OpenVPN이 암호화를 비활성화 할 수 없습니다

서버 및 클라이언트 구성 모두에서 설정했습니다.

cipher none
auth none

이 조언에 따라 UDP 포트 1195도 사용하고 있습니다.

서버와 클라이언트를 시작하면 다음과 같은 경고가 나타납니다.

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

...하지만 여전히 openvpn은 암호화를 사용하고 있습니다. 나는 이것을 알고 있습니다.

1) 클라이언트가 연결할 때 서버 측에 다음 메시지가 나타납니다.

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) 양쪽에 huuuge CPU로드가 발생합니다.

3) Wireshark에서 데이터가 암호화되어 있음을 알았습니다.

암호화를 비활성화하려면 무엇이 더 필요합니까?

NCP (Negotiable Crypto Parameters)가 활성화 된 것 같습니다. 지정해야합니다

ncp-disable

“협상 가능한 암호화 매개 변수”를 비활성화하십시오. 이것은 암호 협상을 완전히 비활성화합니다.

두 개의 OpenVPN 인스턴스에 NCP가 활성화되어 있으면 (최신 버전의 기본값) ncp-ciphers로 정의 된 일련의 암호에서 사용할 암호를 협상합니다. 기본값은 'AES-256-GCM : AES-128-GCM'이며 연결에 AES-256-GCM이 표시되는 이유를 설명합니다.

openvpn 2.4를 실행한다고 가정하면 설정해야합니다.

ncp 비활성화

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

일부 배경 :

Openvpn은 암호화 알고리즘을 양쪽 끝에서 동일한 값으로 수동 구성해야했습니다. 그러나 이로 인해 문제가 발생하여 기존 다중 사용자 VPN에서 암호화를 업그레이드하기가 매우 어려웠습니다. 2016 년에는 "sweet32"라는 공격이 고안되어 일부 상황에서 일반 텍스트를 복구 할 수 있습니다. 실제로 시작하는 것은 쉬운 일이 아니 었으며 암호를 변경하지 않고 완화 할 수있는 방법이 있었지만 여전히 개발과 관련되어있었습니다.

Openvpn 2.4에는 암호화 매개 변수 협상을 위해 기본적으로 활성화 된 새로운 기능이 도입되었습니다. 이것이 sweet32에 대한 반응인지 또는 단일 암호 스위트에 효과적으로 고정되는 의미에 대한 일반적인 우려의 결과인지 확실하지 않습니다.

따라서 암호화 매개 변수의 협상이 활성화 된 경우 연결의 다른 쪽이 협상을 지원하지 않는 경우 "암호"설정이 효과적으로 사용되는 폴백 역할을합니다.