OpenVPN conf client

Message par **biour** » lun. 21 mars 2016 19:54

plop!

Cette config vous parait normal?

client

dev tun

remote xxxxx xxxxx

proto udp

nobind

resolv-retry infinite

persist-key

persist-tun

ca server.crt

cipher BF-CBC

comp-lzo

verb 3

auth-user-pass password.txt
auth-nocache

route-method exe

route-delay 2

note elle fonctionne ^^ (actif au boot avec log/mdp en auto)

Message par **gizmo78** » lun. 21 mars 2016 19:55

le cipher est bof vraiment.

Pk de l'udp pour du vpn?

Message par **biour** » lun. 21 mars 2016 19:57

j'en sais rien, c'est la conf fourni pour le vpn offert avec ma seedbox (ip ovh)
et je trouve justement que c'est limite niveau secu mais j'en sais pas plus)

pour openvpn Udp c'est par defaut (sinon c'est tcp)

Message par **biour** » lun. 21 mars 2016 20:00

Mon Mar 21 19:44:15 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar 21 19:44:15 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 21 19:44:15 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar 21 19:44:15 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 21 19:44:15 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Message par **biour** » lun. 21 mars 2016 20:04

Bon AES-256-CBC marche pas trop ^^

Mon Mar 21 20:02:58 2016 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Mar 21 20:02:58 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 21 20:02:58 2016 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Mar 21 20:02:58 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 21 20:02:58 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Mon Mar 21 20:03:30 2016 Authenticate/Decrypt packet error: cipher final failed
Mon Mar 21 20:03:40 2016 Authenticate/Decrypt packet error: cipher final failed
Mon Mar 21 20:03:50 2016 Authenticate/Decrypt packet error: cipher final failed

liste que j'ai trouvé des cypher possible
DES-CBC
RC2-CBC
DES-EDE-CBC
DES-EDE3-CBC
DESX-CBC
BF-CBC --> Ok (par defaut)
RC2-40-CBC
CAST5-CBC
RC2-64-CBC
AES-128-CBC
AES-192-CBC -->Ko
AES-256-CBC -->Ko

Message par **gizmo78** » lun. 21 mars 2016 20:17

de leur coté ils ont du restreindre à fond pour limiter les ciphers qui consomme

Message par **biour** » lun. 21 mars 2016 20:23

ouaip, j'ai mailé le support on verra bien ^^

Message par **c0bw3b** » mar. 22 mars 2016 08:58

Bah AES-128-CBC c'est suffisant pour ton usage et déjà raisonnablement solide.

Message par **poulpito** » mar. 22 mars 2016 09:08

euhhh tu sais biour que tu peux pas changer ton encryptage si la conf serveur en face est pas exactement la même ?

ici c'est
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote xxxxx
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
cipher AES-256-CBC
auth SHA512
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256

Message par **Zedoune** » mar. 22 mars 2016 09:24

le cipher est bof vraiment.

Pk de l'udp pour du vpn?

parce que les VPN c'est toujours en udp, quand tu fais du TCP dedans c'est TCP qui se charge de renvoyer les paquets si c'est perdu. Faire du TCP dans du TCP c'est très lourd

Message par **dsebire** » mar. 22 mars 2016 09:32

+1 ça consomme plus mais c'est utile sur des connex pouraves.
ça évite aussi que des paquets transitent par différentes routes et arrivent dans le désordre (possible en UDP qui ne sait pas remettre a l'endroit)

en gros si soucis en UDP, la première chose a faire est de passer en TCP.
si résolu, faut chercher coté peering ou qualité de connexion

Message par **gizmo78** » mar. 22 mars 2016 09:57

je pars du principe que si je passe par le 3G par exemple, je reste sur du TCP.

l'udp est pas assez organisé pour ca.

Message par **poulpito** » mar. 22 mars 2016 09:59

aucun soucis en udp pour 3g free/orange en tout cas

Message par **biour** » mar. 22 mars 2016 10:57

euhhh tu sais biour que tu peux pas changer ton encryptage si la conf serveur en face est pas exactement la même ?

ici c'est
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote xxxxx
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
cipher AES-256-CBC
auth SHA512
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256

ouaip, je sais, mais vue que le fichier d econf est pas des plus officiel j'ai mail le support on verra

Message par **biour** » mar. 22 mars 2016 16:35

Bonjour

Les configurations sont établies par défaut.

cordialement
Jerome
--

pour du support, c'est du support! on dirais moi au taf, froid et laconique