[Fli4l_dev] Update von "fli4l-4.0.0-r56979-testing" auf "4.1.0--2025-12-13" OpenVPN funktioniert nicht

Harvey hw234 at gmx.de
Mo Dez 29 16:15:55 CET 2025 

Martin.

> es sind auf jeden Fall
> die beiden Settings:
> OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
> OPENVPN_DEFAULT_DIGEST='SHA256'
> 
> mit diesen werden die TunX Netzwerke gestartet.
> Nur leider bekomme ich jetzt einen "Authenticate/Decrypt packet error:"
> 
> wie kann ich den einfach beheben? muss ich dass Keyfile neu generieren?

Google antwortet:

"Nein, für die Änderung von
Cipher (Verschlüsselungsalgorithmus) und Digest (Hash-Algorithmus für 
Integrität) in OpenVPN müssen Sie in der Regel keine komplett neuen 
Schlüssel generieren, da diese Parameter im Handshake (TLS-Austausch) 
neu ausgehandelt werden, aber es ist zwingend, dass alle Zertifikate und 
der Diffie-Hellman-Parameter (wenn Static Key/TLS Auth verwendet wird) 
auf Server und Client übereinstimmen und neu erstellt werden, wenn Sie 
die Schlüssellänge (z.B. RSA-Größe) oder die DH-Parameter ändern, um die 
Sicherheit zu gewährleisten.

Wichtige Unterscheidungen:

     Cipher (z.B. AES-256-GCM): Dies ist der Algorithmus für die 
Datenverschlüsselung. Er wird während des TLS-Handshakes zwischen Client 
und Server ausgehandelt, sobald die Verbindung aufgebaut ist. Ändern Sie 
dies, müssen beide Seiten die neue Einstellung unterstützen, aber es 
erfordert keine neuen Hauptschlüssel.
     Digest (z.B. SHA256): Dies ist der Hash-Algorithmus für die 
Authentifizierung der Zertifikate. Auch dieser wird im Handshake 
ausgehandelt und ist an die Zertifikate gebunden.
     Diffie-Hellman (DH) Parameter: Wenn Sie die Größe Ihrer 
Schlüssellänge ändern (z.B. von 2048 auf 4096 Bit) oder zu einem 
stärkeren Algorithmus wechseln, müssen Sie die DH-Parameter neu 
generieren und die Zertifikate neu ausstellen, da dies die Grundlage für 
den Schlüsselaustausch bildet.
     TLS Auth Key (ta.key): Dieser statische Schlüssel wird nur für die 
Authentifizierung des Kontrollkanals verwendet und muss bei Änderung neu 
generiert werden.

Fazit:
Änderungen an Cipher und Digest selbst sind unproblematisch, solange die 
neue Einstellung auf beiden Seiten unterstützt wird. Ändern Sie jedoch 
die zugrundeliegende Schlüssellänge oder die DH-Parameter, müssen Sie 
die Zertifikate und ggf. den TLS-Auth-Schlüssel neu erstellen und auf 
alle Clients verteilen, um eine funktionierende und sichere Verbindung 
zu gewährleisten. "

Verwendest du denn auf beiden Seiten die gleiche fli4l-Version? Ich 
würde allerdings die keys sowieso neu generieren, allein schon der 
Sicherheit wegen.

Gruß
Harvey

Mehr Informationen über die Mailingliste Fli4l_dev