Раньше всё работало, но, возможно, после обновления версии что-то сломалось. Вот команда и соответствующий вывод:
sudo openvpn pfSense-TCP-1197-user-vpn-config(1).ovpn
Ошибки опций: Неизвестная опция или отсутствующие или лишние параметры в pfSense-TCP-1197-user-vpn-config(1).ovpn:4: ncp-disable (2.6.4)
Используйте --help для получения дополнительной информации.
Я бы посоветовал удалить директиву ‘ncp-disable’ из файла конфигурации OpenVPN. Тогда OpenVPN сможет согласовать подходящий шифр.
Из справочной документации:
–ncp-disable
Удалена в OpenVPN 2.6. Эта опция в основном служила отладочной в момент внедрения NCP. Теперь она, скорее всего, не нужна.
Какой ОС и версии OpenVPN?
Есть баг/обратная несовместимость в OpenVPN 2.6, которая сломала работу OpenVPN в Ubuntu 22.10; 22.04 с 2.5.5 работает хорошо.
Некоторые пробовали менять записи в /etc/NetworkManager/system-connections/.nmconnection, особенно “cipher” и “data-ciphers” — это помогало некоторым, но не мне. Можно собрать более новую версию или понизить — я пока не делал. OpenVPN для работы обязателен, поэтому сейчас я использую Ubuntu 22.04.
Теперь у меня такая ошибка:
2023-05-18 10:54:03 Ошибка: не разрешён согласованный шифр - AES-256-CBC не входит в список AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
2023-05-18 10:54:03 ОШИБКА ОПЦИЙ: не удалось импортировать криптографические опции
2023-05-18 10:54:03 Не удалось открыть интерфейс tun/tap
Может ли мне достаточно установить версию шифра на одну из перечисленных?
На сервере есть список разрешённых шифров. У клиента также есть список разрешённых шифров. Во время соединения сервер выбирает первый шифр, поддерживаемый им и клиентом.
Похоже, что ваш клиент и сервер не согласны ни по одному шифру. И действительно, AES-256-CBC отсутстует в этом списке. Вам следует проверить конфигурации клиента и сервера и убедиться, что они могут согласовать что-то. Важно обратить внимание на директивы ‘cipher’ и ‘data-ciphers’. Если ваш сервер значительно старее, может потребоваться дополнительная настройка для его совместимости с 2.6, и это нужно делать, исправляя эти две директивы.
На телефонном клиенте можно активировать режим наследия / шифры. Может быть, есть что-то подобное. Похоже, обновление изменило список шифров.