Я пытаюсь настроить систему в Linux, в которой туннели OpenVPN аутентифицируются, но фактический трафик не зашифрован. С одним сервером и одним клиентом все работает нормально. Вот соответствующие части файлов conf:
server.conf:
port 1194
proto udp
mode server
tls-server
topology subnet
push "topology subnet"
dev tun
#Keys and certificates
ca /usr/share/vpn/keys/ca.crt
cert /usr/share/vpn/keys/server.crt
key /usr/share/vpn/keys/server.key
dh /usr/share/vpn/keys/dh1024.pem
#Network settings
ifconfig 10.8.0.2 255.255.224.0
push "route-gateway 10.8.0.2"
ifconfig-pool 10.8.0.1 10.8.31.254 255.255.224.0
#Allowing of connections with same common names
duplicate-cn
#Data persisting over reload
persist-key
persist-tun
#Client to client communication
client-to-client
#Encryption
cipher none
#Authentication
auth SHA384
Пример client.conf:
client
port 1194
proto udp
topology subnet
dev tun
#Network settings
remote a.b.c.d 1194 # <- Actual IP address of server goes here
#Keys and certificates
ca /usr/share/vpn/keys/ca.crt
cert /usr/share/vpn/keys/5.crt
key /usr/share/vpn/keys/5.key # This file should be kept secret
#Data persisting over reload
persist-key
persist-tun
#Encryption
cipher none
#Authentication
auth SHA384
Бывает, что первый подключившийся клиент всегда работает. Но когда подключается следующий клиент, соединение вроде бы инициализируется правильно:
5/10.10.32.5:1194 Data Channel: using negotiated cipher 'AES-256-GCM'
5/10.10.32.5:1194 Data Channel MTU parms [ L:1549 D:1450 EF:49 EB:406 ET:0 EL:3 AF:14/121 ]
5/10.10.32.5:1194 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
5/10.10.32.5:1194 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Но при отправке трафика видна следующая ошибка:
Float requested for peer 0 to 10.10.32.5:1194
AEAD Decrypt error: cipher final failed
Все клиенты настроены одинаково, и всегда работает первый подключившийся клиент.
Я попытался добавить "float" в конфиг сервера, но это ничего не изменило.
Я также добавил ncp-disable ко всем конфигам, хотя я предпочел бы иметь начальное рукопожатие, но это просто изменило ошибку:
Authenticate/Decrypt packet error: missing authentication info
Authenticate/Decrypt packet error: missing authentication info
Authenticate/Decrypt packet error: packet HMAC authentication failed
Authenticate/Decrypt packet error: packet HMAC authentication failed
Кто-нибудь знает, как заставить OpenVPN работать с аутентификацией, но без шифрования, с несколькими клиентами?