OpenVPN не может отключить шифрование

11

И в настройках сервера и клиента я установил:

cipher none
auth none

Следуя этому совету, я также использую UDP-порт 1195.

Когда я запускаю сервер и клиент, я получаю следующие предупреждения:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... что хорошо, но openvpn все еще использует шифрование. Я знаю это, потому что:

1) Я получаю следующее сообщение на стороне сервера при подключении клиента:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Я получаю огромную нагрузку на процессор с обеих сторон

3) Я вижу в Wireshark, что данные зашифрованы

Что еще требуется для отключения шифрования?

openvpn user2449761
источник
1
Не могли бы вы поделиться контекстом использования? Поскольку вы пытаетесь отключить любую аутентификацию и шифрование, использование openvpn может быть сомнительным ... Может быть, даже лучший способ просто инкапсулировать трафик (например, ipip, gre, ...)
Камил J
6
Я просто экспериментирую, пытаясь выяснить, как шифрование влияет на загрузку процессора
user2449761

Ответы:

31

Похоже, что у вас включены согласованные параметры шифрования (NCP). Вы должны указать

ncp-disable

Отключить «оборотные параметры шифрования». Это полностью отключает согласование шифров.

Когда два экземпляра OpenVPN имеют включенный NCP (по умолчанию для последних версий), они договариваются, какой шифр использовать из набора шифров, определенных ncp-шифрами. По умолчанию для этого используется AES-256-GCM: AES-128-GCM, что объясняет, почему вы видите AES-256-GCM в вашем соединении.

user9517
источник
12

Предполагая, что вы используете openvpn 2.4, я полагаю, вам также нужно установить

ПНК-отключение

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Немного предыстории:

Openvpn раньше требовал, чтобы вы вручную настраивали алгоритм шифрования на одно и то же значение на обоих концах. Это, однако, создало проблему, очень затруднило обновление шифрования в существующей многопользовательской VPN. В 2016 году была разработана атака «sweet32», позволяющая при некоторых обстоятельствах восстанавливать открытый текст. На практике это было не совсем легкой атакой, и был способ смягчить ее, не меняя шифр, но это все еще оставалось проблемой.

В Openvpn 2.4 появилась новая функция, включенная по умолчанию для согласования параметров шифрования. Я не уверен, было ли это реакцией на sweet32 или результатом общих опасений по поводу последствий того, чтобы быть эффективно запертым в одном наборе шифров.

Таким образом, когда согласование параметров шифрования включено, параметр «шифр» эффективно действует как запасной вариант, который следует использовать, если другая сторона соединения не поддерживает согласование.

Питер Грин
источник