OpenVPN - The server has no TLS ciphersuites in common with the client
Posted: 12 Apr 2024, 10:58
Bonjour,
Nous souhaitons migrer un ancien serveur openVPN sur Dynfi, le serveur est ancien (deb7) et comprend des paramètres OpenVPN dépréciés.
Ancien serveur :
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
Openssl (1.0.1e-2+deb7u20)
Dynfi (dernière version de la branche stable):
OpenVPN 2.6.5 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
library versions: OpenSSL 1.1.1v 1 Aug 2023, LZO 2.10
Configuration OpenVPN de l'ancien serveur :
Configuration OpenVPN appliquée sur le Dynfi :
Logs dans le Dynfi :
Nous avons essayé plusieurs fois de forcer le paramètre tls-cipher *-CBC et l'échange de clés "dh" sans succès.
Voici quelques questions à considérer :
viewtopic.php?t=946
La réponse suivante a été apportée : "La façon dont les algos sont négociés sera révisée lors de la prochaine version de DynFi Firewall."
Merci pour votre aide,
Cordialement,
Nous souhaitons migrer un ancien serveur openVPN sur Dynfi, le serveur est ancien (deb7) et comprend des paramètres OpenVPN dépréciés.
Ancien serveur :
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
Openssl (1.0.1e-2+deb7u20)
Dynfi (dernière version de la branche stable):
OpenVPN 2.6.5 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
library versions: OpenSSL 1.1.1v 1 Aug 2023, LZO 2.10
Configuration OpenVPN de l'ancien serveur :
Code: Select all
port 4459
proto tcp-server
dev tun0
topology subnet
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpntomato.crt
key /etc/openvpn/vpntomato.key
dh /etc/openvpn/dh2048.pem
server a.b.c.d 255.255.0.0
cipher BF-CBC
user nobody
group nogroup
verb 3
mute 20
max-clients 2000
management 127.0.0.1 9010
keepalive 30 60
log-append /var/log/openvpn.log
script-security 3
client-connect /etc/openvpn/scripts/connect.sh
client-disconnect /etc/openvpn/scripts/disconnect.sh
client-config-dir /etc/openvpn/ccd
comp-lzo
persist-key
persist-tun
float
ccd-exclusive
push "route a.b.c.d 255.255.0.0"
push "dhcp-option DOMAIN mon.domain"
push "dhcp-option DNS a.b.c.d"
Code: Select all
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher BF-CBC
auth none
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local IP_PUBLIQUE
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php server2"
tls-server
server a.b.c.d 255.255.0.0
client-config-dir /var/etc/openvpn-csc/2
lport 4459
management /var/etc/openvpn/server2.sock unix
max-clients 2000
route a.b.c.d 255.255.255.0
ca /var/etc/openvpn/server2.ca
cert /var/etc/openvpn/server2.cert
key /var/etc/openvpn/server2.key
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh.rfc7919
compress lzo
persist-remote-ip
float
topology subnet
tls-version-min 1.0
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh-param.2048
data-ciphers BF-CBC
user nobody
group nogroup
Logs dans le Dynfi :
Code: Select all
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 Fatal TLS error (check_tls_errors_co), restarting
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 TLS Error: TLS handshake failed
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 TLS Error: TLS object -> incoming plaintext read error
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 TLS_ERROR: BIO read tls_read_plaintext error
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 OpenSSL: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.
Voici quelques questions à considérer :
- Est-ce qu'une erreur de configuration est en cause ?
- Est-il envisageable de migrer la configuration OpenVPN vers Dynfi sans nécessiter de mises à jour du côté client ?
- Si cela n'est pas envisageable pour le moment, est-ce prévu dans un avenir proche ?
viewtopic.php?t=946
La réponse suivante a été apportée : "La façon dont les algos sont négociés sera révisée lors de la prochaine version de DynFi Firewall."
Merci pour votre aide,
Cordialement,