Nous souhaitons migrer un ancien serveur openVPN sur Dynfi, le serveur est ancien (deb7) et comprend des paramètres OpenVPN dépréciés.
Ancien serveur :
OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
Openssl (1.0.1e-2+deb7u20)
Dynfi (dernière version de la branche stable):
OpenVPN 2.6.5 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
library versions: OpenSSL 1.1.1v 1 Aug 2023, LZO 2.10
Configuration OpenVPN de l'ancien serveur :
Code: Select all
port 4459
proto tcp-server
dev tun0
topology subnet
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpntomato.crt
key /etc/openvpn/vpntomato.key
dh /etc/openvpn/dh2048.pem
server a.b.c.d 255.255.0.0
cipher BF-CBC
user nobody
group nogroup
verb 3
mute 20
max-clients 2000
management 127.0.0.1 9010
keepalive 30 60
log-append /var/log/openvpn.log
script-security 3
client-connect /etc/openvpn/scripts/connect.sh
client-disconnect /etc/openvpn/scripts/disconnect.sh
client-config-dir /etc/openvpn/ccd
comp-lzo
persist-key
persist-tun
float
ccd-exclusive
push "route a.b.c.d 255.255.0.0"
push "dhcp-option DOMAIN mon.domain"
push "dhcp-option DNS a.b.c.d"
Code: Select all
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher BF-CBC
auth none
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local IP_PUBLIQUE
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php server2"
tls-server
server a.b.c.d 255.255.0.0
client-config-dir /var/etc/openvpn-csc/2
lport 4459
management /var/etc/openvpn/server2.sock unix
max-clients 2000
route a.b.c.d 255.255.255.0
ca /var/etc/openvpn/server2.ca
cert /var/etc/openvpn/server2.cert
key /var/etc/openvpn/server2.key
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh.rfc7919
compress lzo
persist-remote-ip
float
topology subnet
tls-version-min 1.0
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh-param.2048
data-ciphers BF-CBC
user nobody
group nogroupLogs dans le Dynfi :
Code: Select all
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 Fatal TLS error (check_tls_errors_co), restarting
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 TLS Error: TLS handshake failed
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 TLS Error: TLS object -> incoming plaintext read error
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 TLS_ERROR: BIO read tls_read_plaintext error
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 OpenSSL: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher
2024-04-12T09:27:35 Error openvpn IP_PUBLIQUE:3039 TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.Voici quelques questions à considérer :
- Est-ce qu'une erreur de configuration est en cause ?
- Est-il envisageable de migrer la configuration OpenVPN vers Dynfi sans nécessiter de mises à jour du côté client ?
- Si cela n'est pas envisageable pour le moment, est-ce prévu dans un avenir proche ?
viewtopic.php?t=946
La réponse suivante a été apportée : "La façon dont les algos sont négociés sera révisée lors de la prochaine version de DynFi Firewall."
Merci pour votre aide,
Cordialement,