OpenVPN 2.4.x (Client + Server) NCP Cipher-suites



  • Nach der Umstellung der pfSense auf 2.4.0 setzen wir jetzt auch flächendeckend nur noch 2.4.x als OpenVPN Server und Clients ein.

    Gibt es hinsichtlich der ganzen Cipher-Suites eine Empfehlung? Passt der Standard so?

    Der vorherige 2.3 Server hatte noch AES 256-CBC drin. Jetzt hat es hier gefühlte 1000 Cipher-Suites zur Auswahl die mittels NCP aktiviert werden können.



  • NCP wird automatisch das höchste cipher wählen die beide seiten unterstützen.
    Wan also alle Clients OpenVPN Version 2.4 oder höher sind wird AES-256-GCM gewahlt.

    Brauchst dafür nichts zu tun.


  • LAYER 8 Moderator

    ich würde hier jetzt - wenn die Clients es unterstützen (also alle 2.4 sind) - auf AES-GCM-256 gehen mit SHA384. GCM wird mehr aus AES-NI herausholen können und daher die CPU nicht so stark belasten wie CBC - wie es auch schon bei IPSec war. Damti man aber nicht alle Clients auf einmal rekonfigurieren muss, kann man via NCP jetzt eben beides hinterlegen - das was bislang aktiv ist und das neue - so dass man das schön umstellen kann ohne jemand bei der Verbindung plötzlich abzusägen :)


Log in to reply