option "cipher none". Je l'ai essayée auparavant et elle échoue à démarrer mon VPN lorsque je la configure.

Commenté el 16 de Janvier, 2021 par Dennis

0 votes

Avatar de Dennis

J'ai également essayé de définir alg=none et alg=none hier comme je l'ai lu dans les manuels. Malheureusement, cela n'a pas fonctionné non plus pour démarrer mon vpn lorsque ces paramètres étaient définis. Il n'a tout simplement pas démarré du tout.

Commenté el 16 de Janvier, 2021 par Dennis

0 votes

Avatar de Martin Broadhurst

Ensuite, vous devez inclure des journaux, pas seulement des messages cryptiques "échec de démarrage vpn". De plus, verbe 7 est bien plus verbeux que nécessaire, verbe 4 ici doit être suffisant.

Commenté el 16 de Janvier, 2021 par Martin Broadhurst

0voto

Dennis avatar
Dennis Points 11

Gee.. garçon, je suis stupide. Il n'y avait rien de sorcier quand on le fait dans l'autre sens. J'ai simplement ajouté un autre chiffrement au lieu de désactiver le chiffrement. Il semble impossible de le désactiver complètement dans ces anciennes versions. Je ne pouvais pas trouver comment de toute façon...

Donc ce qui a fonctionné pour moi a été d'ajouter ces deux lignes dans mon fichier de configuration openvpn.vpn du côté serveur comme ceci :

cipher AES-256-CBC
cipher CBC

La porte d'entrée était fermée, mais la porte de derrière était ouverte alors je suis entré par là et ça a fonctionné.

Répondu el 17 de Janvier, 2021 par Dennis (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X