Задать вопрос
@domanskiy

Как в Ubuntu в OpenVPN решить проблему с cipher 'AES-256-CBC' in --data-ciphers?

Есть стационарный ПК с Убунтой и ноутбук.
На обоих настроены клиенты OpenVPN с GUI. На обоих всё отлично работает.
В один прекрасный момент, я на ноуте случайно через GUI интерфейс, тру настройку соединения.
Тот час же восстанавливаю её, смотря на конфиг на ПК, но соединиться не получается. файлы с ключами не менялись. Но ноуте никаких обновлений и прочего не ставилось. Уже всё перепробовал. Носил ноут к админу. Тот проверил ключи, протоколы шифрования. Всё в норме.

Ошибка на сервере.
Прислал админ:
Disconnected unkown cipher alg or key size

Пробовал через CLI коннектиться. То же не получается.
Но там хотя бы логи есть:
2024-11-01 15:45:33 Note: cipher 'AES-256-CBC' in --data-ciphers is not supported by ovpn-dco, disabling data channel offload.
2024-11-01 15:45:33 OpenVPN 2.6.12 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]
2024-11-01 15:45:33 library versions: OpenSSL 3.3.1 4 Jun 2024, LZO 2.10
2024-11-01 15:45:33 DCO version: N/A
Enter Auth Username: domanskiy.av@plinor.local
Enter Auth Password: ••••••••
Enter Private Key Password: ••••••••••••••••••••
2024-11-01 15:46:15 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2024-11-01 15:46:20 TCP/UDP: Preserving recently used remote address: [AF_INET]85.114.21.10:11194
2024-11-01 15:46:20 Socket Buffers: R=[212992->212992] S=[212992->212992]
2024-11-01 15:46:20 UDPv4 link local: (not bound)
2024-11-01 15:46:20 UDPv4 link remote: [AF_INET]85.114.21.10:11194
2024-11-01 15:46:20 TLS: Initial packet from [AF_INET]85.114.21.10:11194, sid=687d04e0 6e7f380d
2024-11-01 15:46:20 VERIFY OK: depth=1, C=RU, ST=98, L=SPB, O=Plinor LLC, CN=ca_mt
2024-11-01 15:46:20 VERIFY KU OK
2024-11-01 15:46:20 Validating certificate extended key usage
2024-11-01 15:46:20 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2024-11-01 15:46:20 VERIFY EKU OK
2024-11-01 15:46:20 VERIFY OK: depth=0, C=RU, ST=98, L=SPB, O=Plinor LLC, CN=ovpn-server
2024-11-01 15:46:21 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, peer certificate: 2048 bits RSA, signature: RSA-SHA256, peer temporary key: 253 bits X25519
2024-11-01 15:46:21 [ovpn-server] Peer Connection Initiated with [AF_INET]85.114.21.10:11194
2024-11-01 15:46:21 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
2024-11-01 15:46:21 TLS: tls_multi_process: initial untrusted session promoted to trusted
2024-11-01 15:46:22 SENT CONTROL [ovpn-server]: 'PUSH_REQUEST' (status=1)
2024-11-01 15:46:22 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 172.20.2.101,dhcp-option DNS 172.20.2.102,inactive 10800,ping 20,ping-restart 60,topology subnet,route-gateway 172.21.0.1,ifconfig 172.21.0.97 255.255.255.0,peer-id 4'
2024-11-01 15:46:22 OPTIONS IMPORT: --ifconfig/up options modified
2024-11-01 15:46:22 OPTIONS IMPORT: route-related options modified
2024-11-01 15:46:22 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2024-11-01 15:46:22 Using peer cipher 'AES-256-CBC'
2024-11-01 15:46:22 TUN/TAP device tun0 opened
2024-11-01 15:46:22 net_iface_mtu_set: mtu 1500 for tun0
2024-11-01 15:46:22 net_iface_up: set tun0 up
2024-11-01 15:46:22 net_addr_v4_add: 172.21.0.97/24 dev tun0
2024-11-01 15:46:22 Initialization Sequence Completed
2024-11-01 15:46:22 Data Channel: cipher 'AES-256-CBC', auth 'SHA256', peer-id: 4
2024-11-01 15:46:22 Timers: ping 20, ping-restart 60, inactive 10800
^C2024-11-01 15:46:53 event_wait : Interrupted system call (fd=-1,code=4)


Версия OpenVPN на ноуте и ПК одинаковая.
Повторю - работало всё отично пока просто не удалил конфиг.
Уже OpenVPN переустанавливать пробовал. Не помогло.
Куда копать - не ясно.
  • Вопрос задан
  • 177 просмотров
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 2
@AlexWllI
https://www.opennet.ru/opennews/art.shtml?num=53981
Из конфигурации по умолчанию убрана поддержка шифра BF-CBC. В OpenVPN 2.5 по умолчанию теперь принимаются только шифры AES-256-GCM и AES-128-GCM. Изменить данное поведение можно при помощи опции data-ciphers, напрмер, указав в настройках "data-ciphers AES-256-GCM:AES-128-GCM:BF-CBC", а для поддержки очень старых узлов, не поддерживающих согласование шифров (режим "--cipher"), можно указать "data-ciphers-fallback BF-CBC". При обновлении до новой версии OpenVPN настройка "cipher BF-CBC" в старых файлах конфигурации будет преобразована в добавление BF-CBC к набору data-ciphers и включён режим data-ciphers-fallback.

Не оно? Ну или указать data-chiper нужной версии.
Ответ написан
@domanskiy Автор вопроса
На ПК и ноуте обновил Ubuntu до 24.10
Накатил все обновления.
На ПК OpenVPN поднимает соединение с сервером, но ноуте всё так же не хочет (
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы