[Fli4l_dev] von 3.10.17 auf fli4l-4.0.0-r58846 / (Teil-)Erfolg
Gotthard Anger
papierkorb at ekmd.de
Mi Jul 29 10:35:08 CEST 2020
Hallo,
Am 27.07.2020 um 21:04 schrieb Alexander Dahl:
> Wichtig ist, dass Cipher und Digest auf beiden Seiten
> übereinstimmen. Das kann man am einfachsten sicherstellen, indem es auf
> beiden Seiten manuell einstellt. ;-)
Kann ich nur bekräftigen. Die Fehlermeldung hatte ich auch. In 4.0 nutzt
Openvpn standardmäßig AES-256-CBC, in 3.x war das BF-CBC.
Du kannst die Default-Cipher auf BF-CBC zurückschrauben, oder die Konfig
am anderen Ende anpassen (vorzugsweise).
Für die Authentifizierung gilt ähnliches. Schaden kann es nicht, wenn
man die gurndlegenden Parameter explizit auf beiden Seiten angibt, sao
ist man bei Releasewechseln vor ungewollten Änderungen geschützt.
Das wäre also auf der Client-Seite
cipher aes-256-cbc
auth sha256
auf FLI-Seite
OPENVPN_DEFAULT_CIPHER='AES-256-CBC'
OPENVPN_DEFAULT_DIGEST='SHA256'
Die 128-Cipher wird von den neueren Openvpn-Versionen als unsicher
angemeckert.
Herzliche Grüße
Gotthard
--
Gotthard Anger
Anwenderbetreuung, Netzwerkadministration
Landeskirchenamt der EKM
Mehr Informationen über die Mailingliste Fli4l_dev