И в конфигурации сервера, и в конфигурации клиента я установил:
cipher none
auth none
Следующий этот совет Я также использую порт UDP 1195.
Когда я запускаю сервер и клиент, я получаю следующие предупреждения:
Tue Dec 4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec 4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!
... что хорошо, но openvpn по-прежнему использует шифрование. Я знаю это, потому что:
1) Я получаю следующее сообщение на стороне сервера, когда клиент подключается:
Tue Dec 4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec 4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2) У меня огромная нагрузка на процессор с обеих сторон
3) Я вижу в Wireshark, что данные зашифрованы
Что еще нужно для отключения шифрования?
Похоже, у вас включены согласованные криптографические параметры (NCP). Вы должны указать
ncp-disable
Отключите «обсуждаемые криптопараметры». Это полностью отключает согласование шифров.
Когда у двух экземпляров OpenVPN включен NCP (по умолчанию для последних версий), они будут согласовывать, какой шифр использовать из набора шифров, определенных ncp-ciphers. По умолчанию для этого используется «AES-256-GCM: AES-128-GCM», что объясняет, почему вы видите AES-256-GCM в своем соединении.
Предполагая, что вы используете openvpn 2.4, я полагаю, вам также необходимо установить
ncp-disable
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/
Немного предыстории:
Раньше Openvpn требовал, чтобы вы вручную настраивали алгоритм шифрования на одно и то же значение на обоих концах. Однако это создало проблему, сделав очень сложным обновление шифрования в существующей многопользовательской VPN. В 2016 году была разработана атака под названием «sweet32», позволяющая при некоторых обстоятельствах восстанавливать открытый текст. Осуществить эту атаку на практике было непросто, и был способ смягчить ее, не меняя шифр, но разработка все еще вызывала беспокойство.
Openvpn 2.4 представил новую функцию, по умолчанию включенную для согласования параметров шифрования. Я не уверен, было ли это реакцией на sweet32 или результатом общих опасений по поводу последствий того, что он будет эффективно заблокирован одним набором шифров.
Таким образом, когда согласование криптографических параметров включено, настройка «шифр» эффективно действует как резерв, который будет использоваться, если другая сторона соединения не поддерживает согласование.