Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 3 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      slu
      last edited by

       Jul 17 15:14:04 	openvpn 	94174 	xxx.xxx.xxx.xxx:38863 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'
      

      Wie ist diese Warnung zu verstehen bzw. welcher Cipher wird in so einem Fall eingesetzt?
      Die Log ist vom OpenVPN Server, der Client ist ein Android.

      pfSense Gold subscription

      1 Reply Last reply Reply Quote 0
      • PippinP
        Pippin
        last edited by

        Server log mit verbosity 4 bitte.

        I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
        Halton Arp

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by JeGr

          @slu said in OpenVPN 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC':

          Wie ist diese Warnung zu verstehen bzw. welcher Cipher wird in so einem Fall eingesetzt?

          Die Meldung ist doch ganz klar definiert?

          Dein Client will -GCM nutzen, dein Server hat nur -CBC definiert/im Angebot. Das ist nicht OK. Darum Warnung :)

          Macht sowieso Sinn, einfach alle Server/Client ohne NCP Geraffels zu konfigurieren und einfach alles auf AES-xxx-GCM zu konfigurieren. AEAD Cipher sind einfach leichtgewichtiger als CBC, da kommt ggf. dann doch ein bisschen mehr Performance bei rum.

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • S
            slu
            last edited by

            Was mir einfach nicht klar ist, die VPN Verbindung kommt ja zustande, nur mit welchem Cipher?
            ..ok das Loglevel kann ich am Wochenende mal etwas hochschrauben, gute Idee.

            pfSense Gold subscription

            1 Reply Last reply Reply Quote 0
            • PippinP
              Pippin
              last edited by

              Verbosity 3 sollte auch ausreichen um zu sehen welches cipher ermittelt wurde.
              Du wirst NCP nutzen weil die verbindung zustande kommt, also wird AES-256-GCM das cipher sein.

              So, jetzt muss ich erst mal das Deutsche worterbuch im browser installieren :)

              I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
              Halton Arp

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Wenn die Verbindung zustande kommt steht auch im Log (zumindest bei verb 3 - 4 ist IMHO zu viel) mit was. Ich vermute da hast du am Client oder Server mal was geändert und das nicht angepasst und jetzt besteht die Diskrepanz. Wenn NCP an wäre und auf der anderen Seite aus, müsste er eigentlich über die Option meckern, dass die async gesetzt ist.

                Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :)

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                S 1 Reply Last reply Reply Quote 0
                • S
                  slu @JeGr
                  last edited by slu

                  Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :)

                  Ja sobald ich die Geräte in die Hände bekomme.

                  Ihr hatte recht, es wird AES256-GCM verwendet auch wenn das Smartphone meckert.
                  Das bedeutet erstmal ich kann am Server den Cipher hoch schrauben ohne bei den Smartphones Probleme zu bekommen.

                  Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
                  Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512'
                  Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC' 
                  

                  pfSense Gold subscription

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.