openvpn: Verschlüsselungsstatus prüfen

[LinkASyn]

Hi!

Ich habe in der Konfig-Datei auf meiner DS die Verschlüsselung AES-256 explizit angegeben. Kann ich irgendwie prüfen, ob die Verschlüsselung jetzt wirklich mit AES-256 und nicht mit AES-128 abläuft?

Danke für Hinweise!

 

[Frogman]

Schau mal in das Log Deines VPN-Clients - dort gibt es dann irgendwo ein SSL-Handshake "TLSxx/Algorithmus".
Für Algorithmus findest Du die explizit verwendete Cipher, bspw. in meinem Fall 'TLS-DHE-RSA-WITH-AES-256-CBC-SHA'.

 

[LinkASyn]

Habs gerade mal eben schnell gemacht. Da stand dann, dass die Konfigurationsdateien inkonsitent seien und beim Server AES-256-CBC angebenen sei und beim Client etwas anderes (hab vergessen was ). Jetzt hab ich in der Client-Konfigdatei die Angabe angepasst und find jetzt in der Log-Datei keinen Hinweis mehr auf die Verschlüsselung. Es läuft aber sauber durch. Kein Error, nur 2 Warnungen, dass "this configuration may cache passwords in memory".

Hab ich da was offensichtliches übersehn?

 

[Frogman]

Ist auch der aktuellste openvpn client.

??

 

[LinkASyn]

Streich den Satz. ;-) Wollte damit eigentlich nur sagen, dass ich mir clientseitig die aktuelleste Version am laufen habe. Nicht dass es am Ende nur daran liegt, dass wir unterschiedliche Versionen haben.

Kannst Du denn mit dem Rest was anfangen oder bist Du auch irritiert?

 

[Frogman]

Das Fragezeichen ist als Hinweis gedacht, dass mir das zu wenige Informationen sind... - keine Hinweise welche Apps, welche Versionen, welche Konfig.

 

[LinkASyn]

Serverseitig:
DSM 5.0
App VPN Server 1.2-2415

Clientseitig:
openVPN Client 2.3.4
openVPN GUI

Nach der Installation auf der Synology hab ich nur die Verschlüsselungsart explizit eingetragen. Sonst ist alle Standard.
Und am Client hab ich gar nix gemacht.

Im Grunde ist alles noch so ziemlich auf den Standardwerten. Reichen Dir die Infos?

 

[Frogman]

Nach der Installation auf der Synology hab ich nur die Verschlüsselungsart explizit eingetragen.

Du meinst, dass Du in die openvpn.conf die AES-256 per Hand eingetragen hast? Du solltest das dann zur Vollständigkeit auch in die Client-Konfig eintragen (oben erwähntest Du ja, dass die Client-Konfig als inkonsistent gemeldet wurde).

EDIT
Eine Alternative wäre, dass Du in der SSL-Konfiguration der DS die verwendeten Ciphern komplett beschränkst auf sichere Varianten inkl. PFS. Hier findest Du dazu mehr Infos.
Bei geeigneter Auswahl der Einschränkungen brauchst Du im VPN-Server und -Client keine weiteren Einstellungen vornehmen, da dann überhaupt nur die sicheren Ciphern (DHE-AES) vom Server angeboten werden.

 

[LinkASyn]

In der Konfig-Datei hatte ich die gleiche Verschlüsselung eingetragen. Danach hatte ich bzgl. der Verschlüsselung in der Log-Datei nichts mehr sehen können.
Ich vermute, dass er jetzt mit AES-256 verschlüsselt, aber ich weiß es nicht. Vielleicht macht er was anderes und ich glaub nur, dass er meine Einstellungen angenommen hat. Blödes Gefühl.

Gibt es denn noch einen anderen Ort oder eine andere Log-Datei? Vielleicht auf der DS selbst? Und wenn ja, wo ist die dann?

Den Link, den Du angegeben hast, schaue ich mir mal an. Dank Dir!

 

[Frogman]

In der Konfig-Datei hatte ich die gleiche Verschlüsselung eingetragen. Danach hatte ich bzgl. der Verschlüsselung in der Log-Datei nichts mehr sehen können.

Naja, oben in Post #7 hattest Du geschrieben, den Client unverändert gelassen zu haben... was denn nun?

Wenn Client und Server auf die gleiche Cipher konfiguriert sind, muss über den Handshake keine Aushandlung mehr stattfinden - und deshalb taucht vermutlich dazu nichts im Log auf.

 

[fpo4711]

Hallo,

wenn Du mehr im Log sehen möchtest dann die Direktive verb anpassen. Für genaue Untersuchungen

verb 11

Alternativ das ganze auf der Serverseite. Hier kann dann auch die Managementconsole herrangezogen werden. Ansonten hast Du ja schon alle Infos von Frogman erhalten.

Gruß Frank

 

[LinkASyn]

Hallo,

wenn Du mehr im Log sehen möchtest dann die Direktive verb anpassen. Für genaue Untersuchungen

verb 11

Alternativ das ganze auf der Serverseite. Hier kann dann auch die Managementconsole herrangezogen werden. Ansonten hast Du ja schon alle Infos von Frogman erhalten.

Gruß Frank

Bingo. Das war es. Danke fpo4711. Nachdem Eintrag von "verb 11" in openvpn.ovpn sehe ich alle Infos in der Log-Datei. Es wird aufgelistet was der Server erwartet und was der Client eingetragen hat. Und bei beiden steht AES-256. Außerdem wird verzeichnet: "Cipher 'AES-256-CBC' initialized with 256 bit key". Aus meiner Sicht läuft die Verbindung jetzt auch wirklich mit AES-256.

Danke aber auch frog für die viele Mühe. Der Link war auch hilfreich. Habe meine Apache Konfig nach deinem Beitrag #29 angepasst und meine Syno getestet. Die Webdienste laufen jetzt mit FS. Die SSLLabs Seite meckert halt nur, dass ich kein Zertifikat habe. Daher mein Ergebnis T, dass mit Zertifikat A wäre.
Ihr habt doch bestimmt auch keine feste IP. Wo habt ihr denn das Zertifikat her?