OpenVPN - The server has no TLS ciphersuites in common with the client

[systeme]

Bonjour,

Nous souhaitons migrer un ancien serveur openVPN sur Dynfi, le serveur est ancien (deb7) et comprend des paramètres OpenVPN dépréciés.

Ancien serveur :
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
Openssl (1.0.1e-2+deb7u20)

Dynfi (dernière version de la branche stable):
OpenVPN 2.6.5 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
library versions: OpenSSL 1.1.1v 1 Aug 2023, LZO 2.10

Configuration OpenVPN de l'ancien serveur :

Code: Select all

port 4459
proto tcp-server
dev tun0

topology subnet

ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpntomato.crt
key /etc/openvpn/vpntomato.key
dh /etc/openvpn/dh2048.pem

server a.b.c.d 255.255.0.0

cipher BF-CBC
user nobody
group nogroup
verb 3
mute 20
max-clients 2000
management 127.0.0.1 9010
keepalive 30 60

log-append /var/log/openvpn.log

script-security 3
client-connect /etc/openvpn/scripts/connect.sh
client-disconnect /etc/openvpn/scripts/disconnect.sh

client-config-dir /etc/openvpn/ccd

comp-lzo

persist-key
persist-tun
float
ccd-exclusive

push "route a.b.c.d 255.255.0.0"

push "dhcp-option DOMAIN mon.domain"
push "dhcp-option DNS a.b.c.d"

Configuration OpenVPN appliquée sur le Dynfi :

Code: Select all

script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher BF-CBC
auth none
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local IP_PUBLIQUE
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php server2"
tls-server
server a.b.c.d 255.255.0.0
client-config-dir /var/etc/openvpn-csc/2
lport 4459
management /var/etc/openvpn/server2.sock unix
max-clients 2000
route a.b.c.d 255.255.255.0
ca /var/etc/openvpn/server2.ca 
cert /var/etc/openvpn/server2.cert 
key /var/etc/openvpn/server2.key 
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh.rfc7919
compress lzo
persist-remote-ip
float
topology subnet
tls-version-min 1.0
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh-param.2048
data-ciphers BF-CBC
user nobody
group nogroup

Logs dans le Dynfi :

Code: Select all

2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 Fatal TLS error (check_tls_errors_co), restarting	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 TLS Error: TLS handshake failed	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 TLS Error: TLS object -> incoming plaintext read error	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 TLS_ERROR: BIO read tls_read_plaintext error	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 OpenSSL: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.

Nous avons essayé plusieurs fois de forcer le paramètre tls-cipher *-CBC et l'échange de clés "dh" sans succès.

Voici quelques questions à considérer :

• Est-ce qu'une erreur de configuration est en cause ?

• Est-il envisageable de migrer la configuration OpenVPN vers Dynfi sans nécessiter de mises à jour du côté client ?

• Si cela n'est pas envisageable pour le moment, est-ce prévu dans un avenir proche ?

En parcourant le forum un post similaire a été posté :
viewtopic.php?t=946
La réponse suivante a été apportée : "La façon dont les algos sont négociés sera révisée lors de la prochaine version de DynFi Firewall."

Merci pour votre aide,

Cordialement,

[gregober]

Compte-tenue de la vétusté de la version migrée, je vous recommande partir de 0.
Sinon vous risquez de perdre trop de temps.