Auteur Sujet: Paramètrage d'OpenVPN : cipher et auth.  (Lu 9006 fois)

0 Membres et 1 Invité sur ce sujet

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 871
  • Brest (29)
    • Maroquinerie Bysance
Paramètrage d'OpenVPN : cipher et auth.
« le: 31 octobre 2014 à 21:09:09 »
Bonsoir,

J'ai installé ce-jour un VPN sur mon serveur dédié Online.net tournant sur Debian 7 64 bits. Il s'agit d'OpenVPN.
Je suis raccordé à l'Internet par l'opérateur Orange en FTTH avec le débit de l'offre Jet, c'est à dire 500 / 200 Mbps.

Voici un speedtest de ma connexion, sans le VPN :


Un autre, avec le VPN réglé sur le cipher AES-256-CBC :


J'aimerai simplement désactivé le cryptage pour gagner en performance. Je ne cherche pas la sécurisation de mes données.

J'ai déjà tenté pas mal de choses, comme par exemple changer le cipher en "cipher none" dans le server.conf et dans les fichiers configs client, mais la connexion est refusée côté client :
assertion failed at crypto.c
Quelqu'un aurait-il une idée afin d'enlever le cryptage d'OpenVPN?

Cdt,
DamienC


Thibault

  • AS57199 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 1 910
  • FTTH K-net Cormoranche S/S & SFR FTTH Lyon
    • MilkyWan
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #1 le: 31 octobre 2014 à 21:22:31 »
"cipher none" marche normalement.
J'ai déjà fais sans problème.

corrector

  • Invité
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #2 le: 31 octobre 2014 à 21:41:14 »
Et avec un chiffre plus efficace, et optimisé par le CPU?

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 871
  • Brest (29)
    • Maroquinerie Bysance
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #3 le: 31 octobre 2014 à 21:49:40 »
Citer
"cipher none" marche normalement.
J'ai déjà fais sans problème.

Cela m’intéresse ! Aurais-tu ton server.conf sous la main? ainsi que client.conf?

Mon server.conf :
# Serveur TCP/443
mode server
proto tcp
port 8888
dev tun
 
# Clés certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher AES-256-CBC
 
# Réseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
 
# Sécurité
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
 
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log

Mon client.conf :
# Client
client
dev tun
proto tcp-client
remote 195.154.X.X 8888
resolv-retry infinite
cipher AES-256-CBC

 
# Clé
ca ca.crt
cert mon-serveur-vpn.crt
key mon-serveur-vpn.key
tls-auth ta.key 1
key-direction 1
 
# Sécurité
nobind
persist-key
persist-tun
comp-lzo
verb 3


Quelles valeurs doivent changer ?

Thibault

  • AS57199 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 1 910
  • FTTH K-net Cormoranche S/S & SFR FTTH Lyon
    • MilkyWan
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #4 le: 31 octobre 2014 à 21:49:43 »
Il y a une commande à faire pour tester les différentes façons.

Edit : Tu fais sous quel OS ?
J'ai un doute si je l'ai encore.

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 871
  • Brest (29)
    • Maroquinerie Bysance
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #5 le: 31 octobre 2014 à 21:50:17 »
Citer
Et avec un chiffre plus efficace, et optimisé par le CPU?

Un chiffre plus efficace ? C'est à dire?

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 871
  • Brest (29)
    • Maroquinerie Bysance
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #6 le: 31 octobre 2014 à 21:53:02 »
Citer
Edit : Tu fais sous quel OS ?
J'ai un doute si je l'ai encore.

Mon serveur est sous Debian 7 64 bits et moi je suis sous Windows 7 64 bits

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 871
  • Brest (29)
    • Maroquinerie Bysance
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #7 le: 31 octobre 2014 à 21:54:52 »
J'ai fais cette modification :
Citer
# Serveur TCP/443
mode server
proto tcp
port 8888
dev tun
 
# Clés certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth none
key-direction 0
cipher none
 
# Réseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
 
# Sécurité
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
 
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log

Mais cela ne fonctionne pas. J'ai changé les valeurs en gras.

Thibault

  • AS57199 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 1 910
  • FTTH K-net Cormoranche S/S & SFR FTTH Lyon
    • MilkyWan
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #8 le: 31 octobre 2014 à 21:56:33 »
Citer
tls-auth none
Il me semble pas avoir mis celle ligne.

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 871
  • Brest (29)
    • Maroquinerie Bysance
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #9 le: 31 octobre 2014 à 21:57:35 »
Citer
Il me semble pas avoir mis celle ligne.
Du coup, il suffit de la supprimer, tout simplement?
Sur ce lien, ils disent qu'il faut mettre l'auth en none..
http://openvpn.net/index.php/access-server/docs/admin-guides/437-how-to-change-the-cipher-in-openvpn-access-server.html

Thibault

  • AS57199 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 1 910
  • FTTH K-net Cormoranche S/S & SFR FTTH Lyon
    • MilkyWan
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #10 le: 31 octobre 2014 à 21:58:06 »
Trouvé, en effet il ne faut pas la mettre en none.
Serveur :
Citer
# Serveur TCP/443
mode server
proto udp
port 443
dev tun
 
# Clés certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher none

# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
 
# Sécurité
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
 
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log

Client :
Citer
# Client
client
dev tun
proto udp
remote 81.28.200.100 443
resolv-retry infinite
cipher none
 
# Clé
ca ca.crt
cert Rpi.crt
key Rpi.key
tls-auth ta.key 1
key-direction 1
 
# Sécurité
nobind
persist-key
persist-tun
comp-lzo
verb 3

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 871
  • Brest (29)
    • Maroquinerie Bysance
Paramètrage d'OpenVPN : cipher et auth.
« Réponse #11 le: 31 octobre 2014 à 21:59:35 »
Je test ça dans 1h ! Merci beaucoup :D
EDIT : faut-il régénérer les clefs?

 

Mobile View