1. Home
  2. pfSense International Support
  3. Deutsch
  4. OpenVPN 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

OpenVPN 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

  • S 

     Jul 17 15:14:04 	openvpn 	94174 	xxx.xxx.xxx.xxx:38863 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

    Wie ist diese Warnung zu verstehen bzw. welcher Cipher wird in so einem Fall eingesetzt?
    Die Log ist vom OpenVPN Server, der Client ist ein Android.

    0
  • Pippin

    Server log mit verbosity 4 bitte.

    0
  • JeGr
    LAYER 8 Moderator

    @slu said in OpenVPN 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC':

    Wie ist diese Warnung zu verstehen bzw. welcher Cipher wird in so einem Fall eingesetzt?

    Die Meldung ist doch ganz klar definiert?

    Dein Client will -GCM nutzen, dein Server hat nur -CBC definiert/im Angebot. Das ist nicht OK. Darum Warnung :)

    Macht sowieso Sinn, einfach alle Server/Client ohne NCP Geraffels zu konfigurieren und einfach alles auf AES-xxx-GCM zu konfigurieren. AEAD Cipher sind einfach leichtgewichtiger als CBC, da kommt ggf. dann doch ein bisschen mehr Performance bei rum.

    0
  • S

    Was mir einfach nicht klar ist, die VPN Verbindung kommt ja zustande, nur mit welchem Cipher?
    ..ok das Loglevel kann ich am Wochenende mal etwas hochschrauben, gute Idee.

    0
  • Pippin

    Verbosity 3 sollte auch ausreichen um zu sehen welches cipher ermittelt wurde.
    Du wirst NCP nutzen weil die verbindung zustande kommt, also wird AES-256-GCM das cipher sein.

    So, jetzt muss ich erst mal das Deutsche worterbuch im browser installieren :)

    0
  • JeGr
    LAYER 8 Moderator

    Wenn die Verbindung zustande kommt steht auch im Log (zumindest bei verb 3 - 4 ist IMHO zu viel) mit was. Ich vermute da hast du am Client oder Server mal was geändert und das nicht angepasst und jetzt besteht die Diskrepanz. Wenn NCP an wäre und auf der anderen Seite aus, müsste er eigentlich über die Option meckern, dass die async gesetzt ist.

    Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :)

    0 S 1 Reply
  • S

    Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :)

    Ja sobald ich die Geräte in die Hände bekomme.

    Ihr hatte recht, es wird AES256-GCM verwendet auch wenn das Smartphone meckert.
    Das bedeutet erstmal ich kann am Server den Cipher hoch schrauben ohne bei den Smartphones Probleme zu bekommen.

    Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512'
Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'
    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy