Attualmente sto familiarizzando con OpenVPN creando e testando alcune infrastrutture client-server usando la workstation VMware.
Questo è ciò che ho notato di recente: se modifichi manualmente alcuni valori nel ta.key del client, sarai comunque in grado di connettersi al server, senza errori o avvisi nel log durante il processo di connessione.
Esempio: La mia chiave attuale, che è la stessa sul lato client e server, assomiglia a questa:
-----BEGIN OpenVPN Static key V1----- 135e25bb334841d0144bc9cada39d8f4 dc4185d5d78289e6b449d2616d808baa 149a110f3985d5b5698d0766f0e91826
96fd9f886210f30cd4198713f7e5268d 02d5b88276e36c0152a1e117e02b02f5
3918ddfaead2efa1760224024f9426dc 02e4f660da96c22fa9256374b72d5e95
f0f154fb5acb65af4934e17a31d0bab3 1c96053d7c9ffac4e91da542bdff3bdc
146b3dc28f484609d8d2b95e6b7b9ecb 0919f3a7bd1275810da8851b8699ab2c
3d4f03e54ad77ec4a8b76cebfeac98d1 4c81af32861be3c396469710c0cfe4ea
4b8285dd5dd925d2c4a9ba976ea137da cdaf8af33d0a69a341df41d1873f8e0f
f30627ac336f6dd4dfe607efdf135740
-----END OpenVPN Static key V1-----
Ora, dal lato del cliente, apporto alcune modifiche ad esso, ad esempio, imposta il primo e l'ultimo valore su 0, quindi assomiglia a questo:
-----BEGIN OpenVPN Static key V1----- 000025bb334841d0144bc9cada39d8f4 dc4185d5d78289e6b449d2616d808baa 149a110f3985d5b5698d0766f0e91826
96fd9f886210f30cd4198713f7e5268d 02d5b88276e36c0152a1e117e02b02f5
3918ddfaead2efa1760224024f9426dc 02e4f660da96c22fa9256374b72d5e95
f0f154fb5acb65af4934e17a31d0bab3 1c96053d7c9ffac4e91da542bdff3bdc
146b3dc28f484609d8d2b95e6b7b9ecb 0919f3a7bd1275810da8851b8699ab2c
3d4f03e54ad77ec4a8b76cebfeac98d1 4c81af32861be3c396469710c0cfe4ea
4b8285dd5dd925d2c4a9ba976ea137da cdaf8af33d0a69a341df41d1873f8e00
f30627ac336f6dd4dfe607efdf130000
-----END OpenVPN Static key V1-----
E sorprendentemente sono ancora in grado di connettermi al server. Solo se genero una chiave completamente nuova con
comando openvpn --genkey --secret ta2.key
e usalo invece di quello vecchio, solo allora riceverò un errore quando provo a connetterti al server:
Fri Sep 7 11:33:04 2018 us=232609 TLS Error: incoming packet authentication failed from [AF_INET]192.168.1.2:33596
Fri Sep 7 11:33:12 2018 us=212985 Authenticate/Decrypt packet error: packet HMAC authentication failed
Quindi, com'è possibile? Ho pensato che la modifica di un singolo bit nella chiave dovesse portare a un errore di autenticazione, ma non è così. Qualche idea?
-
Versione OpenVPN, se necessario:
OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH / PKTINFO] [AEAD] costruito il 18 luglio 2017