OpenVPN无法禁用加密
在服务器和客户端配置中,我都设置了:
cipher none
auth none在这个建议之后,我还使用UDP端口1195。
当我启动服务器和客户端时,我会收到以下警告:
Tue Dec 4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec 4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!...which很好,但是openvpn仍然在使用加密。我知道,因为:
1)当客户端连接时,我在服务器端收到以下消息:
Tue Dec 4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec 4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key2)我两边都有很大的CPU负载。
3)我在Wireshark中看到数据是加密的
禁用加密还需要什么?
回答 2
Server Fault用户
发布于 2018-12-04 12:27:40
看来您已经启用了可协商的密码参数(NCP)。您应该指定
ncp-disable禁用“可协商密码参数”。这完全禁止密码协商。
当两个OpenVPN实例启用NCP (最新版本默认)时,它们将协商从ncp定义的一组密码中使用哪种密码。默认情况是' AES-256-GCM :AES-128-GCM‘,这解释了为什么在连接上看到AES-256-GCM。
Server Fault用户
发布于 2018-12-04 12:26:58
假设您正在运行openvpn2.4,我相信您还需要设置
ncp-禁用
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/
一些背景:
Openvpn过去要求您手动将加密算法配置为两端相同的值。然而,这带来了一个问题,这使得在现有的多用户VPN上升级加密变得非常困难。2016年,一次名为"sweet32“的攻击被设计出来,允许在某些情况下恢复明文。在实践中,这并不是一个容易的攻击,而且有一种方法可以在不改变密码的情况下减轻它,但它仍然是一个令人关注的发展。
Openvpn 2.4引入了一个新特性,默认情况下启用它来协商密码参数。我不确定这是对sweet32的反应,还是对有效地锁在一个密码套件中的影响的普遍关注的结果。
因此,当启用密码参数协商时,如果连接的另一方不支持协商,则“密码”设置有效地充当要使用的倒退。
https://serverfault.com/questions/942810
复制相似问题
腾讯云开发者
