Обновление OpenVPN с 2.5.6 до 2.6.12, удалена опция key-method 2, устройство IOS не может подключиться после этого.

Вопрос или проблема

Я новичок в OpenVPN и пытаюсь обновить OpenVPN с версии 2.5.6 до 2.6.12. Опция key-method 2 устарела (исправление – опция key-method 2 удалена) в версии 2.5, поэтому я удалил эту опцию из файла server.conf, и теперь я не могу подключиться к VPN на устройстве iOS, однако устройство Android все еще может подключаться с конфигурацией, указанной ниже. Пожалуйста, помогите мне найти альтернативу key-method 2.

Вот файл server.conf

dev tun
dev-node VPNT
topology subnet
port 8114
proto udp
persist-key 
persist-tun 
server  10.1.0.224 255.255.255.224
keepalive 60 300
plugin "C:\\tls-plugin.dll"
log-append "C:\\ProgramData\\VPN\\log4c.conf"
status "C:\\ProgramData\\VPN\\vpn-status.log" 47
ca "C:\\ProgramData\\VPN\\ca.crt"
cert "C:\\ProgramData\\VPN\\server.crt"
key "C:\\ProgramData\\VPN\\server.key"
tls-auth "C:\\ProgramData\\VPN\\TA.key"
auth SHA256
dh "C:\\ProgramData\\VPN\\dh2048.pem"
push "redirect-gateway def1 bypass-dhcp "
push "dhcp-option DNS 8.8.8.8"
comp-lzo 
management 127.0.0.1 56834
tls-timeout 3
cipher AES-256-CBC
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA256


#BEGIN_CUSTOM_SETTINGS

verb 6

#END_CUSTOM_SETTINGS

На VPN-сервере зарегистрирована следующая ошибка.

 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

Невозможно. key-method был удален, потому что он вводил уязвимость в OpenVPN. Он был удален окончательно.

Кроме того, он использовался только для совместимости с древними (до 2.0) версиями, так что вам, вероятно, это никогда не было нужно. Я, например, никогда этого не использовал, но мои устройства Apple все еще работают отлично, так что я могу подтвердить, что в этом определенно нет необходимости.

Также он не был устаревшим, а удален в версии 2.5 (по крайней мере, man openvpn версии 2.5.1 об этом говорит).

Обновите свои клиенты или, возможно, обновите их конфигурации, чтобы они не зависели от этой опции.

Еще одна опция, которую вы используете, которая устарела, не выполняется и будет удалена, это comp-lzo. Сжатие делает шифрование уязвимым. Я рекомендую вам тоже удалить это, чтобы не оказаться в подобной ситуации в будущем.

Ответ или решение

Вопрос: Как обновить OpenVPN с версии 2.5.6 до 2.6.12, если опция key-method 2 была удалена, и iOS-устройства не могут подключиться после этого, а Android-устройства продолжают работать?

Введение
Обновление OpenVPN может приводить к различным проблемам совместимости, особенно при наличии устаревших настроек. В данном случае, удаление опции key-method 2 в версии 2.5 является критическим изменением, которому должны соответствовать как конфигурация сервера, так и клиентские устройства. В этом ответе мы рассмотрим причины проблемы и предложим решения для устранения неполадок подключения iOS-устройств.

Проблема
Согласно предоставленной информации, после удаления опции key-method 2 из файла конфигурации сервера OpenVPN, iOS-устройства не могут подключаться к серверу, в то время как устройства на Android продолжают работать без проблем. Ошибка, получаемая на сервере, указывает на сбой TLS-ключа (TLS key negotiation failed), что может свидетельствовать о проблемах с настройками, несовместимостью клиентского ПО или неправильно настроенными сертификатами.

Разбор конфигурации
Настройка вашего сервера OpenVPN выглядит вполне стандартной. Однако стоит учитывать несколько моментов:

Удаление опции key-method 2: Эта опция использовалась для совместимости с устаревшими версиями OpenVPN и была удалена из-за ее уязвимости. Это значит, что вам не нужно беспокоиться о ее замене, но стоит убедиться, что все клиенты используют актуальные версии программного обеспечения.
Проверка клиентских приложений: Убедитесь, что вы используете последнюю версию OpenVPN на ваших iOS-устройствах, так как старые версии могут не поддерживать новые изменения в сервере. Рекомендуется обновить приложение OpenVPN как на iOS, так и на Android.
Настройки шифрования и сжатия:
- Ваша конфигурация содержит опцию comp-lzo, которая также считается устаревшей и может быть удалена из будущих версий OpenVPN. Хотя она не связана с вашей текущей проблемой, её удаление повысит безопасность.
- Рекомендуется использовать только современное шифрование. Ваша конфигурация использует шифр AES-256-CBC, который является хорошим выбором, но перед обновлением клиенты должны поддерживать этот алгоритм.
Проблемы с сертификатами: Убедитесь, что все сертификаты (CA, серверный сертификат и ключ) и файлы аутентификации актуальны и правильно установлены на клиентских устройствах. Выпуск новых сертификатов может потребоваться после обновления.

Рекомендации по устранению неполадок

Проверьте журналы: Изучите журналы на клиентских устройствах для получения более подробной информации о причине сбоя при подключении.
Параметры маршрутизации: Проверьте опцию push "redirect-gateway def1 bypass-dhcp" на корректность. Убедитесь, что не возникли конфликты при маршрутизации.
Используйте более простой набор параметров: На время устранения неполадок попробуйте отключить дополнительные параметры, такие как tls-auth и comp-lzo, для упрощения процесса подключения.
Тестируйте другие параметры шифрования: Попробуйте протестировать разные параметры TLS и шифрования, указав их в конфигурационных файлах, чтобы проверить, не влияет ли это на подключение.
Свяжитесь с поддержкой: Если проблема сохраняется, рассмотрите возможность обращения в службу поддержки OpenVPN, предоставив им все необходимые логи и описание проблемы.

Заключение
Обновление OpenVPN — это сложный процесс, требующий уделять внимание деталям. Убедитесь, что вы используете актуальные версии клиентского программного обеспечения, проверяйте настройки сервера и клиентские сертификаты, а также тестируйте разные параметры конфигурации. Следуя этим шагам, вы сможете решить проблемы с подключением iOS-устройств и обеспечить надежную работу вашего VPN-сервера.