OpenVPN не вдається вимкнути шифрування

11

Як у серверній, так і в клієнтській конфігураціях, які я встановив:

cipher none
auth none

Дотримуючись цієї поради, я також використовую UDP-порт 1195.

Коли я запускаю сервер і клієнт, я отримую такі попередження:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... що добре, але все ще openvpn використовує шифрування. Я це знаю, тому що:

1) Я отримую таке повідомлення на стороні сервера, коли клієнт підключається:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Я отримую величезне навантаження процесора з обох сторін

3) Я бачу в Wireshark, що дані зашифровані

Що ще потрібно для відключення шифрування?

openvpn

— user2449761
джерело

1

Чи можете ви поділитися контекстом використання? Оскільки ви намагаєтесь вимкнути будь-яку автентифікацію та шифрування, використання openvpn може бути сумнівним ... Можливо, ще кращий підхід до простої інкапсуляції трафіку (наприклад, ipip, gre, ...)

— Kamil J

6

Я просто експериментую, намагаюся з’ясувати, який вплив шифрування на завантаження процесора

— user2449761

31

Схоже, у вас увімкнено переговорні параметри крипто (NCP). Вам слід вказати

ncp-disable

Вимкнути "параметри криптовалюти". Це повністю вимикає шифрове узгодження.

Коли два екземпляри OpenVPN включені NCP (за замовчуванням для останніх версій), вони узгоджують, який шифр використовувати з набору шифрів, визначених ncp-шифрами. Типовим для цього є "AES-256-GCM: AES-128-GCM", який пояснює, чому ви бачите AES-256-GCM під час свого з'єднання.

— user9517
джерело

12

Якщо припустити, що ви працює openvpn 2.4. Я вірю, що вам також потрібно встановити

ncp-disabled

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Деякі відомості:

Openvpn використовується для того, щоб вручну налаштувати алгоритм шифрування на одне і те ж значення на обох кінцях. Однак це створило проблему, і було дуже важко оновити шифрування на існуючій багатокористувацькій VPN. У 2016 році була розроблена атака під назвою "солодкий32", яка дозволила відновити непростий текст за деяких обставин. Зробити це було не просто з легких нападів, і був спосіб пом'якшити його без зміни шифру, але це все ще стосувалося розвитку.

Openvpn 2.4 представив нову функцію, включену за замовчуванням для узгодження крипто-параметрів. Я не впевнений, чи це була реакція на солодке32 чи результат загальних занепокоєнь щодо наслідків ефективного замикання в одному наборі шифрів.

Отже, коли увімкнено узгодження параметрів криптовалюти, налаштування "шифру" ефективно виконує функцію запасного використання, якщо інша сторона з'єднання не підтримує узгодження.

— Пітер Грін
джерело