Moin,
möglicherweise ist die OpenSSL-Version in der aktuellen UTM-Firmware nicht aktuell. Jedenfalls konnte ich mich mit Standardeinstellungen nicht via VPN (nutze Arch Linux mit Gnome und NetworkManager und OpenSSH, alles aktuell) verbinden. Im Log der UTM erscheint "TLS-Handshake failed". Im Log meines Clients bekomme ich unter Anderem:
AUTH_FAILED,Data channel cipher negotiation failed (no shared cipher)
Eine kurze Recherche im Netz brachte mich auf die Lösung: In der OpenVPN-Konfigurationsdatei für den Client muss man die Zeile "cipher AES-256-CBC" ersetzen durch "data-ciphers-fallback AES-256-CBC".
Vielleicht gibt es vonseiten Securepoints ja einen eleganteren Workaround (anderen Cipher in der UTM voreinstellen?).
Vielen Dank für die Aufmerksamkeit und viele Grüße
Kein VPN mit aktuellem OpenSSL-Client möglich (Cipher-Fallback nötig)
Moderator: Securepoint
Moin!
Die Option habe ich laut Workaround im Netz in der jeweiligen OVPN-Datei gesetzt.
Als Merkhilfe: Den jeweiligen Cipher kann man ja von VPN-Server zu VPN-Server anders setzen, sodass eine globale Einstellung in der client.conf eher wenig zielführend wäre.
Beste Grüße!
Die Option habe ich laut Workaround im Netz in der jeweiligen OVPN-Datei gesetzt.
Als Merkhilfe: Den jeweiligen Cipher kann man ja von VPN-Server zu VPN-Server anders setzen, sodass eine globale Einstellung in der client.conf eher wenig zielführend wäre.
Beste Grüße!
Die VPN Verbindung kann jetzt per CLI problemlos aufgebaut werden.
Per Netzwerkmanager-GUI kommt die Meldung, dass für diese Verbindung ein Passwort erforderlich wäre. Gebe ich da das VPN Passwort ein, so wird das nicht akzeptiert.
Setze ich die Version des openvpn Plugins zurück auf eine Version von vor 8 Wochen tut alles wie gewünscht?
Irgendwo ist da der Wurm drin
Per Netzwerkmanager-GUI kommt die Meldung, dass für diese Verbindung ein Passwort erforderlich wäre. Gebe ich da das VPN Passwort ein, so wird das nicht akzeptiert.
Setze ich die Version des openvpn Plugins zurück auf eine Version von vor 8 Wochen tut alles wie gewünscht?
Irgendwo ist da der Wurm drin
Hier scheint ein Problem mit dem VPN-Server vorzuliegen, der anscheinend einen anderen Cipher nutzt als in der Konfiguration angegeben.
Wir haben in Server und Client AES-256-CBC eingerichtet, aber einer unserer Mitarbeiter konnte sich nicht einloggen bis er die Clientkonfiguration auf AES256-GCM geändert hatte.
Im Log findet sich folgendes:
Mitarbeiter A (VPN funktioniert):
[table][tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]IP_A:PORT peer info:IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC[/td]
[/tr]
[tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]IP_A:PORT Control Channel: TLSv1.3 cipher TLSv1.3 TLS_AES_128_GCM_SHA256 peer certificate: 4096 bit RSA signature: RSA-SHA512[/td]
[/tr]
[tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]MITARBEITER_A/IP_A:PORT Data Channel: using negotiated cipher 'AES-256-GCM'[/td]
[/tr]
[tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]MITARBEITER_A/IP_A:PORT Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key[/td]
[/tr]
[tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]MITARBEITER_A/IP_A:PORT Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key[/td]
[/tr]
[/table]
Mitarbeiter B (VPN funktioniert nicht)
[table][tr][td]10/03/2023 09:23:24[/td]
[td]openvpn-VPN2[/td]
[td]IP_B:PORT peer info:IV_CIPHERS=AES-256-CBC[/td]
[/tr]
[tr][td]10/03/2023 09:23:24[/td]
[td]openvpn-VPN2[/td]
[td]IP_B:PORT Control Channel: TLSv1.3 cipher TLSv1.3 TLS_AES_128_GCM_SHA256 peer certificate: 4096 bit RSA signature: RSA-SHA512[/td]
[/tr]
[tr][td]10/03/2023 09:23:24[/td]
[td]openvpn-VPN2[/td]
[td]MITARBEITER_B/IP_B:PORT PUSH: No common cipher between server and client. Server data-ciphers: 'AES-256-GCM:AES-128-GCM' client supported ciphers 'AES-256-CBC'[/td]
[/tr]
[/table]
Wir haben in Server und Client AES-256-CBC eingerichtet, aber einer unserer Mitarbeiter konnte sich nicht einloggen bis er die Clientkonfiguration auf AES256-GCM geändert hatte.
Im Log findet sich folgendes:
Mitarbeiter A (VPN funktioniert):
[table][tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]IP_A:PORT peer info:IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC[/td]
[/tr]
[tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]IP_A:PORT Control Channel: TLSv1.3 cipher TLSv1.3 TLS_AES_128_GCM_SHA256 peer certificate: 4096 bit RSA signature: RSA-SHA512[/td]
[/tr]
[tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]MITARBEITER_A/IP_A:PORT Data Channel: using negotiated cipher 'AES-256-GCM'[/td]
[/tr]
[tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]MITARBEITER_A/IP_A:PORT Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key[/td]
[/tr]
[tr][td]10/03/2023 09:16:38[/td]
[td]openvpn-VPN2[/td]
[td]MITARBEITER_A/IP_A:PORT Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key[/td]
[/tr]
[/table]
Mitarbeiter B (VPN funktioniert nicht)
[table][tr][td]10/03/2023 09:23:24[/td]
[td]openvpn-VPN2[/td]
[td]IP_B:PORT peer info:IV_CIPHERS=AES-256-CBC[/td]
[/tr]
[tr][td]10/03/2023 09:23:24[/td]
[td]openvpn-VPN2[/td]
[td]IP_B:PORT Control Channel: TLSv1.3 cipher TLSv1.3 TLS_AES_128_GCM_SHA256 peer certificate: 4096 bit RSA signature: RSA-SHA512[/td]
[/tr]
[tr][td]10/03/2023 09:23:24[/td]
[td]openvpn-VPN2[/td]
[td]MITARBEITER_B/IP_B:PORT PUSH: No common cipher between server and client. Server data-ciphers: 'AES-256-GCM:AES-128-GCM' client supported ciphers 'AES-256-CBC'[/td]
[/tr]
[/table]