OpenVPN 2.4.x (Client + Server) NCP Cipher-suites
-
Nach der Umstellung der pfSense auf 2.4.0 setzen wir jetzt auch flächendeckend nur noch 2.4.x als OpenVPN Server und Clients ein.
Gibt es hinsichtlich der ganzen Cipher-Suites eine Empfehlung? Passt der Standard so?
Der vorherige 2.3 Server hatte noch AES 256-CBC drin. Jetzt hat es hier gefühlte 1000 Cipher-Suites zur Auswahl die mittels NCP aktiviert werden können.
-
NCP wird automatisch das höchste cipher wählen die beide seiten unterstützen.
Wan also alle Clients OpenVPN Version 2.4 oder höher sind wird AES-256-GCM gewahlt.Brauchst dafür nichts zu tun.
-
ich würde hier jetzt - wenn die Clients es unterstützen (also alle 2.4 sind) - auf AES-GCM-256 gehen mit SHA384. GCM wird mehr aus AES-NI herausholen können und daher die CPU nicht so stark belasten wie CBC - wie es auch schon bei IPSec war. Damti man aber nicht alle Clients auf einmal rekonfigurieren muss, kann man via NCP jetzt eben beides hinterlegen - das was bislang aktiv ist und das neue - so dass man das schön umstellen kann ohne jemand bei der Verbindung plötzlich abzusägen :)