OpenVPN 无法禁用 -ncp-disable 密码加密

OpenVPN 无法禁用 -ncp-disable 密码加密

如果有人能帮忙,我将不胜感激。我的 OpenVPN 版本是 2.2.1-8,根据

apt-cache show openvpn

根据众多来源,您必须使用 -ncp-disable 才能关闭服务器端的加密。现在我已尝试了以下所有方法(当然是单独和逐一尝试):

ncp-disable
-ncp-disable
--ncp-disable
ncp-disable-
-ncp-disable-
--ncp-disable--
--ncp-disable-
ncp disable
disable ncp
cipher none

但是我重启 openvpn 后,它们都不起作用了。它总是说“启动 VPN 失败”。现在正确的行是什么?我必须将它们放在 vpn.conf 的哪里才能使它们工作?也许在我的 openvpn 版本中应该是完全不同的东西?我会非常感激任何建议,因为我现在完全不知道。

PS 即使没有任何这些线条,它也能正常工作。

PSS 以下是 Nikita 要求的我的配置文件:

Server:
daemon
port 1194
proto udp
dev tun0

ca /etc/openvpn/easy-rsa-first/keys/ca.crt
cert /etc/openvpn/easy-rsa-first/keys/name.com.crt
key /etc/openvpn/easy-rsa-first/keys/name.com.key
dh /etc/openvpn/easy-rsa-first/keys/dh2048.pem 

server 1.2.3.4 255.255.255.0
ifconfig-pool-persist openvpn.dhcp
push "redirect-gateway"
push "dhcp-option DNS 1.2.3.4"
push "dhcp-option DNS 208.67.222.222"

push "route 1.2.3.4 255.255.255.0"

keepalive 10 120
comp-lzo

user myvpn
group myvpn

persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 7
mute 20

#;push "route 192.168.0.0 255.255.255.0"
#;push "route 192.168.173.0 255.255.255.0"

#;client-config-dir ccd
#;route 192.168.40.128 255.255.255.248
#;client-to-client
#;max-clients 3
============================

Client:
float
client
dev tun0
proto udp

remote 1.2.3.4 1194
;redirect-gateway

resolv-retry infinite
nobind
persist-key
persist-tun
ca "ca.crt"
cert "Certificate.crt"
key "Key.key"
auth-nocache

ns-cert-type server
comp-lzo
verb 7
mute 20

答案1

你的 OpenVPN 相当老了。而且ncp-disable不禁用加密。官方OpenVPN 手册说:

--ncp-disable
    Disable "negotiable crypto parameters".
    This completely disables cipher negotiation. 

OpenVPN 在 2.4 版中引入了密码协商,此指令旨在作为调试辅助,以禁用协商并像以前的版本一样工作,以前的版本只使用其中配置的选项cipher,如果缺少该选项,则默认使用BF-CBC。2.3 及以下版本不支持 NCP,因此没有此指令,其使用应该会导致错误。此外,此指令已弃用在 OpenVPN 2.5 和 2.6 中,我认为将在 2.7 中删除。

手册中紧挨着的部分还有一部分直接说明了如何禁用加密:

--cipher alg
    Encrypt data channel packets with cipher algorithm alg.

    The default is BF-CBC, an abbreviation for Blowfish in Cipher Block 
    Chaining mode. When cipher negotiation (NCP) is allowed, OpenVPN 2.4
    and newer on both client and server side will automatically upgrade to 
    AES-256-GCM. See --ncp-ciphers and --ncp-disable for more details on NCP.

    Using BF-CBC is no longer recommended, because of its 64-bit block size. 
    This small block size allows attacks based on collisions, as demonstrated
    by SWEET32. See https://community.openvpn.net/openvpn/wiki/SWEET32 for 
    details. Due to this, support for BF-CBC, DES, CAST5, IDEA and RC2 ciphers 
    will be removed in OpenVPN 2.6.

    To see other ciphers that are available with OpenVPN, use the 
    --show-ciphers option.

    Set alg=none to disable encryption.

您在配置文件中写入:

cipher none

禁用加密。ncp-disable在安装了 OpenVPN 2.4 到 2.6 并打算连接到此服务器的系统上,您可能仍需要使用此选项。我相信无法设置ncp-ciphers none,但我没有检查过。

还要注意。尝试使用随机字符串作为选项永远不会有帮助,如果您不小心碰到了有意义的东西,甚至会造成伤害。手册列出了所有可用的指令,并且还指定在命令行中使用两个破折号(如),但在配置文件中--ncp-disable不使用前导破折号(如)。ncp-disable

我强烈建议始终查阅官方手册第一的,并且只有在不够清楚时才需要查找其他第三方信息。并且始终将这些信息与官方手册进行核对,官方手册在类 Unix 系统上可用,并且man openvpn与所用版本相对应。

答案2

哎呀……我真是笨蛋。反过来做的话就没什么了。我只是添加了另一个密码而不是关闭加密。看来在这些旧版本中根本无法关闭它。无论如何我都找不到它的方法……

因此,对我来说,诀窍是将这两个添加到我的 openvpn.vpn 配置文件服务器端,如下所示:

cipher AES-256-CBC
cipher CBC

前门关着,但后门开着,所以我进去了,而且成功了。

相关内容