Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN TLS

Mitglied: 121851

121851 (Level 1)

22.03.2017, aktualisiert 21:41 Uhr, 1407 Aufrufe, 4 Kommentare

Hallo zusammen,

habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen und einen Eintag entdeckt wo ich nicht ganz weiß was genau es bedeutet und ob das so sicher ist.

Hier der Auszug:

Wed Mar 22 21:05:51 2017 xx.xx.xx.xx:21032 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:21032, sid=1b6e5ae28lla7106
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx21032 VERIFY OK: depth=1, C=DE, ST=XX L=XX O=IT, OU=P, CN=OpenVPN, name=name, emailAddress=mail@mail.org
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 VERIFY OK: depth=0, C=DE, ST=XX, L=XX, O=IT, OU=P, CN=test4, name=name, emailAddress=mail@mail.org
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication

Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA

Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 [test4] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:21032
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 MULTI: Learn: 10.8.0.6 -> test4/xx.xx.xx.xx:21032
Wed Mar 22 21:05:52 2017 test4xx.xx.xx.xx.130:21032 MULTI: primary virtual IP for test4/xx.xx.xx.xx:21032: 10.8.0.6
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 PUSH: Received control message: 'PUSH_REQUEST'
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 send_push_reply(): safe_cap=940
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 SENT CONTROL [test4]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option$
Wed Mar 22 21:07:58 2017 test4/xx.xx.xx.xx:21032 SIGTERM[soft,remote-exit] received, client-instance exiting

Es geht um die markierte Zeile. Was genau bedeutet der Control Channel? Und sollte das nicht besser TLS 1.2 sein?
Der Rest sollte passen.

Vielen dank für die Hilfe
Mitglied: Pedant
24.03.2017 um 10:26 Uhr
Hallo fuddel18,

Hab gerade mal bei mir ins Log geschaut.
Dort steht auch ...Control Channel: TLSv1.2, cipher TLSv1/SSLv3...

Du schreibst:
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Control Channel...
In meinem Log fehlt das xx.xx.xx.xx:21032 ersatzlos, dort steht lediglich:
Wed Mar 22 21:05:52 2017 Control Channel...
Welche Version nutzt Du?
Bei mir ist es OpenVPN 2.3.8.

Ich habe gerade diesen Artikel gefunden:
https://oli.new-lan.de/2015/02/openvpn-crypto-tuning-tls-auth-tls-cipher ...
Ohne das alles gleich komplett verstanden und ausprobiert zu haben, klingt Absatz 5. tls-version-min, als könnte es eine Lösung sein.
In dem Zusammenhang wird dort auch auf eine neuere Version hingewiesen.

Das wäre dann im Moment: OpenVPN 2.4.1

Gruß Frank
Bitte warten ..
Mitglied: 121851
24.03.2017, aktualisiert um 20:41 Uhr
Hallo Frank,

Danke für deine Antworten

In meinem Log fehlt das xx.xx.xx.xx:21032 ersatzlos, dort steht lediglich:
Wed Mar 22 21:05:52 2017 Control Channel...

Die XX.XX.XX.XX sind IP Adressen die ich nicht veröffentlichen möchte. Der Rest habe ich auch dort stehen.

Welche Version nutzt Du?
Bei mir ist es OpenVPN 2.3.8.

Meine Version ist: OpenVPN 2.3.10 mit unter einem Ubuntu 16.04 LTS. Wurde über das Terminal apt-get install installiert

Ich habe gerade diesen Artikel gefunden:
https://oli.new-lan.de/2015/02/openvpn-crypto-tuning-tls-auth-tls-cipher ...
Ohne das alles gleich komplett verstanden und ausprobiert zu haben, klingt Absatz 5. tls-version-min, als könnte es eine Lösung sein.
In dem Zusammenhang wird dort auch auf eine neuere Version hingewiesen.

Diesen Artiken habe ich auch schon durch hat leider nichts gebracht.

Scheibe hier mal meine Config.

Server:
01.
mode server
02.
dev tun
03.
proto udp
04.
port 443
05.

06.
cipher AES-256-CBC
07.
auth SHA256
08.
tls-cipher DHE-RSA-AES256-SHA256
09.
remote-cert-tls client
10.
tls-version-min 1.2
11.

12.
ca /etc/openvpn/easy-rsa/keys/ca.crt
13.
cert /etc/openvpn/easy-rsa/keys/ubuntuvpn.crt
14.
key /etc/openvpn/easy-rsa/keys/ubuntuvpn.key
15.
dh /etc/openvpn/easy-rsa/keys/dh4096.pem
16.
tls-auth ./easy-rsa/keys/ta.key 0
17.
tls-server OpenVPN
18.
reneg-sec 3600
Client:
01.
 
02.
dev tun
03.
client
04.
proto udp
05.
cipher AES-256-CBC
06.
auth SHA256
07.

08.
tls-client
09.
tls-cipher DHE-RSA-AES256-SHA256
10.
tls-version-min 1.2
11.
ca ca.crt
12.
cert test.o.pw.crt
13.
key test.o.pw.key
14.
tls-auth ta.key 1
15.
reneg-sec 3600
16.

17.
mode client
18.
remote XX.XX.XX 443
19.
resolv-retry infinite
Bitte warten ..
Mitglied: Pedant
25.03.2017 um 15:32 Uhr
Hallo fuddel18,

dass Dein XX für eine maskierte IP steht war klar.
Ich hatte nur bemerkt und erwähnt, dass bei mir dort keine IP und kein Port ausgegeben wird.
Bei mir laufen Server und Client allerdings unter Windows. Vielleicht macht das den Unterschied.

Gerade habe ich es mit der Version 2.4.1 auf einem Windows-Rechner versucht.
Zu dem Test habe ich die Einstellungszeilen aus dem verlinkten Artikel verwenden.
Auch damit bleibt diese Ausgabe erhalten:
...Control Channel: TLSv1.2, cipher TLSv1/SSLv3...

Ich kann leider nicht behaupten, dass ich den ganzen Kram verstehen würde und fundiert Testen könnte. Ich bin letztendlich immer nur froh wenn es läuft.
Für weitere Hilfe auf dem Weg zu TLSv1.2/SSLv3 muss ich leider passen.

Ich könnte mir auch durchaus vorstellen, dass die Meldung TLSv1/SSLv3 einfach nur ein "alter" Text ist und sie nichts weiter bedeutet.
Das ist aber reine Spekulation.

Gruß Frank

PS: Den Test habe ich mit dh2048.pem durchgeführt.
Das Erzeugen von dh2048.pem dauerte wenige Sekunden.
Das Erzeugen von dh4096.pem hatte ich zuvor angestoßen, das läuft aber noch und schon seit zirka 2½h.
Bitte warten ..
Mitglied: 121851
26.03.2017 um 04:05 Uhr
Hallo Frank,

dass Dein XX für eine maskierte IP steht war klar.

Ups, dann habe ich das falsch verstanden. Sorry.

Ich könnte mir auch durchaus vorstellen, dass die Meldung TLSv1/SSLv3 einfach nur ein >"alter" Text ist und sie nichts weiter bedeutet.
Das ist aber reine Spekulation.

Das dürfte nicht sein aber, kann ja immer vorkommen. Ist ja schon Menschen erstellt worden und die machen auch Fehler.
Wenn ich mich richtig erinnere gab es in der einer Version Probeme mit TLS aber, die sollten mit der 2.3.10 gefixt sein. TLS1/SSL 3 ist halt nicht mehr so sicher deswegen sollte man es nicht verwenden. Hoffe vielleicht kann noch jemand aus dem Forum was dazu sagen.

PS: Den Test habe ich mit dh2048.pem durchgeführt.
Das Erzeugen von dh2048.pem dauerte wenige Sekunden.
Das Erzeugen von dh4096.pem hatte ich zuvor angestoßen, das läuft aber noch und schon seit zirka 2½h.

Das hat glaube ich bei mir auf dem Server ca. 10 Minuten gedauert.

Gruß Stefan
Bitte warten ..
Ähnliche Inhalte
Firewall
Pfsense OpenVpn TLS Failure
gelöst Frage von medikopterFirewall12 Kommentare

Hallo zusammen, ich habe ein Problem mit OpenVPN. Server: Ich bekomme in Client den Fehler : In den Logs ...

Sicherheits-Tools
OpenVPN Fehler tls-remote (2.4.6)
Frage von sigusr1Sicherheits-Tools9 Kommentare

Hallo Leute, ich hab ein Problem mit der Installation von OpenVPN (Windows). Vielleicht habt ihr den einen oder anderen ...

Router & Routing

PfSense mit OpenVPN - in Testumgebung - Fehler TLS Error: TLS key negotiation failed

gelöst Frage von crankcorp86Router & Routing2 Kommentare

Hallo, ich habe dank guter Empfehlungen nun eine pfSense Firewall/Router mit Alix Board. Es funktioniert sehr gut, nun wollte ...

Linux

Postfix TLS einrichten

Frage von EmheonivekLinux1 Kommentar

Ich bin neu im Thema SSL-Zertifikate und versuche die Situation zu erläutern. Ich habe vor einiger Zeit ein Wildcard ...

Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 2 TagenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 4 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 11 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWusste vor 11 TagenVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Heiß diskutierte Inhalte
Hyper-V
Umzug Hyper-V mit VM in anderen Netzwerkabschnitt
gelöst Frage von keine-ahnungHyper-V9 Kommentare

Moin at all, ich habe leider den Freitag verpennt - daher meine obligate Freitagsfrage erst jetzt Ich habe einen ...

Windows 10
Windows 10 ( upgrade per media creator von win7 ) hat keine Systemwiederherstellung
gelöst Frage von knirschkeWindows 108 Kommentare

Hallo ! Habe letztlich mein Win7 auf Win10 aufgepeppt per Media Creator. Ging - obzwar recht spät - ganz ...

Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server7 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Hardware
Ausrichtung Profilschienen - was würdet ihr empfehlen?
gelöst Frage von ShihanHardware7 Kommentare

Ich habe einen Digitus 19" 12 U Netzwerkschrank. Dieser hätte eigentlich nur vorne Profilschienen, da ich aber im hinteren ...