Support-Forum

VPN mit TLS 1.2

Fragen zu den Basis-Schutzfunktionen der TrutzBox. Fragen zum Betriebssystem, Netzwerk, WLAN, zur Firewall, VPN (Remote-Zugriff) und zum Virenscanner.
Hallo,

um die Sicherheit der Verbindung weiter zu erhöhen, würde ich anstelle von TLS 1.0 gerne TLS 1.2 verwenden. Wenn ich bei meinem OpenVPN Client (unter iOS 10) als Minimum TLS 1.2 vorgebe, bekomme ich bei Aufnahme der Verbindung aber die Fehlermeldung "Server TLS version is too low".

Was kann ich tun?
Die TrutzBox hat die aktuelle openvpn version 2.3.4 installiert und diese unterstützt auch tls 1.2
Im internet wird aber auch von problemen berichtet und die 256 bit variante funktioniert wohl noch nicht.

Laut Internet-Foren könnte folgender Eintrag in Server- und in Client-conf helfen:
tls-version-min 1.2

Auf dem Server (TrutzBox) findet man das conf-File unter hier: /etc/openvpn/server.conf

Das wird aber nur mit der aktuellen OpenVPN-Client Version funktionieren, ist nicht abwärts kompatibel und funktioniert wohl auch nur mit dem 128 Bit cipher.

Ihr Comidio Support
Hm, zwar gelingt es mir, mich auf der Trutzbox über SHH (mittels FlashFXP) einzuloggen und die "/etc/openvpn/server.conf" entsprechend zu editieren, nur lässt sich die Datei dann leider nicht speichern.

Also wie kann ich die Datei wie gewünscht am besten abändern?

Bei dem Versuch, diese Frage mir selbst zu beantworten, habe ich unter "Erweiterte Einstellungen" > "System-Start und -Stop" > "openvpn" markiert und auf den Button "Stoppe ausgewählte" gedrückt und das System neu gestartet. Aber auch dann ließ sich "/etc/openvpn/server.conf" nicht neu speichern - und darüber hinaus lässt sich OpenVPN (bzw. "openvpn") nun auch nicht mehr dazu bewegen, nach dem Systemstart automatisch zu starten. :( Mit dem Button "Aktiviere ausgewählte zur Bootzeit" hat es zumindest nicht funktioniert (auch wenn "openvpn" jetzt auf "Ja" steht). Ich muss jetzt also nach dem Systemstart immer erst "openvpn" markieren und den Button "Starte ausgewählte" drücken, um OpenVPN nutzen zu können. Tut mir leid, aber was kann ich denn nun tun, damit OpenVPN wieder automatisch startet? :?
Evtl. haben beim Aufruf des Editors per Shell die entsprechenden Root-Rechte gefehlt. Root-Rechte für einen Befehl bekommt man, indem man den Befehl mit sudo aufruft.

Sie können die configuration am besten im filemanager ändern. Das geht unter erweiterte Einstellungen - system - filemanager. Dann dort das file auswählen und mit dem anklicken auf den Bleistift editieren.
Dann versuchen Sie bitte, ob openvpn beim booten der TrutzBox startet. Wenn nicht, ist ebenfalls unter erweiterte Einstellungen - system das Modul "system start stop" zu finden. Dort nachsehen ob openvpn noch bei Systemstart gestartet wird, ansonsten openvpn anklicken und bei Systemstart anwählen.

Wir unterstützen allerdings nur die standardkonfiguration, daher bitte nicht zuviel experimentieren da sonst die trutzbox insgesamt schaden nehmen kann. Dann bleibt nur noch ein Reset auf Auslieferungs-Zustand.

Ihr Comidio Support
Sie können die configuration am besten im filemanager ändern. Das geht unter erweiterte Einstellungen - system - filemanager. Dann dort das file auswählen und mit dem anklicken auf den Bleistift editieren.
Vielen Dank für den Tipp! Hat auf diesem Wege bestens geklappt! :)

Habe dann folgenden Block in die "server.conf" (der TrutzBox) und die "*.ovpn" (des iPhones) eingefügt:

Code: Alles auswählen

# Custom settings
tls-version-min 1.2
cipher AES-128-CBC
auth SHA256
Mein VPN (mit APU1 ohne AES-NI) gibt sich damit gefühlt ebenso zuverlässig und performant wie mit der Standard-Konfiguration. Sollte sich daran in den kommenden Tagen noch etwas ändern, gebe ich erneut eine kurze Rückmeldung. Für die, die es interessiert, hier noch die entsprechenden Logdatei-Abschnitte seitens OpenVPN Connect (Version 1.1.1 für iOS):

Standard-Konfiguration

Code: Alles auswählen

2017-02-20 23:05:29 SSL Handshake: TLSv1.0/TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA
2017-02-20 23:05:29 Session is ACTIVE
[...]
2017-02-20 23:05:29 PROTOCOL OPTIONS:
  cipher: BF-CBC
  digest: SHA1
Gehärtete Konfiguration

Code: Alles auswählen

2017-02-20 23:53:44 SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
2017-02-20 23:53:44 Session is ACTIVE
[...]
2017-02-20 23:53:44 PROTOCOL OPTIONS:
  cipher: AES-128-CBC
  digest: SHA256
 
Dann versuchen Sie bitte, ob openvpn beim booten der TrutzBox startet. Wenn nicht, ist ebenfalls unter erweiterte Einstellungen - system das Modul "system start stop" zu finden. Dort nachsehen ob openvpn noch bei Systemstart gestartet wird, ansonsten openvpn anklicken und bei Systemstart anwählen.
Eben das hatte ich wie beschrieben ja schon versucht, leider ohne Erfolg. Habe dann aber auch nicht mehr lange rumprobiert, sondern die Trutzbox wieder in den Auslieferungszustand zurückversetzt. Damit funktioniert der automatische Start von OpenVPN natürlich wieder wie gehabt. Das nächste Mal versuche ich es besser gleich mit dem Filemanager. ;)