Suppression compression (déconseillée car risque d'attaque) + MàJ cipher aes
This commit is contained in:
parent
bfcd4fb974
commit
df1e7da934
|
@ -68,8 +68,7 @@ dev tun
|
|||
mode server
|
||||
keepalive 10 120
|
||||
|
||||
cipher AES-128-CBC # AES
|
||||
compress lzo
|
||||
cipher AES-256-GCM # AES
|
||||
|
||||
persist-key
|
||||
persist-tun
|
||||
|
@ -106,7 +105,6 @@ verb 3
|
|||
user nobody
|
||||
group nobody
|
||||
chroot /var/empty
|
||||
compress lzo
|
||||
|
||||
max-clients 50
|
||||
keepalive 15 120
|
||||
|
@ -135,7 +133,7 @@ crl-verify /etc/shellpki/crl.pem
|
|||
log-append /var/log/openvpn.log
|
||||
status /var/log/openvpn-status.log
|
||||
|
||||
cipher AES-128-CBC # AES
|
||||
cipher AES-256-GCM # AES
|
||||
|
||||
#fragment 1350
|
||||
#mssfix
|
||||
|
@ -234,7 +232,6 @@ proto udp
|
|||
tls-client
|
||||
remote vpn.example.com 1194
|
||||
|
||||
compress lzo
|
||||
nobind
|
||||
user nobody
|
||||
group nogroup
|
||||
|
@ -242,7 +239,7 @@ group nogroup
|
|||
persist-key
|
||||
persist-tun
|
||||
max-routes 1000
|
||||
#cipher AES-128-CBC
|
||||
#cipher AES-256-GCM
|
||||
|
||||
<ca>
|
||||
-----BEGIN CERTIFICATE-----
|
||||
|
@ -353,7 +350,7 @@ $ openssl pkcs12 -export -in goyk3OkjeuPread8Sluld.privacy.example.com.crt -inke
|
|||
|
||||
* décocher « Compression LZO » si ce n'est pas supporté par votre serveur ;
|
||||
* décocher « Vérification du certificat de l'hôte » (sinon cela ne fonctionne pas a priori…) ;
|
||||
* forcer « Algorithme de chiffrement » à AES-128-CBC (à ajuster selon votre serveur).
|
||||
* forcer « Algorithme de chiffrement » à AES-256-GCM (à ajuster selon votre serveur).
|
||||
|
||||
Si erreur `ca md too weak` cela signifie que le certificat utilise du MD5. Pour forcer quand même, il faut mettre dans les options personnalisées :
|
||||
|
||||
|
|
Loading…
Reference in a new issue