Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    OpenVPN 2.4.x (Client + Server) NCP Cipher-suites

    Deutsch
    3
    3
    532
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Exordium
      Exordium last edited by

      Nach der Umstellung der pfSense auf 2.4.0 setzen wir jetzt auch flächendeckend nur noch 2.4.x als OpenVPN Server und Clients ein.

      Gibt es hinsichtlich der ganzen Cipher-Suites eine Empfehlung? Passt der Standard so?

      Der vorherige 2.3 Server hatte noch AES 256-CBC drin. Jetzt hat es hier gefühlte 1000 Cipher-Suites zur Auswahl die mittels NCP aktiviert werden können.

      - pfSense Gold Subscriber -

      Sense 1: Shuttle DS57U3 (private)
      Sense 2: Supermicro Atom Barebone (Company Test)
      Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office)

      1 Reply Last reply Reply Quote 0
      • Pippin
        Pippin last edited by

        NCP wird automatisch das höchste cipher wählen die beide seiten unterstützen.
        Wan also alle Clients OpenVPN Version 2.4 oder höher sind wird AES-256-GCM gewahlt.

        Brauchst dafür nichts zu tun.

        I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
        Halton Arp

        1 Reply Last reply Reply Quote 0
        • JeGr
          JeGr LAYER 8 Moderator last edited by

          ich würde hier jetzt - wenn die Clients es unterstützen (also alle 2.4 sind) - auf AES-GCM-256 gehen mit SHA384. GCM wird mehr aus AES-NI herausholen können und daher die CPU nicht so stark belasten wie CBC - wie es auch schon bei IPSec war. Damti man aber nicht alle Clients auf einmal rekonfigurieren muss, kann man via NCP jetzt eben beides hinterlegen - das was bislang aktiv ist und das neue - so dass man das schön umstellen kann ohne jemand bei der Verbindung plötzlich abzusägen :)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post