OpenVPN - The server has no TLS ciphersuites in common with the client

This forum is intended to provide straightforward answers for people trying to use DynFi Firewall Open Source firewalls.
We might also try to answer questions related to competitors firewall such as pfSense® and OPNsense® systems.

Moderator: gregober

Post Reply
systeme
Posts: 6
Joined: 02 Apr 2024, 10:13

OpenVPN - The server has no TLS ciphersuites in common with the client

Post by systeme » 12 Apr 2024, 10:58

Bonjour,

Nous souhaitons migrer un ancien serveur openVPN sur Dynfi, le serveur est ancien (deb7) et comprend des paramètres OpenVPN dépréciés.

Ancien serveur :
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
Openssl (1.0.1e-2+deb7u20)

Dynfi (dernière version de la branche stable):
OpenVPN 2.6.5 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
library versions: OpenSSL 1.1.1v 1 Aug 2023, LZO 2.10

Configuration OpenVPN de l'ancien serveur :

Code: Select all

port 4459
proto tcp-server
dev tun0

topology subnet

ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpntomato.crt
key /etc/openvpn/vpntomato.key
dh /etc/openvpn/dh2048.pem

server a.b.c.d 255.255.0.0

cipher BF-CBC
user nobody
group nogroup
verb 3
mute 20
max-clients 2000
management 127.0.0.1 9010
keepalive 30 60

log-append /var/log/openvpn.log

script-security 3
client-connect /etc/openvpn/scripts/connect.sh
client-disconnect /etc/openvpn/scripts/disconnect.sh

client-config-dir /etc/openvpn/ccd

comp-lzo

persist-key
persist-tun
float
ccd-exclusive

push "route a.b.c.d 255.255.0.0"

push "dhcp-option DOMAIN mon.domain"
push "dhcp-option DNS a.b.c.d"
Configuration OpenVPN appliquée sur le Dynfi :

Code: Select all

script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher BF-CBC
auth none
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local IP_PUBLIQUE
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php server2"
tls-server
server a.b.c.d 255.255.0.0
client-config-dir /var/etc/openvpn-csc/2
lport 4459
management /var/etc/openvpn/server2.sock unix
max-clients 2000
route a.b.c.d 255.255.255.0
ca /var/etc/openvpn/server2.ca 
cert /var/etc/openvpn/server2.cert 
key /var/etc/openvpn/server2.key 
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh.rfc7919
compress lzo
persist-remote-ip
float
topology subnet
tls-version-min 1.0
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh-param.2048
data-ciphers BF-CBC
user nobody
group nogroup

Logs dans le Dynfi :

Code: Select all

2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 Fatal TLS error (check_tls_errors_co), restarting	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 TLS Error: TLS handshake failed	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 TLS Error: TLS object -> incoming plaintext read error	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 TLS_ERROR: BIO read tls_read_plaintext error	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 OpenSSL: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher	
2024-04-12T09:27:35	Error	openvpn	IP_PUBLIQUE:3039 TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.
Nous avons essayé plusieurs fois de forcer le paramètre tls-cipher *-CBC et l'échange de clés "dh" sans succès.

Voici quelques questions à considérer :
  • Est-ce qu'une erreur de configuration est en cause ?
  • Est-il envisageable de migrer la configuration OpenVPN vers Dynfi sans nécessiter de mises à jour du côté client ?
  • Si cela n'est pas envisageable pour le moment, est-ce prévu dans un avenir proche ?
En parcourant le forum un post similaire a été posté :
viewtopic.php?t=946
La réponse suivante a été apportée : "La façon dont les algos sont négociés sera révisée lors de la prochaine version de DynFi Firewall."

Merci pour votre aide,

Cordialement,
User avatar
gregober
Posts: 270
Joined: 26 Mar 2019, 15:06

Re: OpenVPN - The server has no TLS ciphersuites in common with the client

Post by gregober » 03 May 2024, 17:30

Compte-tenue de la vétusté de la version migrée, je vous recommande partir de 0.
Sinon vous risquez de perdre trop de temps.
Post Reply