- État Nouveau
- Pourcentage achevé
- Type Évolution
- Catégorie Services locaux → Serveur VPN
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Moyenne
- Priorité Très Basse
- Basée sur la version 3.5.2
- Due pour la version Non décidée
-
Échéance
Non décidée
-
Votes
2
- Raptor039 (12/12/2018)
- Neustradamus (19/09/2018)
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par DCL - 15/09/2018
Ouverte par DCL - 15/09/2018
FS#22839 - openvpn tls-crypt
Merci d’ajouter la possibilité d’utiliser “tls-crypt” au lieu de “tls-auth”.
La connexion est ainsi cryptée en TLS dès le départ, ce qui améliore la sécurité mais permet aussi de ne pas être différenciable d’une connexion https pour du DPI quand on met le serveur vpn sur le port 443.
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
+1 pour la demande !
Lié à https://dev.freebox.fr/bugs/task/22144 + https://dev.freebox.fr/bugs/task/21826 + https://dev.freebox.fr/bugs/task/22563
En fait, la conf actuelle n'utilise même pas tls-auth, ce qui semble pourtant simple à implémenter pour plus de sécurité:
# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn –genkey –secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 # This file is secret
Ça serait un minimum sans mettre à jour openvpn.
Il suffit ensuite de rajouter dans la conf client la fameuse ta.key entre des <tls-auth> avec une option "key-direction 1"
+1 pour la demande !
Lié à https://dev.freebox.fr/bugs/task/22144 + https://dev.freebox.fr/bugs/task/21826 + https://dev.freebox.fr/bugs/task/22563 + https://dev.freebox.fr/bugs/task/22745 + https://dev.freebox.fr/bugs/task/22839 + https://dev.freebox.fr/bugs/task/23610 + https://dev.freebox.fr/bugs/task/23827
Lié également à :
- https://dev.freebox.fr/bugs/task/22996
Je me suis trompé dans le dernier lien : https://dev.freebox.fr/bugs/task/22518
Du neuf en 4.2.3 ?
+1 pour la demande
@tous: Cela semble corrigé en 4.2.5, pourriez-vous mettre à jour vos Freebox Server et le confirmer ?
La balise <tls-crypt> est bien reconnue mais le reste non. In ne reconnait pas par exemple les options
.
Pourtant, ces commandes ont été introduites à la version d'openVPN 2.4.0 donc c'est pas cohérent qu'il soit indiqué que la Freebox utilise la 2.4.7.
Résultat, toujours pas possible de me connecter à mon VPN.
@mbizon: Il semblerait qu'il y ait un gros problème dans les Freebox, OpenVPN 2.4.7 (pas à jour, idem pour OpenSSL) n'est pas bien implémenté.
@kaisernet: Il serait bien d'en parler ici aussi :
- https://dev.freebox.fr/bugs/task/25817
@mbizon: OpenVPN Changelog 2.4.x : https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24 → CVE-2020-11810
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11810 - https://community.openvpn.net/openvpn/ticket/1272
OpenSSL CVEs :
- https://www.openssl.org/news/vulnerabilities.html
Il serait bien de corriger toutes les failles de sécurité
Ce bug concerne le "Serveur" Openvpn, de ce que j'ai compris le correctif ne devrait concerner que le "Client" Openvpn
Oui OpenVPN suivant la configuration voulu à un côté serveur ou un côté client sur le Server, il faut bien sûr que toutes les possibilités fonctionnent correctement partout.
@mbizon: Avez-vous regardé ce ticket ?
OpenVPN 2.5.0 RC3 (2020-10-15) :
- https://openvpn.net/
- https://github.com/OpenVPN/openvpn/releases
Voir toutes les améliorations de la 2.5.0 presque finale "RC3" dans l'email d'annonce :
- https://sourceforge.net/p/openvpn/mailman/message/37132033/
Overview of changes in OpenVPN v2.5:
- https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn25
Rappel pour la 2.4.x (il manque toujours des options) :
Overview of changes in OpenVPN v2.4:
- https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24
Par la même occasion : tls-crypt-v2
OpenVPN 2.5 is a new major release with many new features:
- Client-specific tls-crypt keys (–tls-crypt-v2)
- ...
Lié à :
- https://dev.freebox.fr/bugs/task/30669
@mbizon, ça devrait évoluer avec ça non ?
OpenVPN 2.5.0 (2020-10-27) :
- https://openvpn.net/
- https://github.com/OpenVPN/openvpn/releases
Email d'annonce de la sortie d'OpenVPN 2.5.0 :
- https://sourceforge.net/p/openvpn/mailman/message/37138737/
OpenVPN 2.5 is a new major release with many new features:
- Client-specific tls-crypt keys (–tls-crypt-v2)
- Added support for using the ChaCha20-Poly1305 cipher in the OpenVPN data channel
- Improved Data channel cipher negotiation
- Removal of BF-CBC support in default configuration
- Asynchronous (deferred) authentication support for auth-pam plugin
- Deferred client-connect
- Faster connection setup
- Netlink support
- Wintun support
- IPv6-only operation
- Improved Windows 10 detection
- Linux VRF support
- TLS 1.3 support
- Support setting DHCP search domain
- Handle setting of tun/tap interface MTU on Windows
- HMAC based auth-token support
- VLAN support
- Support building of .msi installers for Windows
- Allow unicode search string in –cryptoapicert option (Windows)
- Support IPv4 configs with /31 netmasks now
- New option –block-ipv6 to reject all IPv6 packets (ICMPv6)
- MSI installer (Windows)
- The MSI installer now bundles EasyRSA 3, a modern take on OpenVPN CA management
Overview of changes in OpenVPN v2.5:
- https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn25
Rappel pour la 2.4.x (il manque toujours des options dans Freebox OS) :
Overview of changes in OpenVPN v2.4:
- https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24
OpenVPN 2.5.1 (2021-02-24) :
- https://openvpn.net/
- https://github.com/OpenVPN/openvpn/releases
- https://sourceforge.net/p/openvpn/mailman/message/37226597/
Freebox OS 4.3.1 a OpenVPN 2.5.0, est-ce qu'il y a une amélioration ?