OpenVPN 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

slu

 Jul 17 15:14:04 	openvpn 	94174 	xxx.xxx.xxx.xxx:38863 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

Wie ist diese Warnung zu verstehen bzw. welcher Cipher wird in so einem Fall eingesetzt?
Die Log ist vom OpenVPN Server, der Client ist ein Android.

Pippin

Server log mit verbosity 4 bitte.

JeGr

@slu said in OpenVPN 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC':

Wie ist diese Warnung zu verstehen bzw. welcher Cipher wird in so einem Fall eingesetzt?

Die Meldung ist doch ganz klar definiert?

Dein Client will -GCM nutzen, dein Server hat nur -CBC definiert/im Angebot. Das ist nicht OK. Darum Warnung :)

Macht sowieso Sinn, einfach alle Server/Client ohne NCP Geraffels zu konfigurieren und einfach alles auf AES-xxx-GCM zu konfigurieren. AEAD Cipher sind einfach leichtgewichtiger als CBC, da kommt ggf. dann doch ein bisschen mehr Performance bei rum.

slu

Was mir einfach nicht klar ist, die VPN Verbindung kommt ja zustande, nur mit welchem Cipher?
..ok das Loglevel kann ich am Wochenende mal etwas hochschrauben, gute Idee.

Pippin

Verbosity 3 sollte auch ausreichen um zu sehen welches cipher ermittelt wurde.
Du wirst NCP nutzen weil die verbindung zustande kommt, also wird AES-256-GCM das cipher sein.

So, jetzt muss ich erst mal das Deutsche worterbuch im browser installieren :)

JeGr

Wenn die Verbindung zustande kommt steht auch im Log (zumindest bei verb 3 - 4 ist IMHO zu viel) mit was. Ich vermute da hast du am Client oder Server mal was geändert und das nicht angepasst und jetzt besteht die Diskrepanz. Wenn NCP an wäre und auf der anderen Seite aus, müsste er eigentlich über die Option meckern, dass die async gesetzt ist.

Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :)

slu

Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :)

Ja sobald ich die Geräte in die Hände bekomme.

Ihr hatte recht, es wird AES256-GCM verwendet auch wenn das Smartphone meckert.
Das bedeutet erstmal ich kann am Server den Cipher hoch schrauben ohne bei den Smartphones Probleme zu bekommen.

Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512'
Jul 20 13:25:24 	openvpn 	65019 	xxx.xxx.xxx.xxx:5041 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'