OpenVPN 2.4.x (Client + Server) NCP Cipher-suites

Exordium

Nach der Umstellung der pfSense auf 2.4.0 setzen wir jetzt auch flächendeckend nur noch 2.4.x als OpenVPN Server und Clients ein.

Gibt es hinsichtlich der ganzen Cipher-Suites eine Empfehlung? Passt der Standard so?

Der vorherige 2.3 Server hatte noch AES 256-CBC drin. Jetzt hat es hier gefühlte 1000 Cipher-Suites zur Auswahl die mittels NCP aktiviert werden können.

Pippin

NCP wird automatisch das höchste cipher wählen die beide seiten unterstützen.
Wan also alle Clients OpenVPN Version 2.4 oder höher sind wird AES-256-GCM gewahlt.

Brauchst dafür nichts zu tun.

JeGr

ich würde hier jetzt - wenn die Clients es unterstützen (also alle 2.4 sind) - auf AES-GCM-256 gehen mit SHA384. GCM wird mehr aus AES-NI herausholen können und daher die CPU nicht so stark belasten wie CBC - wie es auch schon bei IPSec war. Damti man aber nicht alle Clients auf einmal rekonfigurieren muss, kann man via NCP jetzt eben beides hinterlegen - das was bislang aktiv ist und das neue - so dass man das schön umstellen kann ohne jemand bei der Verbindung plötzlich abzusägen :)