кто-нибудь настраивал OpenVPN для ГОСТовских шифров?

yolki

вроде всё настроил, ключи-сертификаты изготовил, однако канал не устанавливается. Похоже, жалуется на несоответствие шифров
сервер:

dev             tun

port            1194

proto           tcp

status          /var/log/status.log

log             /var/log/openvpn.log

#log-append      /var/log/openvpn.log

verb            3

keepalive       10 120

max-clients     50

persist-key

persist-tun



server          10.119.1.0 255.255.255.0

tls-server



ca              /etc/openvpn/gost/keys/ca.crt

cert            /etc/openvpn/gost/keys/www.greenone.ru.crt

key             /etc/openvpn/gost/keys/www.greenone.ru.key

dh              /etc/openvpn/gost/keys/dh.pem



engine          gost

auth            md_gost94

cipher          gost89

tls-auth       /etc/openvpn/gost/keys/ta.key 0

Клиент:

#

client

dev tun

proto tcp

remote www.greenone.ru

engine gost

cipher gost89

auth md_gost94



tls-remote www.greenone.ru

tls-client

tls-auth /etc/openvpn/keys/ta.key 1





ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/client.crt

key /etc/openvpn/keys/client.key

# Set log file verbosity.

verb 3

log /var/log/openvpn.log

Лог с сервера:

Wed Mar 14 13:45:19 2012 TCP connection established with x.y.z.t:52185

Wed Mar 14 13:45:19 2012 TCPv4_SERVER link local: [undef]

Wed Mar 14 13:45:19 2012 TCPv4_SERVER link remote: x.y.z.t:52185

Wed Mar 14 13:45:20 2012 x.y.z.t:52185 TLS: Initial packet from x.y.z.t:52185, sid=80d4b240 ebe1bfa6

Wed Mar 14 13:45:20 2012 x.y.z.t:52185 TLS_ERROR: BIO read tls_read_plaintext error: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher

Wed Mar 14 13:45:20 2012 x.y.z.t:52185 TLS Error: TLS object -> incoming plaintext read error

Wed Mar 14 13:45:20 2012 x.y.z.t:52185 TLS Error: TLS handshake failed

Wed Mar 14 13:45:20 2012 x.y.z.t:52185 Fatal TLS error (check_tls_errors_co restarting

Wed Mar 14 13:45:20 2012 x.y.z.t:52185 SIGUSR1[soft,tls-error] received, client-instance restarting

Wed Mar 14 13:45:20 2012 TCP/UDP: Closing socket

Лог с клиента:

Wed Mar 14 13:48:17 2012 OpenVPN 2.2.0 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 10 2012

Wed Mar 14 13:48:17 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Wed Mar 14 13:48:17 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

Wed Mar 14 13:48:17 2012 Initializing OpenSSL support for engine 'gost'

Wed Mar 14 13:48:17 2012 Control Channel Authentication: using '/etc/openvpn/keys/ta.key' as a OpenVPN static key file

Wed Mar 14 13:48:17 2012 Outgoing Control Channel Authentication: Using 256 bit message hash 'md_gost94' for HMAC authentication

Wed Mar 14 13:48:17 2012 Incoming Control Channel Authentication: Using 256 bit message hash 'md_gost94' for HMAC authentication

Wed Mar 14 13:48:17 2012 Control Channel MTU parms [ L:1552 D:180 EF:80 EB:0 ET:0 EL:0 ]

Wed Mar 14 13:48:17 2012 Socket Buffers: R=[87380->131072] S=[16384->131072]

Wed Mar 14 13:48:17 2012 Data Channel MTU parms [ L:1552 D:1450 EF:52 EB:4 ET:0 EL:0 ]

Wed Mar 14 13:48:17 2012 Local Options hash (VER=V4): '07f12c64'

Wed Mar 14 13:48:17 2012 Expected Remote Options hash (VER=V4): 'bac0caef'

Wed Mar 14 13:48:17 2012 Attempting to establish TCP connection with 109.225.195.141:1194 [nonblock]

Wed Mar 14 13:48:18 2012 TCP connection established with 109.225.195.141:1194

Wed Mar 14 13:48:18 2012 TCPv4_CLIENT link local: [undef]

Wed Mar 14 13:48:18 2012 TCPv4_CLIENT link remote: 109.225.195.141:1194

Wed Mar 14 13:48:18 2012 TLS: Initial packet from 109.225.195.141:1194, sid=70fa5947 d5772499

Wed Mar 14 13:48:18 2012 Connection reset, restarting [0]

Wed Mar 14 13:48:18 2012 TCP/UDP: Closing socket

Wed Mar 14 13:48:18 2012 SIGUSR1[soft,connection-reset] received, process restarting

Wed Mar 14 13:48:18 2012 Restart pause, 5 second(s)

Wed Mar 14 13:48:20 2012 SIGTERM[hard,init_instance] received, process exiting

гугление по "no shared cipher" ничего вразумительного пока не даёт

chriselwart

что то темы про openvpn каждый день на форуме
А кстати нафига? ГОСТовские шифры нужны разве что для формального прикрытия ИБ, но им в этом случае мало шифров, важно чтобы еще ПО было сертифицированным.

yolki

криптоком вроде сертифицировал openvpn, нет?

Troyn09

ну так надо начать с выяснения кто и какие сертификации проводил, подходят ли данные сертификаты для вашей организации
а только потом пытаться это настроить, ибо если оно заработает, то это не означает, что выполняются условия сертификата

yolki

мне как-то пофиг какие есть сертификации.
есть задание - железка должна уметь openvpn по ГОСТу.
вероятно, железка будет сертифицирована.
http://www.cryptocom.ru/opensource/openvpn.html