La Fibre
Télécom => Réseau => 
VPN => Discussion démarrée par: DamienC le 31 octobre 2014 à 21:09:09
-
Bonsoir,
J'ai installé ce-jour un VPN sur mon serveur dédié Online.net tournant sur Debian 7 64 bits. Il s'agit d'OpenVPN.
Je suis raccordé à l'Internet par l'opérateur Orange en FTTH avec le débit de l'offre Jet, c'est à dire 500 / 200 Mbps.
Voici un speedtest de ma connexion, sans le VPN :
(https://www.speedtest.net/result/3871641516.png)
Un autre, avec le VPN réglé sur le cipher AES-256-CBC :
(https://www.speedtest.net/result/3874167441.png)
J'aimerai simplement désactivé le cryptage pour gagner en performance. Je ne cherche pas la sécurisation de mes données.
J'ai déjà tenté pas mal de choses, comme par exemple changer le cipher en "cipher none" dans le server.conf et dans les fichiers configs client, mais la connexion est refusée côté client :
assertion failed at crypto.c
Quelqu'un aurait-il une idée afin d'enlever le cryptage d'OpenVPN?
Cdt,
DamienC
-
"cipher none" marche normalement.
J'ai déjà fais sans problème.
-
Et avec un chiffre plus efficace, et optimisé par le CPU?
-
"cipher none" marche normalement.
J'ai déjà fais sans problème.
Cela m’intéresse ! Aurais-tu ton server.conf sous la main? ainsi que client.conf?
Mon server.conf :
# Serveur TCP/443
mode server
proto tcp
port 8888
dev tun
# Clés certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher AES-256-CBC
# Réseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
# Sécurité
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log
Mon client.conf :
# Client
client
dev tun
proto tcp-client
remote 195.154.X.X 8888
resolv-retry infinite
cipher AES-256-CBC
# Clé
ca ca.crt
cert mon-serveur-vpn.crt
key mon-serveur-vpn.key
tls-auth ta.key 1
key-direction 1
# Sécurité
nobind
persist-key
persist-tun
comp-lzo
verb 3
Quelles valeurs doivent changer ?
-
Il y a une commande à faire pour tester les différentes façons.
Edit : Tu fais sous quel OS ?
J'ai un doute si je l'ai encore.
-
Et avec un chiffre plus efficace, et optimisé par le CPU?
Un chiffre plus efficace ? C'est à dire?
-
Edit : Tu fais sous quel OS ?
J'ai un doute si je l'ai encore.
Mon serveur est sous Debian 7 64 bits et moi je suis sous Windows 7 64 bits
-
J'ai fais cette modification :
# Serveur TCP/443
mode server
proto tcp
port 8888
dev tun
# Clés certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth none
key-direction 0
cipher none
# Réseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
# Sécurité
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log
Mais cela ne fonctionne pas. J'ai changé les valeurs en gras.
-
tls-auth none
Il me semble pas avoir mis celle ligne.
-
Il me semble pas avoir mis celle ligne.
Du coup, il suffit de la supprimer, tout simplement?
Sur ce lien, ils disent qu'il faut mettre l'auth en none..
http://openvpn.net/index.php/access-server/docs/admin-guides/437-how-to-change-the-cipher-in-openvpn-access-server.html (http://openvpn.net/index.php/access-server/docs/admin-guides/437-how-to-change-the-cipher-in-openvpn-access-server.html)
-
Trouvé, en effet il ne faut pas la mettre en none.
Serveur :
# Serveur TCP/443
mode server
proto udp
port 443
dev tun
# Clés certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher none
# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
# Sécurité
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log
Client :
# Client
client
dev tun
proto udp
remote 81.28.200.100 443
resolv-retry infinite
cipher none
# Clé
ca ca.crt
cert Rpi.crt
key Rpi.key
tls-auth ta.key 1
key-direction 1
# Sécurité
nobind
persist-key
persist-tun
comp-lzo
verb 3
-
Je test ça dans 1h ! Merci beaucoup :D
EDIT : faut-il régénérer les clefs?
-
Un chiffre plus efficace ? C'est à dire?
Un chiffrement moins coûteux en CPU.
-
Un chiffrement moins coûteux en CPU.
J'y ai pensé effectivement c'est une bonne idée, mais à encore dès que je change le cipher impossible de se connecter au serveur..
-
Après avoir utilisé ta méthode, TitiDu01, voici le résultat :
(http://img4.hostingpics.net/pics/951156erreurvpn.png)
Mes configs :
Serveur :
# Serveur TCP/443
mode server
proto tcp
port 8888
dev tun
# Clés certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher none
# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
# Sécurité
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log
Client : # Client
client
dev tun
proto tcp-client
remote 195.154.235.158 8888
resolv-retry infinite
cipher none
# Clé
ca ca.crt
cert mon-serveur-vpn.crt
key mon-serveur-vpn.key
tls-auth ta.key 1
key-direction 1
# Sécurité
nobind
persist-key
persist-tun
comp-lzo
verb 3
-
Regarde dans le fichier log il y a plus d'informations
-
Les logs ne se génèrent même pas pour cette erreur :o
-
Ni chez le client, ni chez le serveur ?
-
Côté client, rien de riche à se mettre sous la dent..
Sat Nov 01 00:17:39 2014 OpenVPN 2.3.5 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Oct 28 2014
Sat Nov 01 00:17:39 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.05
Enter Management Password:
Sat Nov 01 00:17:39 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Nov 01 00:17:39 2014 Need hold release from management interface, waiting...
Sat Nov 01 00:17:39 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Nov 01 00:17:39 2014 MANAGEMENT: CMD 'state on'
Sat Nov 01 00:17:39 2014 MANAGEMENT: CMD 'log all on'
Sat Nov 01 00:17:39 2014 MANAGEMENT: CMD 'hold off'
Sat Nov 01 00:17:39 2014 MANAGEMENT: CMD 'hold release'
Sat Nov 01 00:17:39 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Nov 01 00:17:42 2014 MANAGEMENT: CMD 'password [...]'
Sat Nov 01 00:17:42 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sat Nov 01 00:17:42 2014 ******* WARNING *******: null cipher specified, no encryption will be used
Sat Nov 01 00:17:42 2014 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sat Nov 01 00:17:42 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 01 00:17:42 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 01 00:17:42 2014 MANAGEMENT: Client disconnected
Sat Nov 01 00:17:42 2014 Assertion failed at crypto_openssl.c:523
Sat Nov 01 00:17:42 2014 Exiting due to fatal error
Côté serveur, rien du tout !
-
Il n'y a pas un mode verbose à indiquer dans le fichier de conf côté serveur?
-
Si, il est d'ailleurs bien activé. Je reçois les logs quand je suis en mode d'encryption mais pas quand je suis en mode cipher none.. Je suis bien embêté pour le coup :/
-
Hello,
Désolé du déterrage... Mais avez-vous finalement trouvé la solution ?
J'aimerais moi aussi désactivé le cryptage pour gagner en bande passante :)
-
Hello,
Désolé du déterrage... Mais avez-vous finalement trouvé la solution ?
J'aimerais moi aussi désactivé le cryptage pour gagner en bande passante :)
J'ai pas retenté depuis... :/
-
D'ac pas de soucis merci :)
-
Hello !
Je reup le sujet !
Pas de nouvelle ? :-\
Merci
-
Moi je dirais que normalement y a pas de problème avec le cryptage, etc (sur des processeurs récent)
J'ai un Server VPN sur une plateforme ARM et ça dépote comme je veux.
Par contre tu veux gagner en perf passe en UDP au lieu de TCP
Et aussi si server Linux et Client Windows, vérifier que le MTU est bien synchro ..
-
La chute parait vraiment brutale :o
C'est vraiment le chiffrement qui ferait ça ? Ça parait très étrange quand même.
-
A ajouter dans la config serveur:
sndbuf 0
rcvbuf 0
Sans ça, le débit est foireux.