OpenVPN e MerlinWRT

Navegue suas respostas
0

Meu roteador ASUS pisca com o MerlinWRT. Esta configuração costumava funcionar, no entanto, agora, quando eu me conectar eu recebo, 

$ sudo openvpn ./client1.ovpn
OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Apr 13 2015
UDPv4 link local: [undef]
UDPv4 link remote: [AF_INET]75.108.194.127:1194
TLS_ERROR: BIO read tls_read_plaintext error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed

Como resolvo "SSL3_CHECK_CERT_AND_ALGORITHM: chave dh muito pequena" usando o MerlinWRT.

    
por Evan Carroll 25.06.2015 / 05:26

2 respostas

1

O encadeamento detalhando esse erro pode ser encontrado aqui . Você pode ver o próprio RMerlin (o autor) abordando isso.

RMerlin dá uma solução para corrigir este problema

In the meantime as I said, simply generate a new DH, and paste it on the DH field of your router to replace it. The OpenSSL version you use does not matter, you don't need the newer version to do this.

E o código para gerar a chave ... 

openssl dhparam -out dh.pem 1024
cat dh.pem

Por RMerlin, isso será corrigido ...

When 378.55 is released, which won't be for at least a few weeks, as the current Asus GPL code has numerous issues.

Por algum motivo, esse bug não está no código do MerlinWRT, mas um patch para a biblioteca OpenSSL do cliente ,

As a security improvement, this update also modifies OpenSSL behaviour to reject DH key sizes below 768 bits, preventing a possible downgrade attack.

Embora seja interessante, de acordo com o "Guia de implantação do Diffie-Hellman para TLS" , você pode considerar 2048 bits ou mais strong.

    
por 25.06.2015 / 05:30
0

Apenas um pequeno detalhe. Eu sei que este é um site Linux, mas eu também me deparei com esse problema exato durante meu uso de Windows , mesmo que a chave que eu gerasse fosse 2048bit . Não tenho certeza se é o mesmo, mas openvpn-install-2.3.7-I601-x86_64 não produz o erro, enquanto openvpn-install-2.3.7-I602-x86_64 . A versão mais antiga funcionou. Eu desinstalei o novo, instalei o antigo e estava funcionando novamente. Talvez haja uma reversão que está causando isso?

A mensagem de erro era exatamente a mesma que o OP declarou. Posso sugerir uma versão mais antiga do cliente em seu sistema individual?

O servidor é um Asus RT-AC87u em execução Asuswrt-Merlin com firmware 378.51 .

    
por 30.06.2015 / 22:30

Tags

O kali distro não usa o arquivo / etc / environments? Como empacotar (onde instalar) um pacote de software independente